1、VTP(vlan 数据库同步协议):凡是同个网络中开启了VTP协议的网络设备,客户端上的vlan全部来自与服务端的vlan。就是全网vlan数据库同步,不用自己一个一个的去配置。
①VTP具有三个模式,server、client、tranceport。即服务模式、客户端模式、透明模式。
②server负责发送数据库同步报文,client负责接收并同步vlan数据库,透明模式则不同步vlan,但是他也会转发该报文。也就是透明模式自己做自己的vlan数据库。
③每一个设备都默认自己是server,在两个server之间传递vlan数据库报文是以修订号高的优先,高的覆盖低的vlan数据库。
④配置VTP时,要求他们都在同一个domain里面,且VTP密码要一致。
⑤VTP的报文只在Trunk链路上传输,在非Trunk链路上无法传输。
⑥server自动向全网泛洪vlan数据库,client自动同步数据库,但是client不能自己创建、修改、删除vlan,只能同步server的数据库。
特别注意:当我们配置VTP时,不要将没有接入网络中的交换机路由贸然接入网络中,因为我们的设备默认都是server模式,如果我们新加入的设备的修订号比网络中server的修订号还要高时,那么就会自动将自己的vlan数据库同步给全部设备,这时可能全网的vlan数据库都会发送变化。我们因该将加入的设备改为transport模式,或者提前查看vtp的修订号为多少,低于server的才可以。
VTP配置:
2、DTP(自动Trunk协商协议):用于链路两端自动协商Trunk,也就是当其中一端设置为trunk,那么另一端开启的DTP协议 ,那么另一端就不需要在手工去配置。
①DTP有三种模式,desirable(主动)、auto(自动)、on(手工)。desirable可以主动发送DTP报文,auto不发送DTP报文,on可以主动发送DTP报文。
一端为desirable,另一端为desirable ,可以自动协商Trunk。
一端为desirable,另一端为auto,可以自动协商Trunk。
一端为desirable,另一端为on,可以自动协商Trunk。
一端为on,另一端为auto,可以自动协商Trunk。
一端为on,另一端为on,不能自动协商Trunk。两端都需要手工指定。
一端为auto,另一端为auto,不能自动协商Trunk。
③DTP报文伪造,恶意攻击者伪造DTP报文使当前的交换机接口与自己的终端形成Trunk链路,这样就能获取全网vlan的流量。防御就是不开启自动协商Trunk。也可以将用户或者没用的端口置为access。或者将没用的端口都加入到一个vlan中。
配置:
3、端口镜像:就是将某一个或者某一些端口的流量(出或者进)复制一份,然后将复制的流量在转发给另一个端口。一般该端口为流量分析平台或者流量安全检测平台。
①端口镜像的目的端口不能作为普通端口使用。
配置:
4、端口隔离:在同vlan中的终端不允许互相通信,则可以使用端口隔离技术。
①两个设备都开启了端口隔离,则无法相互通信。一端开启一端没有开启则可以通信。
②能达到与端口隔离一样效果的技术是PVLAN技术。
配置:
5、端口聚合:又叫端口保绑定,将交换机的多个端口在逻辑上绑定为一个端口使用。
①端口聚合有两种模式,一种是手工捆绑、一种是自动捆绑。
②自动捆绑又有两种协议,一种是思科私有pagp,一种是共有lacp。
③手工捆绑最多同时捆绑4条链路,pagp最多捆绑8条链路,lacp最多捆绑16条链路。
④端口捆绑的前提是,所要捆绑的端口的类型、速率、双工模式等属性都要一致。也就是从宏观上看端口要一模一样才能捆绑。
⑤配置端口聚合时一般先将端口down掉在配置端口聚合。
配置:
Original: https://www.cnblogs.com/WorldNoBug/p/16639586.html
Author: Ant_blog
Title: VTP | DTP | 端口镜像 | 端口聚合 | 端口隔离
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/616596/
转载文章受原作者版权保护。转载请注明原作者出处!