Cisco交換機(jī)VTP配置詳解

VTP(VLAN中繼協(xié)議/虛擬局域網(wǎng)干道協(xié)議 VLAN Trunking Protocol)，它是思科私有協(xié)議。在稍微大型一點(diǎn)的網(wǎng)絡(luò)中，會(huì)有多個(gè)交換機(jī)，同時(shí)也會(huì)有多個(gè)VLAN，如果在每個(gè)交換機(jī)上分別把VLAN創(chuàng)建一遍，這會(huì)是一個(gè)工作量很大的任務(wù)。

假設(shè)網(wǎng)絡(luò)中有M個(gè)交換機(jī)，共劃分了N個(gè)VLAN，則為了保證網(wǎng)絡(luò)正常工作，需要在每個(gè)交換機(jī)上都創(chuàng)建N個(gè)VLAN，共M×N個(gè)VLAN，隨著M和N的增大，這項(xiàng)任務(wù)將會(huì)枯燥而繁重。VTP協(xié)議可以幫助我們減少這些枯燥繁重的工作。

管理員在網(wǎng)絡(luò)中設(shè)置一個(gè)或者多個(gè)VTP Server，然后在Server上創(chuàng)建和修改VLAN，VTP協(xié)議會(huì)將這些修改通告其它交換機(jī)上，這些交換機(jī)更新VLAN信息(VLAN ID和VLAN Name)。VTP使得VLAN的管理自動(dòng)化得多了。

VTP原理

VTP Domain(VTP域)：

由需要共享相同VLAN信息的交換機(jī)組成，只有在同一個(gè)VTP域(即VTP域的名字相同)的交換機(jī)才能同步VLAN信息。

根據(jù)交換機(jī)在VTP域中的作用不同，VTP可以分為以下三種模式：

Server(服務(wù)器模式)：在VTP服務(wù)器上能創(chuàng)建、修改和刪除VLAN，同時(shí)這些信息會(huì)在Trunk鏈路上通告給域中的其它交換機(jī)；VTP服務(wù)器收到其它交換機(jī)的VTP通告后會(huì)更改自己的VLAN信息，并進(jìn)行轉(zhuǎn)發(fā)。

VTP服務(wù)器會(huì)把VLAN信息保存在NVRAM(即flash:vlan.dat文件)中，就是重新啟動(dòng)交換機(jī)這些VLAN還會(huì)存在。默認(rèn)情況下，交換機(jī)是服務(wù)器模式。每個(gè)VTP域必須至少有1臺(tái)服務(wù)器，當(dāng)然也可以有多臺(tái)。

Client(客戶機(jī)模式)：在VTP客戶機(jī)上不允許創(chuàng)建、修改和刪除VLAN，但它會(huì)監(jiān)聽來自其它交換機(jī)的VTP通告并更改自己的VLAN信息，接收到的VTP信息也會(huì)在Trunk鏈路上向其它交換機(jī)轉(zhuǎn)發(fā)，因此這種交換機(jī)還能充當(dāng)VTP中繼；VTP Client把VLAN信息保存在RAM中，交換機(jī)重啟動(dòng)后這些信息會(huì)丟失。

Transparent(透明模式)：的交換機(jī)不完全參與VTP?？梢栽谶@種模式的交換機(jī)上創(chuàng)建、修改和刪除VLAN，但是這些VLAN信息并不會(huì)通告給其它交換機(jī)，它也不接受其它交換機(jī)的VTP通告而更新自己的VLAN信息。然而，它會(huì)通過Trunk鏈路轉(zhuǎn)發(fā)收到的VTP通告從而充當(dāng)了VTP中繼的絕色，因此完全可以把該交換機(jī)看成是透明的。VTP Transparent僅會(huì)把本交換機(jī)上的VLAN信息保存在NVRAM中。

說明：根據(jù)Cisco資料，VTP Client不會(huì)在flash:vlan.dat文件存放VLAN信息，然而多次試驗(yàn)并不是這樣的。

VTP通告

VLAN信息的同步是通過VTP通告來實(shí)現(xiàn)的，VTP通告只能在Trunk鏈路上傳輸(因此交換機(jī)之間的鏈路必須成功配置Trunk)。VTP通告是以組播幀的方式發(fā)送的，VTP通告中有一個(gè)字段稱為修訂號(hào)(Revision)，代表VTP幀的修訂級(jí)別，它是一個(gè)32位的數(shù)字。交換機(jī)的默認(rèn)修訂號(hào)為0。每次添加或刪除VLAN時(shí)，修訂號(hào)都會(huì)遞增。修訂號(hào)用于確定從另一臺(tái)交換機(jī)收到的VLAN信息是否比儲(chǔ)存在本交換機(jī)上的信息更新。

如果收到的VTP通告修訂號(hào)更高，則本交換機(jī)將根據(jù)此通告更新自身的VLAN信息。如果交換機(jī)收到的修訂號(hào)更低的通告，會(huì)用自己的VLAN信息反向覆蓋。需要注意的是：高Revision的通告會(huì)覆蓋低Revision的通告，而不管自己或者對(duì)方是Server還是Client。

VTP通告包含以下三種通告類型：

總結(jié)通告：

觸發(fā)總結(jié)通告的情況：VTP服務(wù)器或客戶機(jī)每300s發(fā)送一次給鄰居交換機(jī)；執(zhí)行配置操作后也會(huì)立即發(fā)送。

總結(jié)通告包含的信息：VTP域名、當(dāng)前修訂版號(hào)、VTP配置詳細(xì)信息等。

子集通告：

觸發(fā)子集通告的情況：創(chuàng)建或刪除VLAN、暫停或激活VLAN、更改VLAN名稱和更改VLAN的MTU。

子集通告包含的信息：VLAN信息。

請(qǐng)求通告：

當(dāng)向VTP域中的VTP服務(wù)器發(fā)送請(qǐng)求通告時(shí)，VTP服務(wù)器的響應(yīng)方式是：先發(fā)送總結(jié)通告，接著送出子集通告。

觸發(fā)請(qǐng)求通告的情況：VTP域名變動(dòng)、交換機(jī)收到的總結(jié)通告包含比自身更高的修訂號(hào)、子集通告消息由于某些原因丟失、交換機(jī)被重置。

VTP通告說明：

①使用組播發(fā)送，地址為01-00-0C-CC-CC-CC；
②只通過中繼端口傳遞；
③VTP消息通過Native VLAN(默認(rèn)Vlan 1)傳送。

VTP修剪

VTP修剪功能會(huì)自動(dòng)計(jì)算哪些鏈路應(yīng)該修剪哪些VLAN的數(shù)據(jù)包，管理員只需要啟用該功能即可。

實(shí)驗(yàn)

命令：

sw1#delete flah:vlan.dat
sw1#erase startup-config
sw1#reload
sw1(config)#vtp mode server //配置VTP為Server模式，默認(rèn)即為Server
sw1(config)#vtp domain VTP-Test //配置VTP域名，默認(rèn)為空
sw1(config)#vtp password cisco //配置VTP密碼
sw1(config)#vtp version 2 //配置VTP版本，只需在Server上配置
sw1(config)#vtp pruning //啟用VTP修剪，只需在Server上配置
sw2#delete flah:vlan.dat
sw2#erase startup-config
sw2#reload
sw2(config)#vtp mode transparent //配置VTP為Transparent模式
sw2(config)#vtp domain VTP-Test
sw2(config)#vtp password cisco
sw3#delete flah:vlan.dat
sw3#erase startup-config
sw3#reload
sw3(config)#vtp mode client //配置VTP為Client模式
sw3(config)#vtp domain VTP-Test
sw3(config)#vtp password cisco

說明：

①重啟3臺(tái)交換機(jī)的時(shí)間不能相差太長，要保證任何交換機(jī)重啟之前另一交換機(jī)沒有啟動(dòng)完畢，避免重新啟動(dòng)的交換機(jī)從未重新啟動(dòng)的交換機(jī)上學(xué)到舊的VTP信息。
②VTP可以在全局模式下配置，也可以在vlan database模式下配置。
③VTP默認(rèn)修訂號(hào)為0，每當(dāng)VLAN信息變化時(shí)修訂號(hào)會(huì)增加1(當(dāng)為Transparent時(shí)，修訂號(hào)始終為0)。
④默認(rèn)VTP信息：模式為Server，域名為空，版本1。
⑤在一個(gè)VTP域中可以有多個(gè)VTP Server，在任何一個(gè)VTP Server上都可以創(chuàng)建和修改VLAN信息，并通告到其它交換機(jī)上；不同的VTP域之間是不能傳播VLAN信息的。
⑥Transparent交換機(jī)上可以轉(zhuǎn)發(fā)VTP通告，但是并不會(huì)根據(jù)VTP通告更新自己的任何信息，Transparent交換機(jī)上也可以更改VLAN信息，但是這些VLAN信息并不會(huì)通告出去。
⑦Client交換機(jī)上不僅可以轉(zhuǎn)發(fā)VTP通告，并且會(huì)根據(jù)VTP通告更新自己的VLAN信息。
⑧配置VTP的密碼為了防止不明身份的交換機(jī)加入到域中，任何密碼都是區(qū)分大小寫的。
⑨VTP的版本只需要在Server上啟用，其它交換機(jī)會(huì)自動(dòng)學(xué)習(xí)并啟用該功能，但是Transparen模式是不會(huì)學(xué)習(xí)到的，Client模式是不能配置版本的。
⑩配置VTP修剪的時(shí)候只需在其中域中的一個(gè)Server上啟用即可，其它交換機(jī)會(huì)自動(dòng)學(xué)習(xí)并啟用。

注意：

①當(dāng)交換機(jī)的VTP域名為空時(shí)，如果它收到的VTP通告中帶有域名，該交換機(jī)將把VTP域名自動(dòng)更改為VTP通告中的域名。即沒有VTP域名的交換機(jī)能從鄰居自動(dòng)學(xué)習(xí)VTP域名；VTP域名不為空時(shí)交換機(jī)就不會(huì)學(xué)習(xí)了。
②如果相鄰的交換機(jī)處于不同的VTP域中，將導(dǎo)致交換機(jī)之間的鏈路Trunk自動(dòng)協(xié)商失敗不能成為Trunk模式，并會(huì)提示不匹配消息；除非強(qiáng)制Trunk模式，但仍會(huì)提示不匹配消息：

③在準(zhǔn)備向網(wǎng)絡(luò)添加非剛出廠的交換機(jī)時(shí)，應(yīng)先把交換機(jī)的配置清除干凈，否則有可能會(huì)使VLAN信息反向覆蓋。
④黑客很容易在現(xiàn)有網(wǎng)絡(luò)中接入一臺(tái)交換機(jī)或者用軟件模擬一臺(tái)交換機(jī)，通告高修訂號(hào)的VTP通告來破壞網(wǎng)絡(luò)，可以配置VTP密碼防止黑客的破壞，但是VTP密碼是不能被加密的。

sw1#delete flah:vlan.dat
sw1#erase startup-config
sw1#reload
sw1(config)#int f0/15
sw1(config-if)#switchport trunk encapsulation dot1q
sw1(config-if)#switchport mode trunk
sw1(config)#vtp mode server
sw1(config)#vtp domain VTP-Test
sw1(config)#vtp password cisco
sw1(config)#vlan 2
sw1(config-vlan)#name two
sw2#delete flah:vlan.dat
sw2#erase startup-config
sw2#reload
sw2(config)#int range f0/1 - 2
sw2(config-if-range)#switchport trunk encapsulation dot1q
sw2(config-if-range)#switchport mode trunk
sw2(config)#vtp mode transparent
sw2(config)#vtp domain VTP-Test
sw2(config)#vtp password cisco
sw3#delete flah:vlan.dat
sw3#erase startup-config
sw3#reload
sw3(config)#int f0/15
sw3(config-if)#switchport trunk encapsulation dot1q
sw3(config-if)#switchport mode trunk
sw3(config)#vtp mode client
sw3(config)#vtp domain VTP-Test
sw3(config)#vtp password cisco
sw1#show vtp status //查看VTP域的狀態(tài)

sw1#show vtp password //查看VTP的密碼

sw1#show vtp counters //查看VTP的統(tǒng)計(jì)