VTP | DTP | 端口镜像 | 端口聚合 | 端口隔离

1、VTP（vlan 数据库同步协议）：凡是同个网络中开启了VTP协议的网络设备，客户端上的vlan全部来自与服务端的vlan。就是全网vlan数据库同步，不用自己一个一个的去配置。

①VTP具有三个模式，server、client、tranceport。即服务模式、客户端模式、透明模式。

②server负责发送数据库同步报文，client负责接收并同步vlan数据库，透明模式则不同步vlan，但是他也会转发该报文。也就是透明模式自己做自己的vlan数据库。

③每一个设备都默认自己是server，在两个server之间传递vlan数据库报文是以修订号高的优先，高的覆盖低的vlan数据库。

④配置VTP时，要求他们都在同一个domain里面，且VTP密码要一致。

⑤VTP的报文只在Trunk链路上传输，在非Trunk链路上无法传输。

⑥server自动向全网泛洪vlan数据库，client自动同步数据库，但是client不能自己创建、修改、删除vlan，只能同步server的数据库。

特别注意：当我们配置VTP时，不要将没有接入网络中的交换机路由贸然接入网络中，因为我们的设备默认都是server模式，如果我们新加入的设备的修订号比网络中server的修订号还要高时，那么就会自动将自己的vlan数据库同步给全部设备，这时可能全网的vlan数据库都会发送变化。我们因该将加入的设备改为transport模式，或者提前查看vtp的修订号为多少，低于server的才可以。

VTP配置：

# server端配置
vlan database
vtp domain aaa.com  //配置域名
vtp password 123456 //配置vtp密钥
vtp server  //指定该设备vtp模式

# client端配置
vlan database
vtp domain aaa.com  //配置域名
vtp password 123456 //配置vtp密钥
vtp client  //指定该设备vtp模式

# 透明模式配置
vlan database
vtp domain aaa.com  //配置域名
vtp password 123456 //配置vtp密钥
vtp transport//指定该设备vtp模式

# 查看vtp配置情况：show  vtp  status

2、DTP（自动Trunk协商协议）：用于链路两端自动协商Trunk，也就是当其中一端设置为trunk，那么另一端开启的DTP协议 ，那么另一端就不需要在手工去配置。

①DTP有三种模式，desirable（主动）、auto（自动）、on（手工）。desirable可以主动发送DTP报文，auto不发送DTP报文，on可以主动发送DTP报文。

②

一端为desirable，另一端为desirable ，可以自动协商Trunk。

一端为desirable，另一端为auto，可以自动协商Trunk。

一端为desirable，另一端为on，可以自动协商Trunk。

一端为on，另一端为auto，可以自动协商Trunk。

一端为on，另一端为on，不能自动协商Trunk。两端都需要手工指定。

一端为auto，另一端为auto，不能自动协商Trunk。

③DTP报文伪造，恶意攻击者伪造DTP报文使当前的交换机接口与自己的终端形成Trunk链路，这样就能获取全网vlan的流量。防御就是不开启自动协商Trunk。也可以将用户或者没用的端口置为access。或者将没用的端口都加入到一个vlan中。

配置：

interface f0/1
switchport mode dynamic  desirable/auto/on //修改Trunk协商模式

3、端口镜像：就是将某一个或者某一些端口的流量（出或者进）复制一份，然后将复制的流量在转发给另一个端口。一般该端口为流量分析平台或者流量安全检测平台。

①端口镜像的目的端口不能作为普通端口使用。

配置：

# 端口镜像：
monitor session 1 source interface fastethernet 0/1 both/rx/tx  //将f0/1接口进/出/双向的流量复制一份。1表示monitor的组号。
monitor session 1 destination interface fastethernet f1/2  //将从f0/1收集的流量转发到f1/2端口。

# 查看monitor
show monitor

4、端口隔离：在同vlan中的终端不允许互相通信，则可以使用端口隔离技术。

①两个设备都开启了端口隔离，则无法相互通信。一端开启一端没有开启则可以通信。

②能达到与端口隔离一样效果的技术是PVLAN技术。

配置：

interface  f0/1
  switchport  protected
  exit
interface  f0/2
  switchport  protected
// 两个开启端口隔离的终端无法通信。

5、端口聚合：又叫端口保绑定，将交换机的多个端口在逻辑上绑定为一个端口使用。

①端口聚合有两种模式，一种是手工捆绑、一种是自动捆绑。

②自动捆绑又有两种协议，一种是思科私有pagp，一种是共有lacp。

③手工捆绑最多同时捆绑4条链路，pagp最多捆绑8条链路，lacp最多捆绑16条链路。

④端口捆绑的前提是，所要捆绑的端口的类型、速率、双工模式等属性都要一致。也就是从宏观上看端口要一模一样才能捆绑。

⑤配置端口聚合时一般先将端口down掉在配置端口聚合。

配置：

// pagp 配置（私有）
interface range f0/1 - 3  //进入相应端口
channel-protocol  pagp
channel-group  1  mode  desirable/auto  //主动/被动

// lacp配置（共有）
interface range f0/1 - 3  //进入相应端口
channel-protocol  lacp
channel-group  1  mode  active/passive  主动/被动

// 手工（on）
interface range f0/1 - 3  //进入相应端口
channel-group  1  mode  on

//interface  port  1  //进入捆绑接口