01 - VLAN-VTP-Trunk
VLAN的部署
End-to-End(端到端)VLAN。
1. 用戶劃分到VLAN中,不論它於哪個物理位置。2. 當用戶在園區中移動時,它們的VLAN成員關系不變。
Local(本地)VLAN
1. 思科企業園區架構中推荐採用的解決方案。2. 用戶根據其物理位置劃分到VLAN中。
3. 若用戶在園區中移動,它們的VLAN成員關係將變化。
端到端VLAN VS 本地VLAN
一. End-to-End(端到端)VLAN
優點:
1. 位於不同地理位置的用戶能夠劃分到同一個VLAN中
2. 相同的策略(安全、OoS)能夠施加在同一組用戶上,不論它們所處的物理位置
缺點:
1. 所有交換機必須知道所有VLAN
2. 廣播報文泛洪到所有交換機
3. 增加排錯的難度
二. Local(本地)VLAN
優點:
1. 設計是可擴展的
2. 便於排錯
3. 數据流量是可預測的
4. 容易构建容錯路徑
缺點:
1. 與端到端VLAN模型相比需要更多的路由設備
2. 位於相同位置的用戶屬於同一個廣播域
VLAN Range
總結
* VLAN劃分的兩種方式: 靜態、動態
* 理解端到端的VLAN和本地VLAN的區別
* Mac-address-table aging-time
* Vlan range
Mac-address-table
aging-time 默認是五分鐘,用這個指令去改時間。
Specific VLAN identification
一. Specifically developed for
multi-VLAN interswitch communications
二. Places a unique identifier
in each frame三. Functions at Layer 2
一. 專門為多VLAN間交換機通信而開發
二. 在每個框架中放置一個唯一標識符
三. 第2層的功能
二. 在每個框架中放置一個唯一標識符
三. 第2層的功能
先有VLAN才能配置Trunk。
在兩台Switch用一條線連接,讓他可以跑所有的VLAN稱為Trunk。
在Trunk下用Tag去區分不同VLAN的流量。
Tag是打在二層封裝,二層封裝沒有多餘的位置讓你打Tag,所以要加一個新的頭部802.1Q和CISCO專用的ISL。 這兩個都是額外加進去的
VLAN Trunking
Comparing ISL and 802.1Q
Trunking with ISL
1. is a Cisco proprietary protocol
2. Supports PVST
3. Uses an encapsulation process
4. Does not modify the original frame
5. 1024個VLAN
ISL Encapsulation
Trunking with ISL
1. An IEEE standard
2. Adds a 4-byte tag to the original frame
3. Additional tag includes a priority field
4. Does not tag frames that belong to the native VLAN
5. Supports Cisco IP telephony
6. 4096個VLAN
The 802.1Q Tagging Process
802.1Q Native VLAN
Native VLAN幀通過未標記的Trunk鏈路進行傳輸
Trunk配置命令
1. Trunk可以靜態配置或通過DTP配置
2. DTP提供了協商中繼方法的能力
configuring
a Trunk
* switchport trunk
* switchport mode
* switchport nonegotiate
Trunk 模式
Trunk有手動配置和動態協商(DTP) 。
DTP又分Desirable(主動)和Auto(被動) 。
可以把手動Trunk和Nonegotiate結合起來,就變成優化的作用。都已經手動Trunk就不用在讓接口發送DTP。為了要把DTP流量刪除
交換機端口模式的相互作用
注意:表格假定兩端都啟用了DTP。
顯示DTP接口 - 確定當前設置
802.1Q Trunk Configuration
switch(config)# interface fa 5/8
switch(config-if)# shutdown
switch(config-if)# switchport trunk encapsulation
dot1q
switch(config-if)# switchport trunk allowed vlan
1,5,11,1002-1005
switch(config-if)# switchport mode trunk
switch(config-if)# switchport trunk native vlan 99
switch(config-if)# switchport nonegotiate
switch(config-if)# no shutdown
The VTP Domain
交換VLAN信息的交換機組
2. VLANs administered centrally at a chosen switch
在選定的交換機上集中管理的VLAN
有了VLAN才有Trunk,有了Trunk才有VTP
在一個企業中有一百台交換機,每台交換機要創建50個VLAN,有一種同步的機制只須要在一台交換機上創建50個VLAN,然後讓其他的99台交換機把這些VLAN同步過來。
交換機要選一台當server,其他當client。
VTP在同步VLAN一定是在Trunk鏈路上跑的。
參與VTP同步的所有交換機屬於同一個VTP Domain;在其他Domain裡的交換機是沒辦法同步到我的Domain裡面的VLAN。
The VTP Protocol
Advertises
VLAN configuration information
|
通告VLAN配置信息
|
Maintains
VLAN configuration consistency throughout a common administrative domain
|
在整個公共管理域中保持VLAN配置一致性
|
sends
advertisements on trunk ports only
|
僅在中繼端口上發送通告
|
VTP Modes
Server (default mode)
|
服務器(默認模式)
|
creates,
modifies, and deletes VLANs
|
創建,修改和刪除VLAN
|
sends
and forwards advertisements
|
發送和轉發廣告
|
synchronizes
VLAN configurations
|
同步VLAN配置
|
saves
configuration in NVRAM
|
將配置保存在NVRAM中
|
Client
|
客戶
|
Cannot
create, change, or delete VLAN
|
無法創建,更改或刪除VLAN
|
Forwards
advertisements
|
轉發通告
|
Synchronizes
VLAN configurations
|
同步VLAN配置
|
Does
not save in NVRAM
|
不保存在NVRAM中
|
Transparent
|
透明
|
Creates, modifies, and deletes local VLANs
|
創建,修改和刪除本地VLAN
|
Forwards advertisements
|
轉發廣告
|
Does not synchronize VLAN configurations
|
不同步VLAN配置
|
Saves configuration in NVRAM
|
將配置保存在NVRAM中
|
如果創建擴展VLAN一定要把交換機改成Transparent(透明)才可以創建。
sERVER
|
Client
|
tranSparent
|
|
增刪改VLAN訊息
|
Yes
|
╳
|
Yes
|
轉發VTP訊息
|
Yes
|
Yes
|
Yes
|
同步VTP訊息
|
Yes
|
Yes
|
╳
|
保存在NVRAM中
|
Yes
|
╳
|
Yes
|
轉發是只要有VTP的訊息到我這我就把他轉發出去
VTP Pruning
1. Uses bandwidth more efficiently by reducing unnecessary flooded traffic
2.
Example: Station A sends broadcast; broadcast flooded only toward any switch
with ports assigned to the red VLAN
1. 通過減少不必要的淹沒流量來更有效地使用帶寬
2. 例如:A站發送廣播; 廣播僅泛洪到任何端口分配給紅色VLAN的交換機
VTP能夠自動的動態的去增減VLAN,如果client都沒有VLAN的流量經過,就會通過VTP幫你修減掉,如果又有流量經過的話在把VLAN加進來
默認是關閉的
VTP Operation
1:49:00
1. VTP advertisements are sent as multicast frames.
2. VTP servers and clients are synchronized to the latest revision number.
3. VTP advertisements are sent every 5 minutes or when
there is a change.
1. VTP通告作為多播幀發送。
2. VTP服務器和客戶端同步到最新版本號。
3. VTP廣告每5分鐘發送一次或發生變化時發送
VTP Configuration Commands
* Configuring VTP
․ vtp domain
․ vtp mode
․ vtp passwork
* Verifying VTP
․ show vtp status
․ show vtp counters
Configuring a VTP Management
Domain
按以下順序配置每台交換機,以避免動態學習域名:
․ VTP password
․ VTP domain name (case sensitive)
․ VTP mode (server mode is the
default)
實驗
1. Switch 2的VLAN能否同步;Switch
3的VLAN能否同步。
2.
把Switch 2接Switch 1的接口shut down,然後把Switch
2的模式從Client改成Server,在去創建VLAN 400、500,最後在把Switch 2的模式在改回原本的Client,在no shut down。
這時候要看Client能不能把Server(Switch 1)的VLAN給刷掉;或Server會不會從Client把VLAN學過來。
創建VLAN
SW1(config)# vlan 100
SW1(config-vlan)# vlan 200
SW1(config-vlan)# vlan 300
SW1# show vlan brief
創建Switch 1和Switch 2之間的 Trunk
SW1(config)# interface eth 0/0
SW1(config-if)# switchport trunk encapsulation dot1q
SW1(config-if)# switchport mode trunk
先指定封裝在指定模式
SW2(config)# interface eth 0/0
SW2(config-if)# switchport trunk encapsulation dot1q
SW2(config-if)# switchport mode trunk
SW2# show interface trunk
eth 0/1沒配置也能形成trunking,因為交換機默認的接口為desirable,封裝也是協商成ISL。
目前只有一段手動封裝為802.1Q其他二段為自動協商封裝為ISL
先檢查所有交換機默認VTP是不是Server
SW1# show vtp status
默認沒去改VTP Domain他是空的,默認都為空的VTP Domain他是不屬於同一個VTP Domain的。
如果沒配置VTP Domain他是沒辦法同步的
SW1(config)# vtp domain glab
名字大家一樣就可以
SW2(config)# vtp domain glab
SW3(config)# vtp domain glab
SW1# show vtp status
開始修改VTP的模式
SW2(config)# vtp mode client
SW3(config)# vtp mode transparent
VTP驗證
SW1(config)# vtp password cisco
SW2(config)# vtp password cisco
SW3(config)# vtp password cisco
SW1# show vtp password
只能用這個指令檢查password
SW2# show vlan brief
SW3# show vlan brief
switch 3一樣也學到VLAN,原因是配置太慢了
這時在加一個VLAN 400
SW1(config)# vlan 400
這時在SW2才看的到400,在SW3就看不到400了。
第二個實驗
SW2(config)# interface ran eth 0/0 - 1
SW2(config-if-range)# shut
SW2(config)# vtp mode server
SW2(config)# no vlan 100
SW2(config)# no vlan 200
SW2(config)# no vlan 300
SW2(config)# no vlan 400
SW2(config)# vlan 500
SW2(config-vlan)# vlan 600
SW2(config-vlan)# vlan 700
SW2(config)# vtp mode client
現在要看的是合併為VLAN 100〜VLAN 700,還是SW2覆蓋SW1變成VLAN 500〜VLAN 700。
SW2(config)# interface ran eth 0/0 - 1
SW2(config-if-range)# no shutdown
SW1# show vlan brief
為什麼Client能夠把Server給刷掉
SW2# show vtp status
SW1# show vtp status
剛開始接進來的時候,只要你Revision的數字比Server高,我就聽你的。
被覆蓋完了後,接下來都聽Server的,因為Client沒辦法創建VLAN。
要把Revision變成0首先把VTP模式改成Transparent後,在把模式改回Server。
一開始新的交換機的模式最好先改成Transparent才不會影響到其他的交換機。