Bu Yazıda Cisco'ya özel iki protokol olan DTP (Dynamic Trunking Protocol) ve VTP (VLAN Trunking Protocol) öğreneceğiz.
DTP ve VTP Cisco tarafından geliştirilmiştir, yalnızca Cisco cihazlarında çalışır. DTP/VTP, CCNA 200-301 sınav konuları listesinden çıkarıldı. Ancak işlevlerini bilmek önemlidir ve konu listesinde olmasalar bile sınavda bunlarla ilgili sorular alabilirsiniz.
DTP (Dynamic Trunking Protocol)
DTP, Cisco Switch'de manuel yapılandırma olmadan Port Modlarının (Access/Trunk) dinamik olarak belirlenmesine olanak tanıyan Cisco tescilli protokoldür. DTP, Cisco Switch Portlarında varsayılan olarak etkindir.
Temel olarak yalnızca birbirine bağlanan iki Cisco Switch Trunk Port oluşturabilir, aksi takdirde Port otomatik olarak Access Port olur.
Şimdiye kadar switchport mode access ve switchport mode trunk komutlarını kullanarak Switch'in Port Modlarını manuel olarak yapılandırdık. DTP kullanacaksak bu komutları kullanmamıza gerek yok. Ancak Güvenlik amacıyla manuel yapılandırma önerilir. DTP, tüm Switch Portlarında devre dışı bırakılmalıdır. DTP, saldırganlar tarafından kullanılabilir.
DTP Yapılandırma Komutu (config-if): switchport mode dynamic {auto | desirable}
swithcport mode ? komutu seçeneklerinde önceden kullandığımız Access ve Trunk Modlarını görüyoruz. DTP kullanmak için dynamic seçilir.
dynamic desirable
dynamic desirable modundaki bir Port, diğer Cisco Switch ile aktif olarak bir Trunk Port oluşturmaya çalışacaktır.
Aşağıdaki modlarda olan başka bir Switch Portuna bağlanırsa Trunk Port oluşturacaktır:
- switchport mode trunk
- switchport mode dynamic desirable
- switchport mode dynamic auto
Switch Port Mode, Trunk Encapsulation Type, Access/Voice VLAN, Native VLAN Hakkında Bilgi Görüntüleme Komutu: show interfaces [interface-id] switchport
Örnek 1
SW1# show interfaces G0/0 switchport
- switchport: enabled
- Layer 2 Portu olduğu için enabled (no switchport komutu uygulansaydı Layer 3 Port olurdu).
- Administrative Mode: dynamic desirable -> Portta gerçekte yapılandırdığımız Mod Ayarıdır.
- Operational Mode: trunk -> Portun Access veya Trunk olduğunu belirtir.
- SW2 G0/0 Trunk Port olduğu için, SW1 G0/0 Portu da Trunk oldu.
SW2# show interfaces G0/0 switchport
- switchport: enabled
- Administrative Mode: trunk -> Portta gerçekte yapılandırdığımız Mod Ayarıdır.
- Operational Mode: trunk -> Portun Access veya Trunk olduğunu belirtir.
Not: Switch Portu, Trunk olarak manuel olarak yapılandırılsa bile (switchport mode trunk), Porttan DTP Frame göndermeye devam eder.
Örnek 2
Örnek 3
Örnek 4
SW1 aktif olarak bir Trunk Port oluşturmaya çalışıyor, ancak SW2 manuel olarak Access Mod (static access) yapılandırıldığından, Trunk oluşmayacak ve her ikisi de varsayılan VLAN'da (VLAN1) Access Port olarak çalışacaktır.
dynamic auto
Aşağıdaki Modlarda başka bir Switch Portuna bağlanırsa bir Trunk Port oluşturacaktır:
- switchport mode trunk
- switchport dynamic desirable
Örnek 1
Örnek 2
SW1 ve SW2 aktif olarak bir Trunk oluşturmaya çalışmaz, bu nedenle her ikisi de varsayılan VLAN olan VLAN 1'de Access Port olarak çalışır.
Örnek 3
Örnek 4
Bu yapılandırma çalışmaz ve Switch'ler arasında trafik geçişi olmaz.
Özet
DTP; Router, PC, vb. cihazlar ile bir Trunk Port oluşturmayacaktır, Switch Portu Access Modunda olacaktır. Bu nedenle Router'ı ROAS (Router on a Stick) ile yapılandırmak istiyorsanız, Switch'in Router'a bağlı Portunu Trunk olarak manuel yapılandırmanız gerekir.
DTP Negotiation Devre Dışı Bırakma Komutu (config-if): switchport nonegotiate
Bu komutu kullanırsanız, Port, DTP Frame göndermeyi durduracaktır.
switchport mode access komutu, DTP Negotiation devre dışı bırakır. switchport mode trunk komutu ise DTP Negotiation devre dışı bırakmaz.
Trunk Encapsulation Negotiation
Hem 802.1Q hem de ISL Trunk Kapsüllemesi destekleyen Switch'ler, kullanacakları kapsüllemeyi belirlemek için DTP kullanabilir.
Varsayılan Trunk Encapsulation Mode: switchport trunk encapsulation negotiate
Hem dot1q hem de ISL destekleyen bir Switch'de, Portun Modunu manuel yapılandırmak istiyorsanız, önce dot1q veya ISL yapılandırmanız gerekir, bunu negotiation durumda bırakamazsınız.
Her iki Switch Portu da Negotiation durumdaysa, ISL, dot1q yerine tercih edilir.
Trunk Encapsulation Negotiation için kullanılan DTP Frame'ler ISL'de VLAN 1'de, dot1q kullanırken Native VLAN'da gönderilir.
Her iki Switch'in de Portları dynamic desirable olarak ayarlandı. Her iki Switch de ISL ve dot1q destekliyor. Bunun sonucunda show interfaces g0/0 ve g0/1 switchport komutu çıktıları resimde görülmektedir.
Görüldüğü gibi, Varsayılan Administrative Trunking Encapsulation: negotiote. Operational Trunking Encapsulation: isl
Negotiation of Trunking: on -> DTP'nin açık olup olmadığını belirtir, yani Portların DTP Frame gönderip göndermediğini belirtir. Port, Access Modunda olmadığı veya switchport nonegotiate komutu uygulanmadığı sürece on olarak gözükecektir.
VTP (VLAN Trunking Protocol)
- VTP, Merkezi bir Switch'de (VTP Server) VLAN'ları yapılandırmamıza izin verir ve diğer Switch'ler (VTP Client) VLAN Veritabanlarını, Merkezi Switch ile senkronize eder.
- VTP, çok sayıda VLAN'a sahip büyük ağlar için tasarlanmıştır, böylece her bir Switch'de VLAN yapılandırmanız gerekmez. Ancak DTP gibi nadiren kullanılır ve kullanmamanız tavsiye edilir. Neden kullanılmamasının tavsiye edildiğini ileride göreceğiz.
- VTP'nin 1, 2 ve 3 olmak üzere üç versiyonu vardır.
- Switch'in çalışabileceği 3 adet VTP Modu vardır: Server, Client, Transparent
- Cisco Switch'ler varsayılan olarak VTP Server Modunda çalışır.
VTP Server
- VLAN oluşturabilir, düzenleyebilir ve silebilir. Switch Varsayılan olarak VTP Server Modunda olduğundan VLAN Veritabanını değiştirebilirsiniz.
- VTP Server Modunda VLAN Veritabanı (vlan.dat), Flash Bellekte depolanır. Switch kapatılsa veya yeniden başlatılsa bile VLAN Veritabanı kaybolmaz. Eğer Switch üzerinde VLAN / VLAN'lar yapılandırılmışsa show flash komut çıktısında bu dosyayı görebilirsiniz. VLAN Veritabanını silmek istiyorsanız delete vlan.dat komutunu kullanabilirsiniz. VLAN Veritabanının silinmesi ile ilgili daha ayrıntılı bilgiye erişmek için buradaki makaleyi okuyabilirsiniz.
- VTP Server; her VLAN eklediğinde, düzenlediğinde veya sildiğinde Revision Numarasını arttıracaktır. Revision Numarası, VTP için çok önemlidir.
- VTP Server, Trunk Portlarından VLAN Veritabanının en son sürümünün (Revision Numarası) reklamını yapacak ve VTP Client, VLAN Veritabanını bununla senkronize edecektir. VTP Reklamları, Access Portlardan gönderilmez, yalnızca Trunk Portlardan gönderilir.
- VTP Server, aynı zamanda VTP Client olarak da işlev görür. Bu, VTP Server'ın daha yüksek bir Revision Numarasına sahip başka bir VTP Server ile senkronize olacağı anlamına gelir. Çünkü en yüksek Revision Numarası, VLAN Veritabanının en yeni, en doğru versiyonu olarak kabul edilir.
VTP Client
- VLAN ekleyemez, değiştiremez veya silemez. CLI'de bir VLAN eklemeye, değiştirmeye veya silmeye çalışırsanız, komut reddedilecektir.
- VTP Client Modunda VLAN Veritabanı (vlan.dat), Flash Bellekte depolanır.
- VTP Client VLAN Veritabanını, VTP Domain'deki en yüksek Revision Numarasına sahip VTP Server ile senkronize edecektir. Ayrıca VTP Client, VLAN Veritabanının reklamını yapacak ve VLAN Reklamlarını Trunk Portları üzerinden diğer VTP Client'lere iletecektir.
VTP Nasıl Çalışır?
Topoloji
Tüm Switch'lerin Portları Trunk Moduna ayarlanmıştır. Böylece birbirleri arasında VTP Reklamları gönderip alacaklar.
VTP Durumu Hakkında Bilgi Alma Komutu: show vtp status
Switch'lerin tümü varsayılan yapılandırmaya sahiptir, dolayısıyla bu komutun çıktısı tüm cihazlar için aynı olacaktır.
- VTP Version Capable: Switch'in hangi VTP Sürümlerini çalıştırabildiğini belirtir (1 to 3 -> VTP 1, 2, 3 çalıştırabiliyor).
- VTP Version Running: Hangi VTP Versiyonunun çalıştığını belirtir (1 -> Şuan varsayılan olarak VTP 1 çalışıyor).
- VTP Domain Name: Bu alanın boş olduğuna dikkat edin. Varsayılan olarak Domain Name NULL'dur, Domain Name yoktur. VTP'nin bu cihazlar arasında senkronize olmasını istiyorsak, hepsini aynı VTP Domain Name ile yapılandırmamız gerekecek.
- VTP Operating Mode: Switch'in varsayılan VTP Çalışma Modunu belirtir. Varsayılan olarak VTP Server'dir.
- Maximum VLANs supported locally: 1005 -> Normal VLAN Aralığı (1 - 1005). Bunun nedeni VTPv1/2'nin Extended VLAN Aralığını (1006 - 4094) desteklememesidir, yalnızca VTPv3 destekler.
- Number of existing VLANs: 5 -> Mevcut olan VLAN sayısı. Bunlar Switch'de varsayılan olarak bulunan VLAN'lardır (1, 1002,1003,1004,1005).
- Configuration Revision (Revision Numarası): 0 -> Şu anda 0. Bir VLAN ekler, düzenler veya silersek bu 1'e çıkar ve SW1 bunu aynı VTP Domain'deki VTP Client'lere duyurur. VTP Server aynı zamanda VTP Client olduğundan, daha yüksek bir Revision Numarasına sahip VTP Reklamı alırsa, kendi VLAN Veritabanını da güncelleyecektir.
VTP Domain Name Yapılandırma Komutu (config): vtp domain name
SW1'in VTP Domain ismini cisco olarak değiştirdik. Daha sonra VLAN 10 oluşturduk ve ismini engineering yaptık. Yeni bir VLAN eklediğimizden tekrar show vtp status komutunu kullanırsak Revision Numarasının arttığını görmeliyiz.
Artık VTP Domain İsminin cisco olarak değiştiğini, mevcut VLAN sayısının 6 ve Revision Numarasının 1'e çıktığını görebilirsiniz. Şimdi diğer Switch'leri kontrol edelim.
SW2
SW2 üzerinde herhangi bir yapılandırma yapmamamıza rağmen, SW2, VTP Domain İsmini cisco olarak değiştirdi ve VLAN Veritabanını SW1 ile eşleşecek şekilde mevcut VLAN sayısını 6 ve Revision Numarasını 1 olarak güncelledi.
VTP Domain Name alanı olmayan (NULL) bir Switch, VTP Domain Name içeren bir VTP Reklamı alırsa, bu VTP Domain'e otomatik olarak katılır.
Böylece SW2 otomatik olarak cisco VTP Domain'e katıldı. Daha önce de söylediğim gibi, bir Switch aynı VTP Domain'inde daha yüksek bir Revision Numarasına sahip bir VTP Reklamı alırsa, VLAN Veritabanını eşleşecek şekilde güncelleyecektir. SW2 üzerinde show vlan brief komutunu uygularsak, VLAN Veritabanında VLAN 10 engineering bilgisini görürüz.
VTP Reklamlarının SW3 ve SW4'e de iletildiğini, VTP Domain'e (cisco) katıldıklarını ve VLAN Veritabanlarını da güncellediklerini görebilirsiniz.
VTP'nin senkronizasyonunun nasıl çalıştığını gördüğümüze göre, VTP'nin tehlikesini tanıtalım. Ağınıza daha yüksek bir Revision Numarasına sahip bir eski bir Switch bağlarsanız VTP Domain'deki tüm Switch'ler, bu Switch'in VLAN Veritabanı ile VLAN'larını senkronize eder (Bağlanan eski Switch otomatik olarak VTP Domain'e katılır). Switch'ler tamamen farklı bir VLAN Veritabanı ile eşitlenebileceğinden ve kullandığınız VLAN'lar kaybolabileceğinden, bu, ağınızdaki tüm Hostların anında bağlantıyı kaybetmesine neden olabilir. Bu durum genellikle VTP'nin modern ağlarda kullanılmamasının bir nedenidir.
Örnek
VTP Domain Name: Cisco, Revision Numarası: 5 ve 1, 10, 20, 30, 40 VLAN'ları var. Ardından ağa eklemek için şirketinizin kullandığı eski bir Switch'i bağlıyorsunuz (SW4), ancak Revision Numarası: 50 ve 1, 99, 220 VLAN'ları var.
SW4, 50 Revision Numarası ile VTP Reklamları gönderecek ve VTP Domain boyunca iletilecektir. Switch'lerin tümü, VLAN Veritabanlarını SW4 ile eşleşecek şekilde güncelleyecek ve 10, 20, 30, 40 numaralı VLAN'lardaki tüm Hostlar aniden bağlantıyı kaybedecektir.
VTP Transparent
- VTP Transparent Modundaki Switch'ler VTP Domain'e katılmaz, VLAN Veritabanlarını VTP Server ile senkronize etmezler.
- VTP Transparent, NVRAM'de kendi bağımsız VLAN Veritabanını saklar. VLAN Veritabanı ayrıca Flash Bellekte vlan.dat dosyası olarak da tutulur, fakat bu NVRAM'deki VLAN Veritabanını etkilemez (vlan.dat dosyası silinse dahi NVRAM'deki VLAN Veritabanı hala durur). VLAN ekleyebilir, değiştirebilir veya silebilirsiniz, fakat bunlar diğer Switch'lere duyurulmaz.
- VLAN Veritabanını senkronize etmese de, aldığı VTP Reklamı kendisiyle aynı VTP Domain'deyse, VTP Reklamını Trunk Portları üzerinden iletir, ancak kendi VLAN Veritabanının reklamını yapmaz. Farklı bir VTP Domain'e sahip VTP Reklamlarını dikkate almaz.
Şimdi Server, Client ve Transparent Modlarının işlevselliğini karşılaştıralım.
VTP Mode Yapılandırma Komutu (config): vtp mode server/client/transparent
SW2'yi vtp mode client komutuyla Client Moduna ayarladım. Daha sonra SW2 üzerinde VLAN20 oluşturmaya çalıştım, fakat görüldüğü gibi SW2 artık Client Modunda olduğu için reddedildi. SW2'nin varsayılan VTP Domain ismi yoktur (NULL). VTP Domain İsmi NULL olanlar aynı Domain'de sayılmazlar.
Daha sonra vtp mode transparent komutu ile SW3'ü Transparent Moduna ayarladım. Transparent Modundaki Switch'in farklı bir VTP Domain'de olması durumunda VTP Reklamlarını iletmeyeceğini size göstermek için VTP Domain ismini juniper olarak değiştirdim.
SW1'de (VTP Server, Domain Name: cisco) sales adlı VLAN20'yi oluşturdum ve bunu show vlan brief komutu çıktısında görebilirsiniz. show vtp status komutu çıktısında Revision Numarasının 4 olduğunu görebilirsiniz.
Önceden SW1 üzerinde VLAN 10 oluşturulmuştu (Revision Numarası 0 -> 1). Şimdi de VLAN20 oluşturuldu ve Revision Numarası 2 olması gerekiyordu. (Önceden deneme amaçlı başka değişiklikler yaptım, bu nedenle 4). Her neyse SW2'yi kontrol edelim.
Görüldüğü gibi, VTP Client (SW2), VLAN20'yi VLAN Veritabanına ekledi ve aynı Revision Numarasına sahip, 4.
Transparent Modundaki SW3'ü kontrol edelim. SW3'ü Transparent Mod yapmadan önce VLAN10 eklenmişti.
SW3, VLAN20'yi eklemedi ve Revision Numarası 0.
VTP Domain'i, kullanılmayan bir Domain'e değiştirmek, Revision Numarasını sıfırlayacaktır. Ayrıca VTP Modunu Transparent olarak değiştirmek de Revision Numarasını sıfırlar.
Bu nedenle, yüksek Revision Numarasına sahip bir eski Switch'i VTP kullanan bir ağa takacaksanız, Revision Numarasını önce bu yöntemlerden biriyle sıfırladığınıza emin olun, böylece diğer Switch'lerdeki VLAN yapılandırmalarını bozmamış olursunuz.
Sizce SW4, VLAN20'yi VLAN Veritabanına ekleyecek mi? SW3 farklı VTP Domain'de Transparent Modundadır, bu nedenle VTP Reklamlarını SW4'e iletmeyecektir.
Gerçekten de SW4'de VLAN20 yok ve Revision Numarası 3. SW3'ün VTP Reklamlarını SW4'e yönlendirmeye başlaması için ne yapabiliriz? SW3'deki VTP Domain'i tekrar cisco'ya değiştirirsek, SW3'ün kendisi aynı VTP Domain'den aldığı Reklamlar ile kendi VLAN Veritabanını senkronize etmese bile, reklamları SW4'e iletecektir.
Bu nedenle SW3'deki VTP Domain'i cisco olarak değiştirdim.
Bu arada, Revision Numarasını arttırmak ve daha fazla reklam göndermek için SW1'de bazı yeni VLAN'lar da oluşturdum ve şimdi SW3'ün gerçekten de reklamları SW4'e ilettiğini ve SW4'ün VLAN Veritabanını SW1 ve SW2 ile senkronize ettiğini görebilirsiniz.
Son olarak VTP Versiyonlarından bahsedeceğim.
VTP Version Yapılandırma Komutu (config mode): vtp version 1/2/3
SW1'in VTP Versiyonunu 2 yapıyoruz. VTP Versiyonunun değiştirilmesi Revision Numarasını arttırır (12 -> 13) ve bu yeni Revision Numarasına sahip reklamlar gönderilir. Böylece diğer VTP Server ve VTP Client'ler eşitlenecek ve Version 2'de çalışmaya başlayacaklardır. Örneğin SW4, şimdi VTP Versiyon 2 çalıştırıyor ve tıpkı SW1 gibi 13 Revision Numarasına sahip.
VTP Version 1 ve 2 farkına gelince, Doğrudan Cisco'dan bir alıntı: VTPv2, VTPv1'den tek farkı Token-Ring VLAN'ları için destek sunmasıdır. Token-Ring eski bir teknolojidir, bu nedenle VTPv2'yi kullanmak için hiçbir neden yok.
VTPv3 ise birkaç farklılığı ve yeni özellikleri var, ancak kesinlikle CCNA Sınavının kapsamı dışındadır, bu yüzden burada bırakacağız.
CCNA'de VTP ve amacı hakkında temel sorular gelebilir. Temel olarak VTP'nin Amacını, Server, Client ve Transparent Modları arasındaki farkları, Switch'lerin varsayılan olarak Server Modunda çalıştığını, VTP Server'ın aynı zamanda VTP Client olarak da çalıştığını ve Revision Numaralarını bilmeniz yeterli.
Not: VTP, Portlara otomatik olarak VLAN atamaz (Ör: int g0/0 ve switchport access vlan 10).
Quiz 1
Quiz 2
Quiz 3
Cevaplar (Sırası ile): b, a, a ve c
LAB Çözümü
İlk olarak LAB'ı kendiniz yapmayı deneyin. LAB'ı yaparken takılırsanız/yapamazsanız veya yaptığınız çözümü doğrulamak için buradaki çözümü inceleyebilirsiniz.
1.
Bu yapılandırmaları uyguladıktan sonra tüm Switch'lerin Trunk Portları için show interfaces port-id switchport komutunu uygulayıp Administrative Mode, Operational Mode ve Negotiation of Trunking alanlarını kontrol ediyoruz.
- Administrative Mode: trunk
- Operational Mode: trunk
- Administrative Trunking Encapsulation: dot1q
- Operational Trunking Encapsulation: dot1q
- Negotiation of Trunking: Off -> DTP devre dışı bırakıldı, DTP Frame'leri artık Portlardan gönderilmeyecek.
2.
SW2'de ve SW3'de show vlan brief komutunu kontrol ettiğimizde oluşturulan VLAN 10, 20 ve 30'u görebiliriz. Ayrıca show vtp status komut çıktısında SW2 ve SW3'ün VLAN Veritabanını SW1 ile senkronize ettiğini görebiliriz.
3.
SW1 ve SW3'e VLAN40 eklenmedi. Ayrıca SW2'nin Modunu Transparent yaptığımdan Revision Numarası 0 oldu.
4.
SW3 Artık VTP Client Modunda olduğundan VLAN ekleyemez, değiştiremez ve silemez.
5.
Switch'lerde Hostlara bağlı olan Portlar için show interfaces port-id switchport komutunu kontrol ettiğimizde Negotiation of Trunking alanının on olduğunu görüyoruz. DTP Negotiation açık olduğundan Switch'ler Hostlara DTP Frame'leri gönderir, bu gereksizdir ve kapatmalıyız.
Bu yapılandırmaları yaptıktan sonra tüm Switch'lerde Hostlara bağlı olan Portlar için show interfaces port-id switchport komutunu kontrol ettiğimizde Negotiation of Trunking alanının off olduğunu görüyoruz. Portları manuel olarak Access Mod olarak ayarladığımızdan artık DTP kapalı.
Not: VTP'nin Password özelliği de vardır.
VTP Password Yapılandırma Komutu: vtp password password
Örnek verelim.
SW1
SW1(config)#VLAN 100 -> VLAN oluşturdum.
SW3'ü kontrol ettiğimizde VLAN100'ün eklenmediğini görürüz. Bunun nedeni SW3, SW1'den VTP Reklamı alsa da Password'un yanlış olmasıdır. SW3'de de vtp password cisco komutunu girersek VLAN Veritabanını SW1 ile eşitleyecektir.
Okuduğunuz için teşekkürler :)
Yorum Gönder
Yorum Gönder