VTP——VLAN中继协议

1. VTP含义？

V——VLAN;  T——trunk;  P——protocol

VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP最重要的作用是，将进行变动时可能会出现的配置不一致性降至最低。

2. VTP三种模式的理解：

服务器：可以创建、删除、修改VLAN  可以转发VLAN信息

客户端：不可以创建、删除、修改VLAN  可以转发VLAN信息

透明：可以创建、删除、修改VLAN  可以转发VLAN信息

3. 透明模式交换机不受其他交换机的影响，也不影响其他交换机。

server设置vlan2，3，透明模式不一定有vlan2，3，它是独立的

如果没有透明模式，交换机要么服务器要么客户端，所有在VTP的交换机vlan都是一样的。

交换机默认模式：server

4.在一个VTP域里，拥有最高修订号的交换机会覆盖其他角色交换机的VLAN（透明除外）；修订号高的交换机覆盖修订号低的交换机，不管它是什么模式。如果修订号一样，那么vlan谁也不影响谁。

5. vtp配置步骤：

vtp mode server(transparent/client)

vtp domain CCNA

vtp password cisco

6.查看命令：

show vtp status

show vtp password

小实验一、远程管理交换机：

写在最前：

交换机需要在虚拟接口上（vlan1,vlan99....）配ip，真实接口(int f0/1,f0/2....）不能设置ip

一、配置vlan1虚拟接口时需注意：

由于vlan1是默认的，所以无需创建，直接配ip即可，命令为：

ip add 192.168.1.3 255.255.255.0

no sh

配置PCip：192.168.1.1  192.168.1.2

不需要配置trunk是因为跨交换机vlan1直接能ping通。

二、配置vlan99虚拟接口时需要注意：

0）创建vlan99命令：

vlan 99

int vlan 99

ip add 192.168.99.3 255.255.255.0

no sh

1）进入交换机1连接PC2的接口（我的是f0/4），使用命令：

int f0/4

switchport mode access

switchport access vlan 99

2）把交换机0和交换机1配置成trunk，命令为：

int f0/1

switchport mode trunk

（因为跨交换机非vlan1需要变成trunk模式才可以ping通）

交换机1不需要配置什么是因为我希望远程管理的是交换机0，可以把1看成是中间辅助作用

三、远程连接

然后远程的时候发现不大行，其实这就是因为我们没有设置密码的原因：

具体可以看这篇博客

配置一下：

成功：

小实验二、端口安全设置

每个交换机都有一个CAM表，也就是我们说的MAC地址表，去查看交换机的MAC表的命令是：

show mac-address-table

两个交换机每隔2s会给对方发送一个包；

交换机是从入端口/源端口来学习MAC地址的；在两个终端互ping的时候，交换机会学习到两条MAC地址，也就是2条CAM表记录，因为ping是一个双向的过程。（MAC表是有一定容量的，2950的交换机的MAC表大概是8000条左右）

实验截图：

配置PCip：PC0: 192.168.1.1  PC1:  192.168.1.2

因为连接终端的接口很容易被攻击，所以我们应该对相应的端口做端口安全的设置

端口安全设置的命令：

int f0/2（这里是我switch0连接PC0的接口）

switchport mode access（设置成可访问端口，没有这一步下面的会报错）

switchport port-security（这一步非常重要！开启端口安全！不然下面的设置都是无用的）

switchport port-security maximum 1（设置可以读多少条CAM记录）

switchport port-security mac-address sticky（自行粘贴，动态绑定MAC地址）

switchport port-security mac-address 1.1.1

switchport port-security violation shutdown（若违规，则关闭窗口）

最开始我们两个PC是可以ping通的：

当你设置成switchport port-security maximum 1之后，由于ping一次交换机会读到两个mac地址，所以ping失败，按照我们设置的违规触发，接口会关闭，如图：

这样我们就设置成功了，如果我们想开启端口，要先sh（先关闭），再no sh（再开启），这样端口才会正确开启。

（用clear mac-address-table来清除mac表：

）