当前位置: 王朝网络 >> 数码 >> 网络技巧：CISCO动态VLAN配置－应用技巧

网络技巧：CISCO动态VLAN配置－应用技巧(2)

王朝数码·作者佚名 2010-12-27

VMPS介绍:

VMPS介绍的是VLAN Membership Policy Server的简称.顾名思义,它是一种基于端口MAC地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN.不过基于CISCO IOS的CATALYST 4500系列交换不支持VMPS的功能。

它只能做为VLAN查询协议(VLAN Query Protocol)的客户机,通过VQP的客户机,可以和VMPS通信.如果要让CATALYST 4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho).

VMPS介绍使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.

VMPS介绍将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:

◆如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.

◆如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应.

◆如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送"port-shutdown"(端口关闭)的信息做为响应.

但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于发送何种信息取决于VMPS模式的设置.

如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用.

VMPS介绍有三种模式(但User Registration Tool,即URT,只支持open模式):

◆open模式.

◆secure模式.

◆multiple模式.

◆open模式:

当端口未指定VLAN:

◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.

◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息.

当端口已经指定VLAN:

◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并配置的有fallback VLAN名,那么VMPS将返回fallback VLAN名给客户机.

◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并没有配置fallback VLAN名,那么VMPS将返回"access-denied"信息给客户机.

secure模式当端口未指定VLAN:

◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.

◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭.

当端口已经指定VLAN:

如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,即使有配置fallback VLAN名,端口仍将被关闭.

multiple模式:

当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息.当然,你也可以在VMPS上指定fallback VLAN名.如果该端口未指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:

◆如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallback VLAN名,那么将向客户机返回fallback VLAN名信息.

◆如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallback VLAN名,那么将向客户机返回"access-denied"信息.

如果该端口已经指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:不管VMPS上有没有配置fallback VLAN名,只要VMPS处于secure模式,那么它就将反馈"port-shutdown"信息给客户机.有的时候我们也可能看到非法的VMPS客户机请求,如下两种:

◆当VMPS上未配置fallback VLAN名,并且数据库里没有相应的MAC地址到VLAN的映射信息.

◆当端口已经被指定了VLAN,并且VMPS不处于multiple模式,但是VMPS收到了第二个不同MAC地址的VMPS客户机请求信息.

===============================================

配置VMPS数据库

VMPS的用途就是用来创建动态的VLAN。而要创建动态VLAN，首先就是要配置VMPS数据库，然后依次配置VMPS服务器和客户机。

为了使用VMPS，你首先要建立VMPS的数据库（也就是一个文本文件）并把它保存在一个TFTP服务器上。VMPS的格式是基于行的。每一行都是一个开始。VMPS数据库文件包含如下五个部分：全局设置（Global settings）、MAC地址到VLAN的映射（MAC address-to-VLAN name mappings）、端口组（Port groups）、VLAN组（VLAN groups）和VLAN端口策略（VLAN port policies）。具体解释如下：

n 第一部分：全局设置（Global settings）

第一部分是列出VMPS域名、安全模式、Fallback VLAN名称，以及VMPS和VTP域名不匹配的策略。VMPS数据库文件是以“VMPS”开头的，以防止VMPS服务器错误地读取交换机上其他的配置文件。

在定义VMPS域时，应当正确输入在交换机上配置的VTP域名。

在定义安全模式时，VMPS可以工作于安全模式或者开放模式。如果你设置为开放模式，VMPS就会对未知的MAC地址返回一个拒绝访问的响应消息，而对于一个不在VMPS数据中的MAC地址，则返回一个Fallback VLAN名的消息进行响应。在安全模式中，VMPS会对未知，或者不在VMPS数据库中的MAC地址会关闭所访问的端口。

Fallback VLAN的定义是个可选项。它是为在连接主机的MAC地址不在数据库中，且VMPS工作于开放模式时准备的。

下面是本部分的一个示例：VMPS域名为GRFW，VMPS模式为开放模式，Fallback VLAN为默认设置，VMPS策略中在VTP域名与VMPS域名不匹配时发送访问拒绝（access-denied）消息进行响应。

vmps domain GRFW

vmps mode open

vmps Fallback default

vmps no-domain-req deny

n 第二部分：MAC地址到VLAN的映射（MAC address-to-VLAN name mappings）

本部分列出MAC地址，以及每个MAC地址对应的VLAN名。可以使用“NONE”关键字作为VLAN名，以拒绝该MAC地址的主机与网络连接。在一个VMPS数据库中，你可以键入最多21,051条MAC地址。

下面是本部分的一个示例。MAC地址是在MAC地址表中一出的，注意其中的“fedc.ba98.7654”MAC地址对应的VLAN名为“NONE”，也就是拒绝该MAC地址主机访问网络。

vmps-mac-addrs

address 0012.2233.4455 vlan-name hardware

address 0000.6509.a080 vlan-name hardware