VTP Note1
CDP(Connect Discover Protocol):
CDP是CISCO私有的协议,只可以发现直链的设备!
show cdp neigbor
交换环境中的2种连接类型:
Access Links:指的是只属于一个VLAN且仅向该VLAN转发数据帧的端口,也叫做native VLAN;交换机把帧发送到Access-link设备会进行信息帧的鉴别(Frame Tagging):当帧到达每个交换机,会首先检查VLAN ID然后决定如何对帧进行处理,当VLAN ID和Access link匹配的时候会移去VLAN标识符;Access-link设备不能与VLAN外通信除非建立了Vlan间路由;
Trunk Links:Trunk指的是能够转发多个不同VLAN的通信的端口,可以在一条网络介质Segement(网线/光纤)上同时传输多个vlan的信息(1次最多可以携带1005个VLAN的信息),必须使用100Mbps以上的端口来进行点对点连接,Trunk使你的单独的1个端口同时成为数个VLAN的端口,这样可以不需要L3设备;如果在Switch之间使用了Trunk,那么多个VLAN间的信息将从这个连接上通过;如果没有使用Trunk而使用一般的连接,那么将只有VLAN1的信息能通过这个连接传递:VLAN1默认作为管理VLAN。
=================================
switch ports:交换端口,是2层的物理端口
分为两种:
access port:(一般是连接主机/电脑)
只能属于一个VLAN,在access port传输的数据包是不携带tag标记的帧,是标准的以太帧.
trunk port:
在两个交换机之间,一定是trunk.
在需要做单臂路由的链路上,路由器和交换机之间也是trunk
trunk可传输多个valn的信息,使用tag中的VID来标识数据帧属于哪个vlan
注:port mode有5种: desirable会主动协商. auto不会主动协商. on 一直开 off 一直关.关闭DTP后的状态是nonegotiate.
目前新的交换机默认状态是desirable的,所以,新的2台交换机之间对连,默认情况,可以自己学为trunk状态.
========================
VTP协议(Vlan Trunk Protocol):
1.相同的domain
2.trunk
VTP也是Cisco创建的但是现在已经不为Cisco所私有,是用来自动协商、通告和同步Trunk信息的协议,必须依靠Trunk来传播;
VTP采用触发更新 or 周期为5min
VTP有三种模式:
客户模式(Client)→不能操作VLAN信息但是会转发变动通告/会同步VLAN信息/VLAN信息不会保存在NVRAM里;
服务器模式(Server)→可以对VLAN进行建立、删除和修改等操作并发出变动通告/会同步VLAN信息/配置好的VLAN信息会保存在NVRAM里;
透明模式(Transparent)→自己可以创建VLAN/可以转发信息/不能同步信息/配置好的VLAN信息会保存在NVRAM中;
注意:VTP不能完成将端口放入VLAN的工作!这需要在每一个交换机上配置。
三种功能对比
功能 server client Transparent
提供vtp消息 Y Y N
监听vtp消息 Y Y N
修改vlan Y N Y 本地有效
记住vlan y n/y 版本问题 Y 本地有效
提供vtp消息是指在所有的trunk端口上发送vtp消息
监听vtp消息是指监听组播和处理vtp的更新
发送和转发:
server------------server-----client
通告-发送------转发-------> 服务器既可以通告也可以转发
server------------client-----client
通告-发送------转发-------> 客户端只能转发?
修订号:高 都会向低的发
eg:
f1/5 f1/5
sw1-----------------sw2
server client
修订号:2 --------------------> 2
shut---->client ---server
修改VLAN 修订号变成5 改回client
5<------------------------------5
server与client同步
结论:client也发通告
安全隐患: 解决方法-加密码
答案是:能
理由:
问题:
sh arp 查看MAC
sh mac-address-table 查看接口
sh cdp nei 查看邻居
sh cdp nei detail
VTP的工作过程:
交换机启动后如果VTP名字为空,就会在网络上查找VTP信息并且把自己的名字改为查找到的VTP名字,和对方是客户端还是服务器是没有关系的。
VTP的修正号(Configuration Revision)和版本(Version):
用#sh vtp status查看VTP信息(保存vlan.dat文件中)
注意#sh ru是看不到VTP信息的!
sw(config)#vtp mode transparent
sw#delete flash: vlan.dat
sw#erase startup-config
sw#write
sw#reload
选择NO
在运行同一VTP的VLAN中每进行一次配置或修改则会在修正号的基础上加1→客户端的不能导致修正号的变化;VLAN信息是由高版本号向低版本号的覆盖而不管是Client端还是Server端;
VTP的Ve1和Ve2是不兼容的:在一个server上改成版本2那么所有的交换机都会同步到版本2→Transparent例外。
VTP修剪(VTP pruning):
目的是减少广播、组播、单播、保留带宽
VTP修剪能够确定干道连接何时正在扩散不必要的流量
打开VTP pruning后只在Trunk link上发送广播
默认情况VTP pruning只能在VLAN2-1005使用
VLAN1是作为管理VLAN存在的
用(v)#vtp pruning打开VTP修剪。
能够使用VLAN通告来确定何时干道连接扩散不必要的流量
LAB:VTP的配置:
STEP1:确认Trunk已经建立:
∵VTP必须依靠Trunk来传播∴要确认Trunk已经建立→用#sh in tr确认;
STEP2:确定一个VTP域名并确认Server/Client:
一般以网络中用最高端/中心的交换机做Server,考虑到冗余性可以建立两个Server;
在交换机上(c)#vtp domain CCNP →vtp mode server/client(服务器/客户端);
然后用#sh vtp status查看VTP信息,注意sh ru是看不到VTP信息的!(保存vlan.dat文件中 注意是小写)
sw2#delete flash:vlan.dat(删除vtp的配置信息)
sw2#delete flash:config.text(删除交换机的配置信息)
STEP3:查看版本号的变化:
通过在Server端增加/修改/删除vlan来观察Client上VLAN信息的同步和VTP修订版本号的变化;
STEP4:VTP的认证:
需求:如果不配置密码,有新来的恶意交换机,它的vtp 修订版本号revision比较高的话,_接入我们的网络来,给我们的网络带来很大影响,所有的vtp vlient都按照恶意交换机的vlan 信息修改了.
使用(c)#vtp password 123来加密VTP区域;可以用#sh vtp password来查看密码;
STEP5:VTP的修剪(在Server端做):
需求:如果某台client交换机的某个vlan没有用户,他收到很多这个vlan的信息有丢弃,浪费了很大资源,为了减少资源浪费,那么做vtp的修剪,使得vtp server不传给他此vlan的信息.
(c)#vtp pruning 。
注:更新vlan,是看谁的revision更higher的.如果一个新的交换机接入现有的vtp domain,不管它是vtp client,还是vtp server,只要它的vtp revision是更higher的,那么他就会网络产生影响,更新vlan.
cisco solution:
quickly reconfigure all of the vlans on one of the vtp servers.
what to remember:
always make sure that the configuration revision of all switcher inserted into the vtp domain is lower than the configruation revision of the switches already in the VTP domain.
浙公网安备 33010602011771号