CISCO 4500系列交換機動態VLAN與VMPS的配置
一.VMPS的介紹:
VMPS的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基於埠MAC地址動態選擇VLAN的集中化管理伺服器.當某個埠的主機移動到另一個埠後,VMPS動態的為其指定VLAN.不過基於 IOS的CATALYST 4500系列交換不支援VMPS的功能,它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,透過VQP的客戶機,可以和VMPS通訊.如果要讓CATALYST 4500系列交換機支援VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
VMPS使用UDP埠監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位於本地網路還是遠端網路.當VMPS伺服器收到來自VMPS客戶機的請求後,它將在本地資料庫裡查詢MAC地址到VLAN的對映條目資訊.
VMPS將對請求進行響應.如果被指定的VLAN侷限於一組埠,VMPS將驗證對發出請求的埠進行驗證:
1.如果請求埠的VLAN被許可,VMPS向客戶傳送VLAN做為響應.
2.如果請求埠的VLAN不被許可,並且VMPS不是處於安全模式(secure mode),VMPS將傳送"access-denied"(訪問被拒絕)的資訊做為響應.
3.如果請求埠的VLAN不被許可,但VMPS處於安全模式,VMPS將傳送"port-shutdown"(埠關閉)的資訊做為響應.
但如果資料庫裡的VLAN資訊和埠的當前VLAN資訊不匹配,並且該埠連線的有活動主機,VMPS將傳送"access-denied","fallback VLAN name"(後退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)資訊.至於傳送何種資訊取決於VMPS模式的設定.
如果交換機從VMPS那裡收到"access-denied"的資訊,交換機將堵塞來自該MAC地址,前往或從該埠返回的流量.交換機將繼續監視去往該埠的資料包,並且當交換機識別到一個新的地址後,它會向VMPS發出查詢資訊.如果交換機從VMPS那裡收到"port-shutdown"資訊,交換機將禁用該埠,該埠必須透過命令列或SNMP重新啟用.
VMPS有三種模式(但User Registration Tool,即URT,只支援open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,VMPS將向客戶返回"access-denied"資訊.
當埠已經指定VLAN:
1.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並配置的有fallback VLAN名,那麼VMPS將返回fallback VLAN名給客戶機.
2.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並沒有配置fallback VLAN名,那麼VMPS將返回"access-denied"資訊給客戶機.
secure模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,埠將被關閉.
當埠已經指定VLAN:
如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,即使有配置fallback VLAN名,埠仍將被關閉.
multiple模式:
當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
當然,你也可以在VMPS上指定fallback VLAN名.如果該埠未指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
1.如果主機的MAC地址在資料庫中不存在,並且VMPS上指定的有fallback VLAN名,那麼將向客戶機返回fallback VLAN名資訊.
2.如果主機的MAC地址在資料庫中不存在,但VMPS上未指定fallback VLAN名,那麼將向客戶機返回"access-denied"資訊.
如果該埠已經指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
不管VMPS上有沒有配置fallback VLAN名,只要VMPS處於secure模式,那麼它就將反饋"port-shutdown"資訊給客戶機.
有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
1.當VMPS上未配置fallback VLAN名,並且資料庫裡沒有相應的MAC地址到VLAN的對映資訊.
2.當埠已經被指定了VLAN,並且VMPS不處於multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求資訊.
二.VMPS客戶機的介紹:當埠被配置為動態(dynamic)的時候,它基於MAC地址的接收VLAN資訊.這些VLAN資訊是基於埠MAC地址,從VMPS那裡動態獲得的.動態埠一次只能屬於一個VLAN.當鏈路up後,埠不會立即轉發流量,直到該埠獲得了VLAN資訊.當動態埠所連的主機發起第一個資料包的時候,資料包中的源MAC地址就做為VQP的請求資訊中的一個關鍵部分,它嘗試去匹配VMPS資料庫裡的MAC地址.如果匹配成功,那麼VMPS向客戶機傳送VLAN資訊(VLAN ID);如果匹配不成功,那麼VMPS要麼拒絕該請求,要麼把埠關閉(這取決於VMPS所處的模式).當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
三.VMPS客戶機的配置:
VMPS客戶機的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主機名代替IP地址------/
vmps server 172.20.128.178 /------指定備用VMPS的地址,也可用主機名代替IP地址,最多可以配置4個VMPS------/
!
驗證VMPS資訊:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上還顯示了VMPS客戶機的預設資訊.
在VMPS客戶機上配置動態埠:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
驗證資訊:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在動態埠上配置了語音VLAN ID(VVID),那麼該埠可以既屬於接入VLAN,也可屬於語音VLAN.因此,一個連線的有IP電話的埠可以有單獨的VLAN資訊:
1.資料流量走接入VLAN.
2.語音流量走語音VLAN.
確認動態VLAN的成員關係:
Switch#vmps reconfirm
設定VMPS客戶機從VMPS週期性的重新確認動態VLAN的成員關係,設定等待確認的時間(單位:分鐘);設定VMPS客戶機與VMPS通訊的嘗試次數:
!
vmps reconfirm 120 /------預設60分鐘------/
vmps retry 5 /------預設3次------/
!
四.VMPS資料庫配置檔案模板:
!
vmps domain <domain-name> /------VMPS域名必須指定------/
vmps mode {open|secure} /------預設為open模式------/
vmps fallback vlan-name>
vmps no-domain-req {allow|deny}
!
vmps-mac-addrs
!
address <addr> vlan-name <vlan-name> /------定義MAC地址到VLAN的對映------/
!
vmps-port-group <group-name> /------定義埠組------/
device <device-id> {port <port-name>|all-ports}
!
vmps-vlan-group <group-name> /------定義VLAN口組------/
vlan-name <vlan-name>
!
vmps-port-policies {vlan-name <vlan-name>|vlan-group <group-name>}
port-group <group-name>
device <device-id> port <port-name>
!
把它上載到交換機可以訪問的TFTP伺服器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
[@more@]
VMPS的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基於埠MAC地址動態選擇VLAN的集中化管理伺服器.當某個埠的主機移動到另一個埠後,VMPS動態的為其指定VLAN.不過基於 IOS的CATALYST 4500系列交換不支援VMPS的功能,它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,透過VQP的客戶機,可以和VMPS通訊.如果要讓CATALYST 4500系列交換機支援VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
VMPS使用UDP埠監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位於本地網路還是遠端網路.當VMPS伺服器收到來自VMPS客戶機的請求後,它將在本地資料庫裡查詢MAC地址到VLAN的對映條目資訊.
VMPS將對請求進行響應.如果被指定的VLAN侷限於一組埠,VMPS將驗證對發出請求的埠進行驗證:
1.如果請求埠的VLAN被許可,VMPS向客戶傳送VLAN做為響應.
2.如果請求埠的VLAN不被許可,並且VMPS不是處於安全模式(secure mode),VMPS將傳送"access-denied"(訪問被拒絕)的資訊做為響應.
3.如果請求埠的VLAN不被許可,但VMPS處於安全模式,VMPS將傳送"port-shutdown"(埠關閉)的資訊做為響應.
但如果資料庫裡的VLAN資訊和埠的當前VLAN資訊不匹配,並且該埠連線的有活動主機,VMPS將傳送"access-denied","fallback VLAN name"(後退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)資訊.至於傳送何種資訊取決於VMPS模式的設定.
如果交換機從VMPS那裡收到"access-denied"的資訊,交換機將堵塞來自該MAC地址,前往或從該埠返回的流量.交換機將繼續監視去往該埠的資料包,並且當交換機識別到一個新的地址後,它會向VMPS發出查詢資訊.如果交換機從VMPS那裡收到"port-shutdown"資訊,交換機將禁用該埠,該埠必須透過命令列或SNMP重新啟用.
VMPS有三種模式(但User Registration Tool,即URT,只支援open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,VMPS將向客戶返回"access-denied"資訊.
當埠已經指定VLAN:
1.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並配置的有fallback VLAN名,那麼VMPS將返回fallback VLAN名給客戶機.
2.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並沒有配置fallback VLAN名,那麼VMPS將返回"access-denied"資訊給客戶機.
secure模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,埠將被關閉.
當埠已經指定VLAN:
如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,即使有配置fallback VLAN名,埠仍將被關閉.
multiple模式:
當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
當然,你也可以在VMPS上指定fallback VLAN名.如果該埠未指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
1.如果主機的MAC地址在資料庫中不存在,並且VMPS上指定的有fallback VLAN名,那麼將向客戶機返回fallback VLAN名資訊.
2.如果主機的MAC地址在資料庫中不存在,但VMPS上未指定fallback VLAN名,那麼將向客戶機返回"access-denied"資訊.
如果該埠已經指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
不管VMPS上有沒有配置fallback VLAN名,只要VMPS處於secure模式,那麼它就將反饋"port-shutdown"資訊給客戶機.
有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
1.當VMPS上未配置fallback VLAN名,並且資料庫裡沒有相應的MAC地址到VLAN的對映資訊.
2.當埠已經被指定了VLAN,並且VMPS不處於multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求資訊.
二.VMPS客戶機的介紹:當埠被配置為動態(dynamic)的時候,它基於MAC地址的接收VLAN資訊.這些VLAN資訊是基於埠MAC地址,從VMPS那裡動態獲得的.動態埠一次只能屬於一個VLAN.當鏈路up後,埠不會立即轉發流量,直到該埠獲得了VLAN資訊.當動態埠所連的主機發起第一個資料包的時候,資料包中的源MAC地址就做為VQP的請求資訊中的一個關鍵部分,它嘗試去匹配VMPS資料庫裡的MAC地址.如果匹配成功,那麼VMPS向客戶機傳送VLAN資訊(VLAN ID);如果匹配不成功,那麼VMPS要麼拒絕該請求,要麼把埠關閉(這取決於VMPS所處的模式).當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
三.VMPS客戶機的配置:
VMPS客戶機的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主機名代替IP地址------/
vmps server 172.20.128.178 /------指定備用VMPS的地址,也可用主機名代替IP地址,最多可以配置4個VMPS------/
!
驗證VMPS資訊:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上還顯示了VMPS客戶機的預設資訊.
在VMPS客戶機上配置動態埠:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
驗證資訊:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在動態埠上配置了語音VLAN ID(VVID),那麼該埠可以既屬於接入VLAN,也可屬於語音VLAN.因此,一個連線的有IP電話的埠可以有單獨的VLAN資訊:
1.資料流量走接入VLAN.
2.語音流量走語音VLAN.
確認動態VLAN的成員關係:
Switch#vmps reconfirm
設定VMPS客戶機從VMPS週期性的重新確認動態VLAN的成員關係,設定等待確認的時間(單位:分鐘);設定VMPS客戶機與VMPS通訊的嘗試次數:
!
vmps reconfirm 120 /------預設60分鐘------/
vmps retry 5 /------預設3次------/
!
四.VMPS資料庫配置檔案模板:
!
vmps domain <domain-name> /------VMPS域名必須指定------/
vmps mode {open|secure} /------預設為open模式------/
vmps fallback
vmps no-domain-req {allow|deny}
!
vmps-mac-addrs
!
address <addr> vlan-name <vlan-name> /------定義MAC地址到VLAN的對映------/
!
vmps-port-group <group-name> /------定義埠組------/
device <device-id> {port <port-name>|all-ports}
!
vmps-vlan-group <group-name> /------定義VLAN口組------/
vlan-name <vlan-name>
!
vmps-port-policies {vlan-name <vlan-name>|vlan-group <group-name>}
port-group <group-name>
device <device-id> port <port-name>
!
把它上載到交換機可以訪問的TFTP伺服器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/14252622/viewspace-1015671/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 華為交換機VLAN配置
- VLAN與三層交換機
- 思科交換機vlan的劃分
- Cisco 2960X交換機支援多少條靜態路由路由
- CISCO交換機STP實驗(生成樹協議)協議
- 交換機的簡單配置
- 配置PoE交換機功能
- H3C交換機IPv6無狀態地址自動配置
- 華為交換機DHCP中繼怎麼配置?華為交換機的中繼配置方法中繼
- 華為交換機配置Telnet
- 網路(1)——交換機配置
- 華為交換機配置(一)
- 北京智和信通:交換機策略查詢與自動化配置
- 接入交換機、匯聚交換機、核心交換機的區別
- 全國產交換機、軍用交換機與普通交換機到底有啥區別?
- 交換機&路由器基本配置路由器
- 華為交換機配置acl策略
- 交換機M:N埠映象配置
- 思科交換機配置命令歸納
- Cisco 交換機利用CDP資料自動繪製網路拓撲圖[drawio]-實踐
- 工業交換機與商業交換機區別對比
- 環網自主可控交換機相較與普通的交換機優勢在哪?
- 華為交換機M-LAG配置
- 車載乙太網交換機入門基本功(3)—VLAN 轉發
- 【轉】交換機開發(一)—— 交換機的工作原理
- 二層交換機和三層交換機的區別
- 計算機網路系列--什麼是電路交換和分組交換?計算機網路
- IDC運維怎麼便捷配置機房交換機運維
- 配置VLAN
- 交換機基於介面劃分VLAN(匯聚層裝置作為閘道器)
- Mellanox交換機最簡單的配置一分四
- HCNA Routing&Switching之二層交換技術VLAN基礎
- 論HPUX系統交換與偽交換UX
- 華為S5735S交換機配置QinQ
- SAN交換機配置的備份還原,韌體升級
- 華為交換機和銳捷交換機埠隔離
- 41.交換機
- 交換機測試
- 二層交換機鏈路聚合、三層交換機鏈路聚合和三層交換機的單臂路由專案路由