CATALYST 4500系列交换机动态VLAN与VMPS怎么配置呢?这个问题,本文以CISCO IOS版本12.2(31)SGA为例。
一.VMPS的介绍:
VMPS的是VLAN Membership Policy Server的简称.顾名思义,它是一种基于端口MAC地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN.不过基于CISCO IOS的CATALYST 4500系列交换不支持VMPS的功能,它只能做为VLAN查询协议(VLAN Query Protocol)的客户机,通过VQP的客户机,可以和VMPS通信.如果要让CATALYST 4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho).
VMPS使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.
VMPS将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:
1.如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.
2.如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应.
3.如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送"port-shutdown"(端口关闭)的信息做为响应.
但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于发送何种信息取决于VMPS模式的设置.
如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用.
VMPS有三种模式(但User Registration Tool,即URT,只支持open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
当端口未指定VLAN:
1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.
2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息.
当端口已经指定VLAN:
1.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并配置的有fallback VLAN名,那么VMPS将返回fallback VLAN名给客户机.
2.如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并没有配置fallback VLAN名,那么VMPS将返回"access-denied"信息给客户机.
secure模式:
当端口未指定VLAN:
1.如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.
2.如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭.
当端口已经指定VLAN:
如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,即使有配置fallback VLAN名,端口仍将被关闭.
multiple模式:
当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息.
当然,你也可以在VMPS上指定fallback VLAN名.如果该端口未指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:
1.如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallback VLAN名,那么将向客户机返回fallback VLAN名信息.
2.如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallback VLAN名,那么将向客户机返回"access-denied"信息.
如果该端口已经指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:
不管VMPS上有没有配置fallback VLAN名,只要VMPS处于secure模式,那么它就将反馈"port-shutdown"信息给客户机.
有的时候我们也可能看到非法的VMPS客户机请求,如下两种:
1.当VMPS上未配置fallback VLAN名,并且数据库里没有相应的MAC地址到VLAN的映射信息.
2.当端口已经被指定了VLAN,并且VMPS不处于multiple模式,但是VMPS收到了第二个不同MAC地址的VMPS客户机请求信息.二.VMPS客户机的介绍:
当端口被配置为动态(dynamic)的时候,它基于MAC地址的接收VLAN信息.这些VLAN信息是基于端口MAC地址,从VMPS那里动态获得的.动态端口一次只能属于一个VLAN.当链路up后,端口不会立即转发流量,直到该端口获得了VLAN信息.当动态端口所连的主机发起第一个数据包的时候,数据包中的源MAC地址就做为VQP的请求信息中的一个关键部分,它尝试去匹配VMPS数据库里的MAC地址.如果匹配成功,那么VMPS向客户机发送VLAN信息(VLAN ID);如果匹配不成功,那么VMPS要么拒绝该请求,要么把端口关闭(这取决于VMPS所处的模式).当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息.
三.VMPS客户机的配置:
VMPS客户机的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主机名代替IP地址------/
vmps server 172.20.128.178 /------指定备用VMPS的地址,也可用主机名代替IP地址,最多可以配置4个VMPS------/
!
验证VMPS信息:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上还显示了VMPS客户机的默认信息.
在VMPS客户机上配置动态端口:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
验证信息:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在动态端口上配置了语音VLAN ID(VVID),那么该端口可以既属于接入VLAN,也可属于语音VLAN.因此,一个连接的有IP电话的端口可以有单独的VLAN信息:
1.数据流量走接入VLAN.
2.语音流量走语音VLAN.
确认动态VLAN的成员关系:
Switch#vmps reconfirm
设置VMPS客户机从VMPS周期性的重新确认动态VLAN的成员关系,设置等待确认的时间(单位:分钟);设置VMPS客户机与VMPS通信的尝试次数:
!
vmps reconfirm 120 /------默认60分钟------/
vmps retry 5 /------默认3次------/
!四.VMPS数据库配置文件模板:
!
vmps domain /------VMPS域名必须指定------/
vmps mode {opensecure} /------默认为open模式------/
vmps fallback
vmps no-domain-req {allowdeny}
!
vmps-mac-addrs
!
address vlan-name /------定义MAC地址到VLAN的映射------/
!
vmps-port-group /------定义端口组------/
device {port all-ports}
!
vmps-vlan-group /------定义VLAN口组------/
vlan-name
!
vmps-port-policies {vlan-name vlan-group }
port-group
device port
!
把它上载到交换机可以访问的TFTP服务器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
!
