1、VTP(vlan 数据库同步协议):凡是同个网络中开启了VTP协议的网络设备,客户端上的vlan全部来自与服务端的vlan。就是全网vlan数据库同步,不用自己一个一个的去配置。
①VTP具有三个模式,server、client、tranceport。即服务模式、客户端模式、透明模式。
②server负责发送数据库同步报文,client负责接收并同步vlan数据库,透明模式则不同步vlan,但是他也会转发该报文。也就是透明模式自己做自己的vlan数据库。
③每一个设备都默认自己是server,在两个server之间传递vlan数据库报文是以修订号高的优先,高的覆盖低的vlan数据库。
④配置VTP时,要求他们都在同一个domain里面,且VTP密码要一致。
⑤VTP的报文只在Trunk链路上传输,在非Trunk链路上无法传输。
⑥server自动向全网泛洪vlan数据库,client自动同步数据库,但是client不能自己创建、修改、删除vlan,只能同步server的数据库。
特别注意:当我们配置VTP时,不要将没有接入网络中的交换机路由贸然接入网络中,因为我们的设备默认都是server模式,如果我们新加入的设备的修订号比网络中server的修订号还要高时,那么就会自动将自己的vlan数据库同步给全部设备,这时可能全网的vlan数据库都会发送变化。我们因该将加入的设备改为transport模式,或者提前查看vtp的修订号为多少,低于server的才可以。
VTP配置:
# server端配置 vlan database vtp domain aaa.com //配置域名 vtp password 123456 //配置vtp密钥 vtp server //指定该设备vtp模式 # client端配置 vlan database vtp domain aaa.com //配置域名 vtp password 123456 //配置vtp密钥 vtp client //指定该设备vtp模式 # 透明模式配置 vlan database vtp domain aaa.com //配置域名 vtp password 123456 //配置vtp密钥 vtp transport//指定该设备vtp模式
# 查看vtp配置情况:show vtp status
2、DTP(自动Trunk协商协议):用于链路两端自动协商Trunk,也就是当其中一端设置为trunk,那么另一端开启的DTP协议 ,那么另一端就不需要在手工去配置。
①DTP有三种模式,desirable(主动)、auto(自动)、on(手工)。desirable可以主动发送DTP报文,auto不发送DTP报文,on可以主动发送DTP报文。
②
一端为desirable,另一端为desirable ,可以自动协商Trunk。
一端为desirable,另一端为auto,可以自动协商Trunk。
一端为desirable,另一端为on,可以自动协商Trunk。
一端为on,另一端为auto,可以自动协商Trunk。
一端为on,另一端为on,不能自动协商Trunk。两端都需要手工指定。
一端为auto,另一端为auto,不能自动协商Trunk。
③DTP报文伪造,恶意攻击者伪造DTP报文使当前的交换机接口与自己的终端形成Trunk链路,这样就能获取全网vlan的流量。防御就是不开启自动协商Trunk。也可以将用户或者没用的端口置为access。或者将没用的端口都加入到一个vlan中。
配置:
interface f0/1 switchport mode dynamic desirable/auto/on //修改Trunk协商模式
3、端口镜像:就是将某一个或者某一些端口的流量(出或者进)复制一份,然后将复制的流量在转发给另一个端口。一般该端口为流量分析平台或者流量安全检测平台。
①端口镜像的目的端口不能作为普通端口使用。
配置:
# 端口镜像: monitor session 1 source interface fastethernet 0/1 both/rx/tx //将f0/1接口进/出/双向的流量复制一份。1表示monitor的组号。 monitor session 1 destination interface fastethernet f1/2 //将从f0/1收集的流量转发到f1/2端口。 # 查看monitor show monitor
4、端口隔离:在同vlan中的终端不允许互相通信,则可以使用端口隔离技术。
①两个设备都开启了端口隔离,则无法相互通信。一端开启一端没有开启则可以通信。
②能达到与端口隔离一样效果的技术是PVLAN技术。
配置:
interface f0/1 switchport protected exit interface f0/2 switchport protected // 两个开启端口隔离的终端无法通信。
5、端口聚合:又叫端口保绑定,将交换机的多个端口在逻辑上绑定为一个端口使用。
①端口聚合有两种模式,一种是手工捆绑、一种是自动捆绑。
②自动捆绑又有两种协议,一种是思科私有pagp,一种是共有lacp。
③手工捆绑最多同时捆绑4条链路,pagp最多捆绑8条链路,lacp最多捆绑16条链路。
④端口捆绑的前提是,所要捆绑的端口的类型、速率、双工模式等属性都要一致。也就是从宏观上看端口要一模一样才能捆绑。
⑤配置端口聚合时一般先将端口down掉在配置端口聚合。
配置:
// pagp 配置(私有) interface range f0/1 - 3 //进入相应端口 channel-protocol pagp channel-group 1 mode desirable/auto //主动/被动 // lacp配置(共有) interface range f0/1 - 3 //进入相应端口 channel-protocol lacp channel-group 1 mode active/passive 主动/被动 // 手工(on) interface range f0/1 - 3 //进入相应端口 channel-group 1 mode on //interface port 1 //进入捆绑接口
标签:配置,vtp,vlan,端口,server,VTP,Trunk,DTP From: https://www.cnblogs.com/WorldNoBug/p/16639586.html