VTPv3 протокол - внедряване и конфигуриране

Cisco VTPv3 - иновации, работа с частни VLAN и MST 802.1s

Както обещах в предишната статия, пиша за VTPv3. Предполагам, че вече сте го прочели и знаете всичко за VTP 1-ва и 2-ра версия. Следователно в този текст ще изхождам от това предположение.

Съдържание

  • Кратко описание на иновациите в протокола VTPv3
  • Включете VTPv3
  • Какво се случи с подрязването на VTP в VTPv3
  • Проблем с VTP парола - VTPv3 решение
  • Проблем при добавяне на превключвател към VTP домейн
  • VTPv3 оперативни промени
  • Частна VLAN поддръжка
  • VTPv3 и MST 802.1s

Кратко описание на иновациите в протокола VTPv3

Те ще бъдат достатъчни, за да кажат, че третата версия е значително различна от втората:

  • Поддръжка за частен VLAN (по-рано, ако на комутатора се използва PVLAN, а след това ако се използва VTP, тогава само прозрачен режим VTP).
  • Поддръжка за пълна гама (всички 4094) VLAN. Преди това, поради наследството на CatOS с 10-битови рудименти, техническото ограничение предполагаше работа с VLAN в диапазона от числа от 2 до 1001. Първата VLAN е винаги там и следователно фактът на нейното присъствие не трябва да се предава за други устройства на Cisco, VLAN 1002 до 1005 са запазени за некрофункции, свързани с Token Ring/FDDI транзит, а останалата VLAN опашка до 1023 има свои специфични приложения. Останалите VLAN (с номера от 1023) може да са на устройството с VTPv1-v2, но VTP не работи с тях - и сега може.
  • Добавена е VTP конфигурация на ниво отделен порт за превключване.
  • Сега можете действително да изключите VTP, а не просто да го поставите в прозрачен режим.
  • Сега паролата за VTP стана някак повече или по-малко защитена.
  • Проблемът с добавянето на нов суич е решен - сега е невъзможно „случайно“ да изхвърлите VTP домейна.
  • Появиха се подтипове на ролята на сървъра - VTP вече има само сървър и основен сървър.
  • Обменът на данни между VTP устройства е преработен и направен по-ефективен (данните се прехвърлят по-компактно и следователно по-бързо).
  • VTPv3 стана модулен и поддържа обмена не на една, а на няколко бази данни. В момента са внедрени модулите на базата данни VLAN и протоколът MST (който е 802.1s). Схемата е разширяема и VTP вече може да бъде "научен" да синхронизира необходимите типове данни между няколко устройства.

Нека го разберем последователно - нека започнем с активиране.

Включете VTPv3

На първо място, активирайте поддръжката на 802.1t; на съвременните модели обаче той е активиран по подразбиране и не може да бъде изключен дори ръчно. Без включване на разширения формат на системния идентификатор, VTPv3 няма да работи. Командата е стандартна:

хост (конфиг) # spanning-tree разширяване на системния идентификатор

След това преминаваме към третата версия на VTP по същия начин, както сме преминали към втората от първата - трябва да въведете:

хост (конфиг) #vtp версия 3

Преди тази стъпка трябва да зададете името на VTP домейна, в противен случай няма да можете да превключите към версия 3. Това се прави по същия начин, както в предишните версии:

хост (конфиг) #vtp домейн АТРИНИРАНЕ

Протоколът е съвместим с предишната версия, втората - тоест, ако устройство с VTPv3 намери „стар“ съсед на един от портовете, то ще може да комуникира с него нормално. Разбира се, ограничаването на част от функционалността (например подрязването на VTP на VLAN с числа, по-високи от 1001, ще бъде невъзможно). VTPv1 съвместимост не се поддържа.

Всъщност комуникацията на VTPv3 устройство с VTPv2 ще се състои в това, че VTPv3 устройството ще изпрати 2 копия на VTP кадри с данни към интерфейса, гледайки VTPv2 устройството - във формат VTPv3 и в остарелия VTPv2. Това ще бъде направено, за да се направи сценарият „Две VTPv3 устройства обменят своите данни чрез междинни VTPv2 устройства, които не разбират новия формат, но разбират, че това са VTP кадри и ги предават по-нататък“. Тоест наличието на VTPv3 и VTPv2 устройства в една и съща мрежа не е много изгодно от гледна точка на трафика - всичко ще бъде банално, за да се дублира в две версии.

След преминаването към третата версия ще можем да изберем режима на работа на нашето устройство. Сега изборът няма да бъде от 3, а от 4 опции - добавен е VTP Off. Този режим ще бъде почти идентичен с VTP Transparent, с изключение на това, че устройството, вместо да препредава VTP кадри, получени на портовете на магистралата, просто ще ги игнорира.

В допълнение към деактивирането на VTP на устройството изцяло, ще бъде възможно да деактивирате VTP на отделен порт, което също е изключително удобно (например, за да увеличите нивото на защита на комутаторите за достъп, можете просто да деактивирате VTP на портовете за достъп и да изрежете от цял ​​клас атаки срещу този протокол). За да направите това, не е необходимо да превключвате към VTP Off, просто трябва да превключите към третата версия на протокола.

Няма много какво да се каже за VTP Off - така че сега нека видим как трите обичайни режима ще работят във VTPv3.

VTP Прозрачен във VTP3

Както и преди, превключвателят в прозрачен режим ще съхранява локалната база данни на vlan и няма да я обменя с никого.

Файлът vlan.dat не се използва в този сценарий, той просто се съхранява. Ако попитате такъв ключ за номера на ревизията на базата данни, можете да разберете, че той винаги ще бъде нула.

Всички VTP рамки на всички магистрални портове в този режим ще бъдат игнорирани (т.е. не обработени) и ще бъдат предадени по-нататък към всички интерфейси на магистралата. Обърнете внимание на тънкостта - няма да бъде извършена проверка за валидност на домейна (т.е. че името-парола трябва да съвпада). Това означава, че в случая на VTPv3 Transparent не можете да давате парола за VTP домейн на всеки прозрачен превключвател, само за да може той да предава правилно трафика на домейна VTP през себе си. Важно е. Втората тънкост е, че трафикът на VTPv3 ще отиде, като се вземе предвид състоянието на обхващащото дърво в 1-ви Уелан. Тоест, ако RSTP/STP/PVST +/PVRST + блокира трафика на първия vlan в този специфичен интерфейс, през който потенциално може да премине трафик VTPv3, тогава трафикът не се изпраща.