cisco minősítések, tippek
TRANSCRIPT
VTP
Teszt topológia
Kuris Ferenc - [HUN] Cisco Blog -www.hunciscoblog.wordpress.com
2
SW1
SW2SW3
E1/0 E1/0
E1/0E1/1
Alap konfiguráció
SW1-2-3
conf t
interface e1/0
switchport trunk encapsulation dot1q
switchport mode trunk
vtp domain CCIE
vtp mode transparent
vtp password CCIE
end
Kuris Ferenc - [HUN] Cisco Blog -www.hunciscoblog.wordpress.com
3
VTP
• VLAN Trunking Protocol– Semmi köze a broadcast domain-hez!
• DTP – VTP kapcsolat: DTP hibára fut két különböző VTP domain közötti trunk-nél DTP kikapcsolás, switchport mode trunk + sw nonegotiate a megoldás (lásd syslog alul)
• Password MD5 hash-ben kerül kiküldésre, nem cleartext. De látszik clear text-ben show paranccsal.
*Mar 1 05:58:28: %DTP-5-DOMAINMISMATCH: Unable to perform trunk
negotiation on port Fa0/13 because of VTP domain mismatch.
4Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
Az élet VTP nélkül
• VLAN létrehozás/módosítás/törlés: minden switchen el kell végezni kézzel
– van rá 3 napunk ?
– Script
• Demo
5Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
Az élet VTP-vel
• Demo
6Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
Alapértelmezett értékek
Switch Null domain névvel kap egy VTP üzenetet felveszi a domain nevet!VTP disaster lehetőség
7Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
A VTP módjai
• Server - alapértelmezett
• Client
• Transparent – csak továbbítja a VTP üzeneteket, saját adatbázisban tárolja a VLAN-okat (+ runningconfig), módosítása nem érinti a többi switchet
• (Off)
• A kliens felül tudja írni a szerver adatbázisát VTP „katasztrófa”
8Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP helyes működéshez kell
• Működő trunk
• VTP domain name
• (Password)
• Revision numbereknek minden switchenegyezni kell, magasabb felülírja az alacsonyabbat
9Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTPv2
• Token Ring Support
• Unrecognised TLV supported
• Domain-dependent Transparent mode– Elvileg nem kell egyezni a domain névnek már, CCIE myth
– http://blog.ipexpert.com/old-ccie-myths-vtp/
• Consistency checks– VLAN consistency checks (such as VLAN names and
values) are performed only when you enter new information through the CLI or SNMP
• Még mindig nem támogatja az Extended range (1006-4094) VLAN-okat
10Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP messages
• VTP message types:– Summary advertisements – 5 percenként, domain név és
revision ID– Subset advertisement– Advertisement requests– VTP join messages – VTP Join message contains VTP
domain name, and a VLAN bit string. If the bit is set, flood traffic for that VLAN should be received on that trunk. Each trunk port maintains a state variable per VLAN -Joined/Pruned. If the state is Joined, the trunk port is allowed to send broadcast and flooded unicast traffic on this VLAN. - See more at: https://supportforums.cisco.com/discussion/10241031/vtp-join-message#sthash.mlsgfVYz.dpuf
11Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP Pruning
• Nem szükséges broadcast forgalom kiszűrése
• Spanning-Tree még mindig fut a VLAN-ra!
• Csak a VTP serveren kell beállítani, az egész domain-re érvényesül
12Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP Pruning – Red VLAN
13Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP Pruning – Red VLAN
14Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTPv3
• Régen 6500-asok tudták, IOS15-tel már több switch is (pl. 3560-asok 32 MB-os flash-sel)
• Új authentikáció - show parancs nem clear-text
• Private VLAN támogatás (!)
• MST-t is tud „szórni” (!)
• Unknown instance: későbbi felhasználásra
• Kétféle VTP server, alapból secondary, kézzel primary– #vtp primary
• Per-port VTP kikapcsolás (no vtp a trunk portokon)
15Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
VTP Pruning + Transparent
• http://ieoc.com/forums/t/14926.aspx
Kuris Ferenc - [HUN] Cisco Blog -www.hunciscoblog.wordpress.com
16
Trükkök
• A VTP version 2-capable switch can operate in the same VTP domain as a switch running VTP version 1 if version 2 is disabled on the version 2-capable switch (version 2 is disabled by default).
• If a switch running VTP version 1 but capable of running VTP version 2 receives VTP version 3 advertisements, it automatically moves to VTP version 2.
• If a switch running VTP version 3 is connected to a switch running VTP version 1, the VTP version 1 switch moves to VTP version 2, and the VTP version 3 switch sends scaled-down versions of the VTP packets so that the VTP version 2 switch can update its database.
• A switch running VTP version 3 cannot move to version 1 or 2 if it has extended VLANs.
17Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
show vtp status
SW1#sh vtp status
VTP Version : 2
Configuration Revision : 1071
Maximum VLANs supported locally : 1005
Number of existing VLANs : 58
VTP Operating Mode : Server
VTP Domain Name : CCIE
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Enabled
MD5 digest : 0x4A 0x3B 0x0F
0xC9 0xD5 0x58 0x5C 0x39
18Kuris Ferenc - [HUN] Cisco Blog -
www.hunciscoblog.wordpress.com
Kérdések?
•
Kuris Ferenc - [HUN] Cisco Blog -www.hunciscoblog.wordpress.com
19