Настройка транкинга etherchannel и 802.1q между коммутатором catalyst с фиксированной конфигурацией l2 и маршрутизатором (intervlan routing)

Введение

В данном документе представлены примеры настройки канала InterSwitch (ISL) и транкинга 802.1Q между коммутатором Catalyst 3512-XL и маршрутизатором Cisco 2600; отображены результаты выполнения каждой команды. Чтобы получить такие же результаты в сценариях, представленных в данном документе, можно использовать маршрутизаторы Cisco 3600, 4500/4700 или семейства Cisco 2600 с интерфейсами FastEthernet, а также любые коммутаторы Catalyst 2900XL, 3500XL, 2940, 2950 или 2970.

С помощью транкинга осуществляется передача данных между двумя устройствами из нескольких сетей VLAN через двухточечное соединение. Транкинг Ethernet может быть реализован двумя способами:

  • ISL (собственный протокол Cisco, не поддерживается коммутаторами серий 2940 и 2950)

  • 802.1Q (стандарт IEEE)

Мы создадим магистраль, которая будет передавать трафик из двух VLAN (VLAN1 и VLAN2) через один канал между коммутатором Catalyst 3500 и маршрутизатором Cisco 2600.

Для создания маршрутизации между сетями VLAN1 и VLAN2 используется маршрутизатор Cisco 2600. Коммутаторы Catalyst 2900XL/3500XL/2940/2950/2970 — это коммутаторы уровня 2 (L2), не способные осуществлять маршрутизацию и коммуникацию между VLAN. Для получения дополнительных подробностей относительно маршрутизации внутри VLAN см. документ Обзор маршрутизации между виртуальными локальными сетями в руководстве по настройке служб коммутаторов Cisco IOS, издание 12.1.

Для создания примеров в этом документе использовались следующие коммутаторы в лабораторной среде с чистыми конфигурациями:

  • Коммутатор Catalyst 3512XL с запущенной Cisco IOS 12.0(5.x)XU

  • Маршрутизатор Cisco 2621 с запущенной Cisco IOS 12.1(3)T

  • Маршрутизатор Cisco 2621 с запущенной Cisco IOS 12.1(1)T

Описываемые настройки были реализованы в изолированной . Перед использованием любой настройки и команды необходимо изучить их потенциальное воздействие на сеть. Для приведения каждого устройства к единой конфигурации по умолчанию настройки на всех устройствах были очищены при помощи команды «write erase».

Настройка

В этом разделе приводится информация по настройке функций, описанных в данном документе.

Конфигурации, рассматриваемые в этом документе, были реализованы в изолированной среде. Перед использованием любой конфигурации или команды необходимо оценить ее потенциальное воздействие на сеть. Конфигурации всех устройств были очищены командами clear config all и write erase для того, чтобы обеспечить конфигурации по умолчанию для данных устройств.

Примечание. Чтобы найти дополнительные сведения о командах, применяемых в этом документе, используйте Средство поиска команд (только для зарегистрированных клиентов).

В данном документе используется следующая настройка сети.

Конфигурации

В данном документе используются следующие конфигурации:

Примечание. Замечания и пояснения выделены синим курсивом.

Коммутатор Catalyst 4000

#version 8.1(3)
!
!
#system web interface version(s)
!
#system
set system name  cat4000
!
#frame distribution method
set port channel all distribution mac both
!
#vtp
set vtp domain cisco

set vtp mode client vlan


!
#ip
set interface sc0 1 10.10.10.2/255.255.255.0 10.10.10.255

!
#module 1 : 2-port 1000BaseX Supervisor
!
#module 2 empty
!
#module 3 empty
!
#module 4 empty
!
#module 5 : 48-port Inline Power Module
set vlan 2    5/13-24



set trunk 5/1  desirable dot1q 1-1005,1025-4094


set spantree portfast    5/2-24 enable
set port channel 5/2-24 mode off
!
#module 6 empty
end

Коммутатор Catalyst 6500

Current configuration : 4408 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname cat6500
!
boot system flash sup-bootflash:c6sup22-jsv-mz.121-20.E2
enable password mysecret


!
ip subnet-zero
!
!
!
mls flow ip destination
mls flow ipx destination
!
redundancy
 mode rpr-plus
 main-cpu
  auto-sync running-config
  auto-sync standard
!
!
!
interface GigabitEthernet2/1
 no ip address
 shutdown
!
interface GigabitEthernet2/2
 no ip address
 shutdown
!
interface fastethernet3/1
 switchport



!
interface FastEthernet3/2
 switchport
 switchport mode access
 spanning-tree portfast



switchport mode access
 spanning-tree portfast

!
interface FastEthernet3/13
 switchport
 switchport access vlan 2

 switchport mode access
 spanning-tree portfast



!
interface FastEthernet3/24
 shutdown
 switchport
 switchport access vlan 2
 switchport mode access
 spanning-tree portfast


!
interface FastEthernet3/48
 no ip address
 shutdown
!
interface vlan 1
 ip address 10.10.10.3 255.255.255.0

!
ip classless
no ip http server
!
!
!
line con 0
line vty 0 4
 password mysecret



 login
 transport input lat pad mop telnet rlogin udptn nasi
!
!
end

cat6500#

Общие сведения

В этом документе объясняется конфигурация коммутаторов, соединяющих ПК и IP-телефоны через порт коммутатора. IP-телефон Cisco содержат интегрированный коммутатор 10/100 с тремя портами. Эти порты выделены для определенных подключений.

  • Порт 1 служит для подсоединения к коммутатору Catalyst или другому устройству, поддерживающему технологию передачи речи по протоколу IP.

  • Порт 2 – это внутренний интерфейс 10/100 для передачи трафика, проходящего через телефон.

  • Порт 3 служит для подсоединения к ПК или другому устройству.

Примечание: Физически можно увидеть только два порта. Третий порт является внутренним, и увидеть его нельзя. В этом разделе порт 2 не виден.

В коммутаторе используется две виртуальных локальных сети: одна для трафика данных, а другая для речевого трафика. Порт коммутатора может использовать либо виртуальную локальную сеть доступа, либо виртуальную локальную магистральную сеть, но для передачи речевого трафика необходимо настроить виртуальную локальную сеть передачи речевых сообщений.

Если в коммутаторе содержится модуль, обеспечивающий конечные станции питанием через Ethernet, то можно настроить каждый интерфейс этого модуля таким образом, чтобы он автоматически определял, что конечной станции необходимо питание и подавал на нее питание через Ethernet. По умолчанию, когда коммутатор определяет в интерфейсе устройство, на которое подается электропитание, он предполагает, что это устройство потребляет максимальную мощность, которая может быть подана через порт. В традиционных модулях максимум мощности питания через Ethernet составляет 7 Вт, а в модулях IEEE PoE, включенных в программное обеспечение Cisco IOS, выпуск 12.2(18)EW он составляет 15,4 Вт. Когда коммутатор получает пакет данных по протоколу обнаружения Cisco (CDP) от устройства, на которое подается электропитание, потребляемая мощность автоматически уменьшается в соответствии с требованиям конкретного устройства. Обычно эта автоматическая регулировка срабатывает правильно, и после нее дальнейшая регулировка не требуется и не рекомендуется. Однако можно указать потребление электропитания на устройстве для всего коммутатора (или для конкретного интерфейса), чтобы обеспечить на коммутаторе дополнительную функциональность. Это полезно, когда протокол CDP отключен или не доступен.

Поскольку при неравномерной передаче данных качество речерых вызовов на IP-телефоне может снизиться, в коммутаторе используется механизм обеспечения качества обслуживания на базе класса обслуживания IEEE 802.1p. Механизм обеспечения качества обслуживания при передаче сетевого трафика с коммутатора использует классификацию и расписания предсказуемым образом. См. дополнительные сведения по механизму обеспечения качества обслуживания в разделе . Функция Cisco AutoQoS обеспечивает автоматическое последовательное применение механизма обеспечения качества обслуживания во всех маршрутизаторах и коммутаторах Cisco. Она подключает различные компоненты обеспечения качества обслуживания Cisco в зависимости от сетевого окружения и рекомендаций Cisco.

Trunk порты

Для того чтобы передать через порт трафик нескольких VLAN, порт переводится в режим trunk.

Режимы интерфейса (режим по умолчанию зависит от модели коммутатора):

  • auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.
  • desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).
  • trunk — Порт постоянно находится в состоянии trunk, даже если порт на другом конце не поддерживает этот режим.
  • nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.

По умолчанию в транке разрешены все VLAN. Для того чтобы через соответствующий VLAN в транке передавались данные, как минимум, необходимо чтобы VLAN был активным. Активным VLAN становится тогда, когда он создан на коммутаторе и в нём есть хотя бы один порт в состоянии up/up.

VLAN можно создать на коммутаторе с помощью команды vlan. Кроме того, VLAN автоматически создается на коммутаторе в момент добавления в него интерфейсов в режиме access.

Перейдем к демонстрационной схеме. Предположим, что вланы на всех коммутаторах уже созданы (можно использовать протокол VTP).

Настройка статического транка

Создание статического транка:

На некоторых моделях коммутаторов (на которых поддерживается ISL) после попытки перевести интерфейс в режим статического транка, может появится такая ошибка:

Это происходит из-за того, что динамическое определение инкапсуляции (ISL или 802.1Q) работает только с динамическими режимами транка. И для того, чтобы настроить статический транк, необходимо инкапсуляцию также настроить статически.

Для таких коммутаторов необходимо явно указать тип инкапсуляции для интерфейса:

И после этого снова повторить команду настройки статического транка (switchport mode trunk).

Динамическое создание транков (DTP)

Dynamic Trunk Protocol (DTP) — проприетарный протокол Cisco, который позволяет коммутаторам динамически распознавать настроен ли соседний коммутатор для поднятия транка и какой протокол использовать (802.1Q или ISL). Включен по умолчанию.

Режимы DTP на интерфейсе:

auto — Порт находится в автоматическом режиме и будет переведён в состояние trunk, только если порт на другом конце находится в режиме on или desirable. Т.е. если порты на обоих концах находятся в режиме «auto», то trunk применяться не будет.desirable — Порт находится в режиме «готов перейти в состояние trunk»; периодически передает DTP-кадры порту на другом конце, запрашивая удаленный порт перейти в состояние trunk (состояние trunk будет установлено, если порт на другом конце находится в режиме on, desirable, или auto).nonegotiate — Порт готов перейти в режим trunk, но при этом не передает DTP-кадры порту на другом конце. Этот режим используется для предотвращения конфликтов с другим «не-cisco» оборудованием. В этом случае коммутатор на другом конце должен быть вручную настроен на использование trunk’а.

Перевести интерфейс в режим auto:

Перевести интерфейс в режим desirable:

Перевести интерфейс в режим nonegotiate:

Проверить текущий режим DTP:

IEEE 802.1Q-in-Q VLAN Tag Termination

Encapsulating IEEE 802.1Q VLAN tags within 802.1Q enables service providers to use a single VLAN to support customers who have multiple VLANs. The IEEE 802.1Q-in-Q VLAN Tag Termination feature on the subinterface level preserves VLAN IDs and keeps traffic in different customer VLANs segregated.

Feature History for the IEEE 802.1Q-in-Q VLAN Tag Termination Feature

Release

Modification

12.3(7)T

This feature was introduced.

12.3(7)XI1

This feature was implemented on the Cisco 10000 series router.

Finding Support Information for Platforms and Cisco IOS Software Images

Use Cisco Feature Navigator to find information about platform support and Cisco IOS software image support. Access Cisco Feature Navigator at http://www.cisco.com/go/fn. You must have an account on Cisco.com. If you do not have an account or have forgotten your username or password, click Cancel at the login dialog box and follow the instructions that appear.

VLAN Hopping Exploit

В этом случае существует злоумышленник, коммутатор и целевой сервер. Злоумышленник подключается к интерфейсу коммутатора FastEthernet 0/12, а целевой сервер подключается к интерфейсу коммутатора FastEthernet 0/11 и входит в состав VLAN 2. Взгляните на следующую топологию.

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора:

интерфейс FastEthernet0/11

switchport режим доступа

switchport nonegotiate режиме

switchport доступ vlan 2

интерфейс FastEthernet0/12

режим switchport динамичный авто

Надеюсь, вы видите проблему конфигурации с интерфейсом fa0 / 12. Этот порт настроен на прием входящих переговоров, чтобы определить, является ли порт для доступа или транкинг. Это означает, что злоумышленник может выполнить атаку на коммутатор. После того, как злоумышленник подключается к порту, они могут отправить сообщение DTP и магистральное соединение будет установлено.

Злоумышленник может использовать программу Yersinia для создания и отправки сообщения DTP. Yersinia-это платформа для тестирования на проникновение, созданная для атаки на многие протоколы, которые находятся на уровне 2. Он поставляется с предустановленным с kali Linux и имеет простой в использовании графический интерфейс пользователя (GUI).

Yersinia Homepage — //www.yersinia.net/

Чтобы запустить Yersinia:

yersinia-G

Вот быстрый взгляд на графический интерфейс:

Теперь отправить сообщение DTP так же просто, как следующие 4 шага:

  1. click «Launch attack»
  2. click the tab «DTP»
  3. click «enable trunking»
  4. click «ok»

Yersinia будет посылать сообщение DTP и в течение нескольких секунд, транкинговая связь будет установлена. В нашем сценарии атакующий будет иметь доступ ко всему трафику, проходящему через VLAN 2, и может непосредственно атаковать, не проходя через устройства уровня 3.

Сценарий 2 — Двойная Атака Пометки

В этом случае существует злоумышленник, 2 коммутатора и целевой сервер. Злоумышленник подключен к коммутатору 1. Переключатель 1 прикреплен к переключателю 2 и, наконец, наша цель прикреплена к переключателю 2. Взгляните на следующую топологию.

Как только вы знакомы с топологией, взгляните на некоторые конфигурации, установленные для коммутатора 1.

интерфейс FastEthernet0/12

switchport режим доступа

switchport nonegotiate

switchport доступ vlan 1

интерфейс FastEthernet0/11

багажник инкапсуляции dot1q switchport

магистраль режима switchport

switchport nonegotiate

switchport багажник родной vlan 1

Из этих конфигураций мы видим, что злоумышленник не сможет выполнить атаку подмены коммутатора. Однако мы видим, что злоумышленник принадлежит к собственной VLAN магистрального порта. Это означает, что эта топология уязвима для атаки с двойным тегированием.

Злоумышленник может использовать программу Scapy, чтобы создать специально созданные кадры, необходимые для обработки этой атаки. Scapy-это программа на Python, созданная для работы с пакетами.

Scapy Homepage — //scapy.net/

Scapy Documentation — //scapy.readthedocs.io/en/latest/usage.html

Start Scapy:

sudo ./scapy

Использование функции sendp() для создания пакета:

>>sendp(Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=2)/IP(dst='<destination IP’, src='<source IP>’)/ICMP())

Это создаст двойной 802.1 q инкапсулированный пакет для цели на VLAN 2. Посмотрите на следующую топологию, чтобы увидеть, как коммутаторы управляют этим кадром.

На рисунке видно, что коммутатор 1 считывает и удаляет только внешний тег. Это проверяет, что хост является частью заявленной VLAN и передает пакет ко всем собственным портам VLAN (VLAN 1). Коммутатор 2 тогда получает пакет только с одним левым заголовком. Это предполагает, что кадр принадлежит заявленной VLAN на этом теге (VLAN 2) и вперед ко всем портам, настроенным для VLAN 2. Цель получает пакет, отправленный злоумышленником.

VLAN = HOPPED.

Default Layer 2 LAN Interface Configuration

shows the Layer 2 LAN port default configuration.

Table 13-3 Layer 2 LAN Interface Default Configuration 

Feature

Default

Interface mode:

•Before entering the switchport command

Layer 3 (unconfigured)

•After entering the switchport command

switchport mode dynamic desirable

Trunk encapsulation

switchport trunk encapsulation negotiate

Allowed VLAN range

VLANs 1 to 4094, except reserved VLANs (see )

VLAN range eligible for pruning

VLANs 2 to 1001

Default access VLAN

VLAN 1

Native VLAN (for 802.1Q trunks)

VLAN 1

Spanning Tree Protocol (STP)

Enabled for all VLANs

STP port priority

128

STP port cost

•100 for 10-Mbps Ethernet LAN ports

•19 for 10/100-Mbps Fast Ethernet LAN ports

•19 for 100-Mbps Fast Ethernet LAN ports

•4 for 1,000-Mbps Gigabit Ethernet LAN ports

•2 for 10,000-Mbps 10-Gigabit Ethernet LAN ports

Протокол VTPv3

Третья версия протокола принесла множество изменений и нововведений. Например:

Поддержка полного диапазона VID в 802.1Q

Протоколы VTP первой и второй версии поддерживали только первую тысячу VLAN’ов. VTPv3 работает со всем диапазоном, от 1 до 4094го.

Поддержка Private VLAN

Если Вы использовали private vlan (т.е. назначали порты как promiscuous / isolated / community и определяли их в отдельные группы), то Вы знаете, что VTP не работал с этим механизмом. Третья версия работает.

Поддержка 802.1s (MST)

Теперь через VTP можно обмениваться данными не только БД vlan’ов, но и базу маппингов MST, что значительно упрощает конфигурирование 802.1s

Как технически реализован протокол VTP

Технологически протокол VTP реализован как SNAP-вложение в кадры ISL или 802.1Q. Работать может на 802.3 (Ethernet) и 802.5 (Token Ring). А также поверх LANE, но, надеюсь, эта некрофилия вас не коснётся.

Нужно отметить, что служебные данные VTP вкладываются не сразу в кадр 802.3, а после транкового заголовка. Выглядит это так:

  • Обычный заголовок стандартного 802.3 (Destination MAC, Source MAC, тип вложения – например, в случае 802.1Q это будет )
  • Подзаголовок LLC-уровня (это “верхний” подуровень канального уровня – кто проходил CCNA, тот знает, что у уровней модели OSI бывают подуровни, подробнее есть в нашем бесплатном вебинаре про LLC и CNAP, входящем в трек Advanced CCNA), содержащий SSAP/DSAP коды , обозначающий, что далее идёт SNAP-вложение.
  • Подзаголовок SNAP – Subnetwork Access Protocol, показывающий, что после будет не заголовок сетевого уровня, а дальнейшее разделение на субпротоколы канального уровня. В нашем случае SNAP несёт уже конкретную информацию, что вложен будет протокол, идентифицируемый как Cisco’вский протокол VTP (OUI = Cisco, Protocol = 0x2003).

А далее – уже данные самого протокола VTP, относящиеся к одному из типов VTP-сообщений. Это могут быть:

  • Код 0x01 – Анонс-оглавление (Summary advertisement);
  • Код 0x02 – Данные для анонса (Subset advertisement);
  • Код 0x03 – Запрос на повторную информацию (Advertisement request);
  • Код 0x04 – Данные для pruning (VTP join message);

Замечу, что про 802.1Q можно почитать в статье про 802.1Q и 802.1ad или посмотреть на нашем YouTube вебинар из серии Advanced CCNA про типы транкинга.

Так вот, далее.

Весь трафик Cisco VTP идёт на специальный “cisco’вский” мультикастовый MAC-адрес – на этот же адрес идёт и трафик протокола CDP, например, т.к. он тоже разработан фирмой Cisco. Как их разделяют?
Используется схема разделения по SNAP полю “протокол” – для CDP он будет , для VTP – . Этакое мультиплексирование канального уровня.

[править] Настройка VLAN на маршрутизаторах Cisco

Передача трафика между VLANами с помощью маршрутизатора

Передача трафика между VLAN может осуществляться с помощью маршрутизатора. Для того чтобы маршрутизатор мог передавать трафик из одного VLAN в другой (из одной сети в другую), необходимо, чтобы в каждой сети у него был интерфейс. Для того чтобы не выделять под сеть каждого VLAN отдельный физический интерфейс, создаются логические подынтерфейсы на физическом интерфейсе для каждого VLAN.

На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как тегированный порт (в терминах Cisco — транк).

Изображенная схема, в которой маршрутизация между VLAN выполняется на маршрутизаторе, часто называется router on a stick.

IP-адреса шлюза по умолчанию для VLAN (эти адреса назначаются на подынтерфейсах маршрутизатора R1):

VLAN IP-адрес
VLAN 2 10.0.2.1 /24
VLAN 10 10.0.10.1 /24
VLAN 15 10.0.15.1 /24

Для логических подынтерфейсов необходимо указывать то, что интерфейс будет получать тегированный трафик и указывать номер VLAN соответствующий этому интерфейсу. Это задается командой в режиме настройки подынтерфейса:

R1(config-if)# encapsulation dot1q <vlan-id>

Создание логического подынтерфейса для VLAN 2:

R1(config)# interface fa0/0.2
R1(config-subif)# encapsulation dot1q 2
R1(config-subif)# ip address 10.0.2.1 255.255.255.0

Создание логического подынтерфейса для VLAN 10:

R1(config)# interface fa0/0.10
R1(config-subif)# encapsulation dot1q 10
R1(config-subif)# ip address 10.0.10.1 255.255.255.0

Соответствие номера подынтерфейса и номера VLAN не является обязательным условием. Однако обычно номера подынтерфейсов задаются именно таким образом, чтобы упростить администрирование.

На коммутаторе порт, ведущий к маршрутизатору, должен быть настроен как статический транк:

interface FastEthernet0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk

Пример настройки

Конфигурационные файлы устройств для схемы изображенной в начале раздела.

Конфигурация sw1:

!
interface FastEthernet0/1
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/2
 switchport mode access
 switchport access vlan 2
!
interface FastEthernet0/3
 switchport mode access
 switchport access vlan 15
!
interface FastEthernet0/4
 switchport mode access
 switchport access vlan 10
!
interface FastEthernet0/5
 switchport mode access
 switchport access vlan 10
!
interface FastEthernet0/20
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 2,10,15
!

Конфигурация R1:

!
interface fa0/0.2
 encapsulation dot1q 2
 ip address 10.0.2.1 255.255.255.0
!
interface fa0/0.10
 encapsulation dot1q 10
 ip address 10.0.10.1 255.255.255.0
!
interface fa0/0.15
 encapsulation dot1q 15
 ip address 10.0.15.1 255.255.255.0
!

Настройка native VLAN

По умолчанию трафик VLAN’а 1 передается не тегированым (то есть, VLAN 1 используется как native), поэтому на физическом интерфейсе маршрутизатора задается адрес из сети VLAN 1.

Задание адреса на физическом интерфейсе:

R1(config)# interface fa0/0
R1(config-if)# ip address 10.0.1.1 255.255.255.0

Если необходимо создать подынтерфейс для передачи не тегированного трафика, то в этом подынтерфейсе явно указывается, что он принадлежит native VLAN. Например, если native VLAN 99:

R1(config)# interface fa0/0.99
R1(config-subif)# encapsulation dot1q 99 native
R1(config-subif)# ip address 10.0.99.1 255.255.255.0

Настраиваем VTPv3

Первое, что нужно сделать, чтобы включить поддержку VTPv3 – задать имя vtp-домена в явном виде. В предыдущих версиях протокола это было не нужно – коммутатор стартово обладал именем vtp-домена “NULL” и менял его на другое, получив первое VTP-сообщение. Теперь же до включения протокола VTPv3 Вы должны задать не-дефолтное имя VTP домена в явном виде. Команда, впрочем та же – .

Второе – надо включить поддержку 802.1t, называемого чаще extended system-id. Соответствие данному стандарту будет подразумевать, что в параметре BID во всех BPDU будет не два поля – приоритет и Base MAC, а три – приоритет, VLAN ID и Base MAC. То есть, если без 802.1t на приоритет отдавалось 16 бит, то после его включения формат bridge ID (BID) будет выглядеть так:

  • 4 бита на приоритет
  • 12 бит на VLAN ID
  • 48 бит на Base MAC

Про этот стандарт и его основное применение (в протоколах семейства Spanning Tree), думается, лучше написать отдельно, а для нас будет достаточно то, что он меняет формат BID и что его надо включать, чтобы можно было переключиться в VTPv3. Включается поддержка 802.1t командой .

После этого уже можно переключаться – . Убедиться, что переключение произошло, можно сделав и увидев в первых строчках такое:

Ну, а подробно разобрать VTPv3 придётся в отдельной статье – иначе эта превратится в мини-книжку.

Вот, кстати, ссылка на неё: Протокол VTPv3.

spanning-tree mst

To set the path cost and port-priority parameters for any Multiple Spanning Tree (MST) instance (including the Common and Internal Spanning Tree with instance ID 0), use the spanning-tree mst command in interface configuration mode. To return to the default settings, use the no form of this command.

spanning-tree mstinstance-id {{costcost | port-prioritypriority} | pre-standard}

no spanning-tree mstinstance-id {{cost | port-priority} | pre-standard}

Command Default

The defaults are as follows:

•cost depends on the port speed; the faster interface speeds indicate smaller costs. MST always uses long path costs.

•priority is 128.

Switched Network

Крайне важно понимать, как работают коммутаторы, если мы хотим найти и использовать их уязвимости. Мы не обязательно эксплуатируем само устройство, а скорее протоколы и конфигурации, инструктирующие, как они работают

На коммутаторе порт или настроен как порт доступа или как порт транкинга. Порт доступа обычно используется при подключении хоста к коммутатору. С реализацией VLAN каждый порт доступа назначен только одной VLAN. Транкинговый порт используется при соединении двух коммутаторов или коммутатора и маршрутизатора. Транкинговые порты позволяют использовать трафик из нескольких VLAN. Магистральный порт можно настроить вручную или создать динамически с помощью протокола динамической магистрали (dtp).

DTP является проприетарным протоколом Cisco, где одно использование должно динамично установить магистральное соединение между двумя коммутаторами.

[править] Описание протокола

Версии протокола

Версия 3 VTP доступна:

  • на 2960 с 12.2(52)SE
  • на 3560 с 12.2(55)SE
  • на 3750 с 12.2(52)SE

Сообщения VTP

  • Summary advertisements
  • Subset advertisements
  • Advertisement requests
  • VTP Join messages (используются для pruning)

Режимы работы протокола

На коммутаторе VTP может работать в трёх режимах:

  • Server (режим по умолчанию):
    • Можно создавать, изменять и удалять VLAN из командной строки коммутатора,
    • Генерирует объявления VTP и передает объявления от других коммутаторов,
    • Может обновлять свою базу данных VLAN при получении информации не только от других VTP серверов но и от других VTP клиентов в одном домене, с более высоким номером ревизии.
    • Сохраняет информацию о настройках VLAN в файле vlan.dat во flash.
  • Client:
    • Нельзя создавать, изменять и удалять VLAN из командной строки коммутатора,
    • Передает объявления от других коммутаторов,
    • Синхронизирует свою базу данных VLAN при получении информации VTP,
    • Сохраняет информацию о настройках VLAN в файле vlan.dat во flash.
  • Transparent:
    • Можно создавать, изменять и удалять VLAN из командной строки коммутатора, но только для локального коммутатора,
    • Не генерирует объявления VTP,
    • Передает объявления от других коммутаторов,
    • Не обновляет свою базу данных VLAN при получении информации по VTP,
    • Сохраняет информацию о настройках VLAN в NVRAM,
    • Всегда использует configuration revision number 0.

В версии 3 VTP добавился новый режим работы и изменились некоторые режимы работы, по сравнению с предыдущими версиями:

  • Server:
    • Добавилась поддержка Private VLAN
    • Могут анонсироваться VLAN из расширенного диапазона
  • Client:
    • Настройки VLAN сохраняются в NVRAM и в режиме клиента
    • Добавилась поддержка Private VLAN
    • Могут анонсироваться VLAN из расширенного диапазона
  • Transparent

    без изменений

    :

  • Off:
    • Новый режим работы VTP, который добавился в 3 версии.
    • Не передает объявления VTP.
    • В остальном аналогичен режиму Transparent

Диапазоны VLAN

Диапазоны VLAN:

  • VTP версии 1 и 2 не анонсирует эти VLAN, они не могут быть исключены (pruned):
    • 1 — нормальный (normal) диапазон,
    • 1002-1005 — нормальный (normal) диапазон,
    • 1006-4094 — расширенный (extended) диапазон,
  • VTP версии 1 и 2 анонсирует эти VLAN, они могут быть исключены (pruned)

VLAN database

Сервера VTP должны иметь возможность сохранять информацию, полученную в обновлениях VTP от других серверов, без участия администратора.
Для этого в коммутаторах Cisco под управлением IOS используется VLAN database.
Это отдельный файл, который хранится во флеш и называется vlan.dat.

При обнулении конфигурации коммутатора, VLAN database не затрагивается, поэтому зачастую получается, что информация о VLAN и настройках VTP сохраняется после обнуления и перезагрузки коммутатора.
Для того чтобы удалить VLAN database необходимо удалить файл vlan.dat.

Можно изменить название файла в котором хранится VLAN database:

sw(config)# vtp file <filename>

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий