playboy plus美女视频,3x美女视频

40臺(tái)交換機(jī)該如何管？VLAN亮絕招 - 豬也有理想 - 網(wǎng)易博客

2008.07.23

40臺(tái)交換機(jī)該如何管？VLAN亮絕招

編者按：很多管理員都熟悉微軟的活動(dòng)目錄，這是一種通過(guò)單一、穩(wěn)定的管理界面集中管理Windows 用戶、客戶端和服務(wù)器，以減少冗余、降低維護(hù)成本的服務(wù)。但很多管理員對(duì)網(wǎng)絡(luò)設(shè)備的集中管理卻不十分熟悉。本文討論在面對(duì)幾十臺(tái)甚至上百的交換機(jī)進(jìn)行VLAN配置和管理的時(shí)候，部署集中管理的方法。

起始：40多臺(tái)交換機(jī)，我可怎么辦？

某網(wǎng)吧的網(wǎng)管員跳槽來(lái)到了一家房地產(chǎn)集團(tuán)任職。樓市的火爆使得這家房地產(chǎn)公司的規(guī)模迅速膨脹，公司新招聘的員工幾乎翻了9倍，網(wǎng)絡(luò)接入點(diǎn)從原來(lái)的140多個(gè)瘋長(zhǎng)到600多個(gè)。集團(tuán)采購(gòu)了30多臺(tái)交換機(jī)，加上原有的10多臺(tái)，交換機(jī)的數(shù)量達(dá)到了40多臺(tái)，整個(gè)網(wǎng)絡(luò)共有VLAN20多個(gè)，網(wǎng)管員看著半個(gè)屋子的交換機(jī)，他該怎么辦呢？是手工輸入800多條VLAN配置命令嗎？

如果沒(méi)有一種集中管理VLAN的方法，就需要在每個(gè)交換機(jī)上設(shè)置，工作量比較大，如果在用戶接入層上修改或者添加刪除VLAN則很費(fèi)神。是不是可以讓全部接入交換機(jī)都從核心交換機(jī)上自動(dòng)學(xué)習(xí)VLAN，只需要在核心上修改VLAN，接入交換機(jī)只是將端口加入相應(yīng)VLAN就可以了呢？

分析：VTP、GVRP與網(wǎng)友的三方爭(zhēng)論

1． VTP：用我就可以管理交換機(jī)網(wǎng)絡(luò)了!

VLAN干道協(xié)議（VTP，VLAN Trunking Protocol）是Cisco專(zhuān)用的協(xié)議，其他品牌的交換機(jī)一般也都支持。VTP協(xié)議可以減少VLAN相關(guān)的管理任務(wù)。在VTP服務(wù)器上配置了新的VLAN時(shí)，關(guān)于這個(gè)VLAN信息會(huì)在VTP域內(nèi)所有的交換機(jī)上傳播。通常VTP負(fù)責(zé)在VTP域內(nèi)同步VLAN信息，這樣就不必在每臺(tái)交換機(jī)上配置相同的VLAN信息，如下圖所示。

VTP是一種２層的消息協(xié)議，通過(guò)以網(wǎng)絡(luò)為單位管理VLAN的增加、刪除和重命名，來(lái)實(shí)現(xiàn)VLAN配置的一致性。VTP可以減少VLAN的錯(cuò)誤配置，比如VLAN名稱重復(fù)，錯(cuò)誤的VLAN類(lèi)型說(shuō)明和違背安全性的做法，都會(huì)引起一系列的問(wèn)題，而VTP能將錯(cuò)誤配置減到最少。

可以使用VTP來(lái)管理網(wǎng)絡(luò)中VLAN 1至1005（VTP不支持Catalyst 6000上的VLAN1025到4094）。有了VTP，就可以集中在一臺(tái)交換機(jī)上進(jìn)行配置變更，所作的變更會(huì)自動(dòng)地傳送到網(wǎng)絡(luò)中的所有其他交換機(jī)上（假設(shè)這些交換機(jī)屬于同一個(gè)VTP域）。關(guān)于VTP，需要了解以下重要的信息：

* VTP通過(guò)發(fā)送到特定MAC地址：01-00-0C-CC-CC-CC的組播VTP消息進(jìn)行工作；

* VTP通告（Aduertisements）只通過(guò)trunk端口傳遞；

* VTP消息（Messages）通過(guò)VLAN 1傳送。（這就是不能將VLAN1從trunk中去除的原因）；

* 只有在經(jīng)過(guò)了DTP自動(dòng)協(xié)商，啟動(dòng)了trunk時(shí)，VTP信息才會(huì)沿著802.1 trunk傳送（DTP是用于自動(dòng)協(xié)商端口trunk狀態(tài)，不要與trunk封裝類(lèi)型相混淆）。

2． GVRP：可注冊(cè)GVRP特性更重要

對(duì)VLAN進(jìn)行集中管理的技術(shù)中，除了Cisco的VTP之外還有標(biāo)準(zhǔn)的GVRP協(xié)議。GVRP（GARP VLAN Registration Protocol，GARP VLAN注冊(cè)協(xié)議）是GARP的一種應(yīng)用，它基于GARP的工作機(jī)制，維護(hù)交換機(jī)中的VLAN動(dòng)態(tài)注冊(cè)信息，并傳播該信息到其它的交換機(jī)中。

所有支持GVRP特性的交換機(jī)能夠接收來(lái)自其它交換機(jī)的VLAN注冊(cè)信息，并動(dòng)態(tài)更新本地的VLAN注冊(cè)信息，包括當(dāng)前的VLAN成員、這些VLAN成員可以通過(guò)哪個(gè)端口到達(dá)等。而且所有支持GVRP特性的交換機(jī)能夠?qū)⒈镜氐腣LAN注冊(cè)信息向其它交換機(jī)傳播，以便使同一交換網(wǎng)內(nèi)所有支持GVRP特性的設(shè)備的VLAN信息達(dá)成一致。GVRP傳播的VLAN注冊(cè)信息既包括本地手工配置的靜態(tài)注冊(cè)信息，也包括來(lái)自其它交換機(jī)的動(dòng)態(tài)注冊(cè)信息。GVRP在IEEE 802.1Q標(biāo)準(zhǔn)文本中有詳細(xì)的表述。

GVRP的主要作用是在802.1QTrunk口上實(shí)現(xiàn)提供802.1Q兼容的VLAN修剪與動(dòng)態(tài)VLAN創(chuàng)建。使用GVRP，交換機(jī)可以和其它使用GVRP的交換機(jī)交換VLAN配置信息，在802.1Q Trunk鏈路上修剪不需要的廣播和未知的單播流量，動(dòng)態(tài)創(chuàng)建和管理VLAN。

網(wǎng)友的“steven”意見(jiàn)：

實(shí)際工作中，自己感覺(jué)如果交換機(jī)和VLAN不是很多，起GVRP用處不大，如果VLAN多或者接入層設(shè)備很多且多數(shù)接入交換機(jī)上可能需要存在多個(gè)VLAN的情況下，啟用GVRP還是比較方便的。但個(gè)人覺(jué)得GVRP的配置步驟要比VTP的配置負(fù)責(zé)的多，我在工程中很少用到它。同時(shí)也害怕朋友們由于GVRP的復(fù)雜的命令行，很難配置成功。關(guān)于GVRP的應(yīng)用，我記得只是在一些高端交換機(jī)，或者在思科產(chǎn)品中的COS交換機(jī)才支持GVRP。

網(wǎng)友“Benner” 的不同意見(jiàn)：

像我們這里，兩個(gè)9512做核心，30多個(gè)H3C3600做接入，整個(gè)網(wǎng)絡(luò)共有VLAN20多個(gè)，如果沒(méi)有GVRP就需要在每個(gè)交換機(jī)上設(shè)置，其工作量比較大，如果在用戶接入層上修改或者添加刪除VLAN則很費(fèi)神。所以，我全部啟用GVRP，這樣全部接入交換機(jī)就都從核心上自動(dòng)學(xué)習(xí)VLAN，你只需要在核心上修改VLAN就可以了，接入交換機(jī)只是將端口加入相應(yīng)VLAN就可以了。而且這樣以后，每個(gè)接入層交換機(jī)的基本配置都一樣，所不同的僅僅是管理IP不同，只需要備份一個(gè)設(shè)備的配置就可以了。實(shí)際上，在網(wǎng)絡(luò)一次性配置好以后修改的機(jī)會(huì)也不多

深入：VTP工作原理分析

VTP的度與VLAN的集中管理主要通過(guò)VTP域（VTP Domain）的方式，也被稱為VLAN管理域（VLAN management domain），它是由一個(gè)以上共享VTP域名的相互連接的交換機(jī)組成的。

缺省情況下，交換機(jī)處于VTP服務(wù)器模式，并且不屬于任何管理域，直到交換機(jī)通過(guò)中繼鏈路接收了關(guān)于一個(gè)域的通告，或者在交換機(jī)上配置了一個(gè)VLAN管理域，交換機(jī)才能在VTP服務(wù)器上把創(chuàng)建或者更改VLAN的消息通告給本管理域內(nèi)的其他交換機(jī)。

同樣，默認(rèn)情況下交換機(jī)不傳播VLAN信息，必須配置VTP域，用來(lái)跨中繼鏈路傳播VLAN信息。為了在交換機(jī)間共享VLAN信息，必須使所有交換機(jī)具有相同VTP域名，其中至少一臺(tái)必須被設(shè)置為VTP服務(wù)器，其他交換機(jī)應(yīng)當(dāng)設(shè)置為VTP客戶機(jī)。一臺(tái)交換機(jī)可以屬于也只能屬于一個(gè)VTP域。

可以在交換機(jī)上配置VTP的有四種操作模式：服務(wù)器模式、客戶機(jī)模式、透明模式和關(guān)閉模式。

* 服務(wù)器（Server）

VTP服務(wù)器上維護(hù)著VTP域內(nèi)所有VLAN的完整列表。在VTP服務(wù)器模式下，你可以創(chuàng)建、修改和刪除VLAN，并能為整個(gè)VTP域指定其他的配置參數(shù)（比如VTP版本和VTP修剪）。VTP服務(wù)器會(huì)將自己的VLAN配置通告給相同VTP域內(nèi)的其他交換機(jī)，并根據(jù)從trunk鏈路上接收到的通告來(lái)實(shí)現(xiàn)與其他交換機(jī)之間VLAN配置的同步。VTP服務(wù)器是所有Catalyst交換機(jī)的缺省模式。

提示：VTP信息存儲(chǔ)在非易失隨機(jī)訪問(wèn)存儲(chǔ)（NVRAM）中。當(dāng)一臺(tái)未經(jīng)配置的思科交換機(jī)第一次上電開(kāi)機(jī)的時(shí)候，它的默認(rèn)模式是服務(wù)器模式。

* 客戶端（Client）

VTP客戶端上也維護(hù)著VTP域內(nèi)所有VLAN的列表。但是，它不會(huì)將該信息存放到NVRAM中。VTP客戶端與VTP服務(wù)器的工作方式相同，但不支持創(chuàng)建、更改或者刪除VLAN。任何更改都必需通過(guò)VTP服務(wù)器通告實(shí)現(xiàn)。

* 透明（Transparent）

于VTP透明模式下的交換機(jī)忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報(bào)文轉(zhuǎn)發(fā)出去。它只擁有本設(shè)備上的VLAN信息。VTP透明交換機(jī)和VTP客戶交換機(jī)不同，VLAN可以在這些交換機(jī)上手工配置。如果配置為VTP 域的一部分，它們可以從VTP 服務(wù)器接收VLAN 配置信息。然而，他們不會(huì)通知VTP 域本地配置的VLAN。配置成透明模式的交換機(jī)還是會(huì)收到VTP 配置幀并傳遞這些幀到所有的骨干端口。這允許VTP 客戶交換機(jī)可以連接到一個(gè)VTP 透明交換機(jī)?？蛻艚粨Q機(jī)通過(guò)透明交換機(jī)還是可以和VTP 服務(wù)器交換VLAN 配置信息。

* 關(guān)閉（Off）

在VTP off模式下，交換機(jī)的工作方式與VTP透明模式類(lèi)似，只是不轉(zhuǎn)發(fā)VTP通告。

解決：VTP部署方案步驟

1．基本配置

* 核心交換機(jī)

sw_server#vlan database （進(jìn)入VLAN配置模式）

sw_server（vlan）#vtp domain school （設(shè)置VTP管理域名稱school）

sw_server（vlan）#vtp server （設(shè)置交換機(jī)為服務(wù)器模式）

這里設(shè)置核心交換機(jī)為Server模式，是指允許在該交換機(jī)上創(chuàng)建、修改、刪除VLAN及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來(lái)的最新的VLAN信息；

* 客戶端交換機(jī)

sw_client1#vlan database

sw_client1（vlan）#vtp domain school （加入school域）

sw_client1（vlan）#vtp client （設(shè)置交換機(jī)為客戶端模式）

其它交換機(jī)同sw_client1。Client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲(chǔ)VLAN配置，但可同步由本VTP域中其他交換機(jī)傳遞來(lái)的VLAN信息。

2．更新版本

到目前為止，VTP 具有三種版本。其中 VTP v2 與 VTP v1 區(qū)別不大，主要不同在于：VTP v2 支持令牌環(huán) VLANs，而 VTP v1 不支持。通常只有在使用 Token Ring VLANs 時(shí)，才會(huì)使用到 VTP v2，否則一般情況下并不使用 VTP v2。如果一個(gè)VTP域內(nèi)的所有交換機(jī)都支持版本2，你只需要在一臺(tái)交換機(jī)上啟用，這個(gè)版本號(hào)會(huì)傳播給域內(nèi)的所有交換機(jī)。需要注意，你不能同時(shí)使用2個(gè)版本的VTP。配置版本2的命令如下：

* 啟用版本2： vtp version 2

* 禁用版本2： no vtp version 2

* 查看VTP狀態(tài)：show vtp status

由于VTP v3不能直接處理VLAN事務(wù)，它只負(fù)責(zé)管理域（Administrative Domain）內(nèi)不透明數(shù)據(jù)庫(kù)的分配任務(wù)，這里不再進(jìn)行深入分析。

3．VTP口令安全

如果不希望新交換機(jī)自動(dòng)加入到管理域中，需要設(shè)置密碼。如果設(shè)置了密碼，除非設(shè)置了正確的密碼，新交換機(jī)不能加入到已存在的管理域中。這使得配置新交換機(jī)需要耗費(fèi)時(shí)間。

為了增加管理域的安全性，域中每個(gè)交換機(jī)都需要配置域名和密碼。例如：將Vtptest管理域設(shè)置為安全管理域，可以參照下表的步驟：

步驟命令解釋

1 configure terminal 進(jìn)入全局配置模式

2 vtp domain vtptest 配置VTP域名

3 vtp mode server 配置VTP運(yùn)行模式

4 vtp password mypassword 配置VTP口令

5 exit 返回到特權(quán)模式

6 show vtp status 查看VTP配置

7 switch（config）#no vtp password 刪除VTP管理域中的口令恢復(fù)到缺省狀態(tài)

4．VTP修剪

VTP修剪是VTP的一個(gè)功能，它能減少中繼鏈路上不必要的信息量。缺少情況下，發(fā)給某個(gè)VLAN的廣播會(huì)送到每一個(gè)在中繼上承載該VLAN的交換機(jī)。即使交換機(jī)上沒(méi)有位于那個(gè)VLAN的端口也是如此。VTP能過(guò)修剪，來(lái)沒(méi)有心要擴(kuò)散的通信量，提高中繼的帶寬利用率。僅當(dāng)中繼鏈路接收端上的交換機(jī)在那個(gè)VLAN中有端口時(shí)，才會(huì)將該VLAN的廣播和未知單播轉(zhuǎn)發(fā)到該中繼鏈路上。配置VTP修剪的命令如下：

* 啟動(dòng)VTP修剪：vtp pruning

* 從可修剪列表中去除某VLAN：switchport trunk pruning vlan remove vlan-id

* 檢查VTP修剪的配置：show vtp status和show interface interface-id switchport

注意：用逗號(hào)分隔不連續(xù)的VLAN ID，其間不要有空格，用短線表明一個(gè)ID范圍。比如去除VLAN2、3、4、6和8，命令如下：switchport trunk pruning vlan remove 2-4，6，8。

小結(jié)：配置VTP的相關(guān)命令

1. configure terminal 進(jìn)入全局配置模式

2. vtp domain name 配置VTP域名，啟用VTP

3. vtp mode [server | client | transparent] 配置或改變VTP運(yùn)行模式

4. vtp password password 配置VTP口令

5. vtp pruning 啟動(dòng)VTP修剪

6. switchport trunk pruning vlan remove vlan-id 從可修剪列表中去除某VLAN

7. vtp version 2 啟用VTP版本2