CISCO 4500系列交換機動態VLAN與VMPS的配置
一.VMPS的介紹:
VMPS的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基於埠MAC地址動態選擇VLAN的集中化管理伺服器.當某個埠的主機移動到另一個埠後,VMPS動態的為其指定VLAN.不過基於 IOS的CATALYST 4500系列交換不支援VMPS的功能,它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,透過VQP的客戶機,可以和VMPS通訊.如果要讓CATALYST 4500系列交換機支援VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
VMPS使用UDP埠監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位於本地網路還是遠端網路.當VMPS伺服器收到來自VMPS客戶機的請求後,它將在本地資料庫裡查詢MAC地址到VLAN的對映條目資訊.
VMPS將對請求進行響應.如果被指定的VLAN侷限於一組埠,VMPS將驗證對發出請求的埠進行驗證:
1.如果請求埠的VLAN被許可,VMPS向客戶傳送VLAN做為響應.
2.如果請求埠的VLAN不被許可,並且VMPS不是處於安全模式(secure mode),VMPS將傳送"access-denied"(訪問被拒絕)的資訊做為響應.
3.如果請求埠的VLAN不被許可,但VMPS處於安全模式,VMPS將傳送"port-shutdown"(埠關閉)的資訊做為響應.
但如果資料庫裡的VLAN資訊和埠的當前VLAN資訊不匹配,並且該埠連線的有活動主機,VMPS將傳送"access-denied","fallback VLAN name"(後退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)資訊.至於傳送何種資訊取決於VMPS模式的設定.
如果交換機從VMPS那裡收到"access-denied"的資訊,交換機將堵塞來自該MAC地址,前往或從該埠返回的流量.交換機將繼續監視去往該埠的資料包,並且當交換機識別到一個新的地址後,它會向VMPS發出查詢資訊.如果交換機從VMPS那裡收到"port-shutdown"資訊,交換機將禁用該埠,該埠必須透過命令列或SNMP重新啟用.
VMPS有三種模式(但User Registration Tool,即URT,只支援open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,VMPS將向客戶返回"access-denied"資訊.
當埠已經指定VLAN:
1.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並配置的有fallback VLAN名,那麼VMPS將返回fallback VLAN名給客戶機.
2.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並沒有配置fallback VLAN名,那麼VMPS將返回"access-denied"資訊給客戶機.
secure模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,埠將被關閉.
當埠已經指定VLAN:
如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,即使有配置fallback VLAN名,埠仍將被關閉.
multiple模式:
當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
當然,你也可以在VMPS上指定fallback VLAN名.如果該埠未指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
1.如果主機的MAC地址在資料庫中不存在,並且VMPS上指定的有fallback VLAN名,那麼將向客戶機返回fallback VLAN名資訊.
2.如果主機的MAC地址在資料庫中不存在,但VMPS上未指定fallback VLAN名,那麼將向客戶機返回"access-denied"資訊.
如果該埠已經指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
不管VMPS上有沒有配置fallback VLAN名,只要VMPS處於secure模式,那麼它就將反饋"port-shutdown"資訊給客戶機.
有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
1.當VMPS上未配置fallback VLAN名,並且資料庫裡沒有相應的MAC地址到VLAN的對映資訊.
2.當埠已經被指定了VLAN,並且VMPS不處於multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求資訊.
二.VMPS客戶機的介紹:當埠被配置為動態(dynamic)的時候,它基於MAC地址的接收VLAN資訊.這些VLAN資訊是基於埠MAC地址,從VMPS那裡動態獲得的.動態埠一次只能屬於一個VLAN.當鏈路up後,埠不會立即轉發流量,直到該埠獲得了VLAN資訊.當動態埠所連的主機發起第一個資料包的時候,資料包中的源MAC地址就做為VQP的請求資訊中的一個關鍵部分,它嘗試去匹配VMPS資料庫裡的MAC地址.如果匹配成功,那麼VMPS向客戶機傳送VLAN資訊(VLAN ID);如果匹配不成功,那麼VMPS要麼拒絕該請求,要麼把埠關閉(這取決於VMPS所處的模式).當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
三.VMPS客戶機的配置:
VMPS客戶機的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主機名代替IP地址------/
vmps server 172.20.128.178 /------指定備用VMPS的地址,也可用主機名代替IP地址,最多可以配置4個VMPS------/
!
驗證VMPS資訊:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上還顯示了VMPS客戶機的預設資訊.
在VMPS客戶機上配置動態埠:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
驗證資訊:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在動態埠上配置了語音VLAN ID(VVID),那麼該埠可以既屬於接入VLAN,也可屬於語音VLAN.因此,一個連線的有IP電話的埠可以有單獨的VLAN資訊:
1.資料流量走接入VLAN.
2.語音流量走語音VLAN.
確認動態VLAN的成員關係:
Switch#vmps reconfirm
設定VMPS客戶機從VMPS週期性的重新確認動態VLAN的成員關係,設定等待確認的時間(單位:分鐘);設定VMPS客戶機與VMPS通訊的嘗試次數:
!
vmps reconfirm 120 /------預設60分鐘------/
vmps retry 5 /------預設3次------/
!
四.VMPS資料庫配置檔案模板:
!
vmps domain <domain-name> /------VMPS域名必須指定------/
vmps mode {open|secure} /------預設為open模式------/
vmps fallback vlan-name>
vmps no-domain-req {allow|deny}
!
vmps-mac-addrs
!
address <addr> vlan-name <vlan-name> /------定義MAC地址到VLAN的對映------/
!
vmps-port-group <group-name> /------定義埠組------/
device <device-id> {port <port-name>|all-ports}
!
vmps-vlan-group <group-name> /------定義VLAN口組------/
vlan-name <vlan-name>
!
vmps-port-policies {vlan-name <vlan-name>|vlan-group <group-name>}
port-group <group-name>
device <device-id> port <port-name>
!
把它上載到交換機可以訪問的TFTP伺服器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
[@more@]
VMPS的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基於埠MAC地址動態選擇VLAN的集中化管理伺服器.當某個埠的主機移動到另一個埠後,VMPS動態的為其指定VLAN.不過基於 IOS的CATALYST 4500系列交換不支援VMPS的功能,它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,透過VQP的客戶機,可以和VMPS通訊.如果要讓CATALYST 4500系列交換機支援VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
VMPS使用UDP埠監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位於本地網路還是遠端網路.當VMPS伺服器收到來自VMPS客戶機的請求後,它將在本地資料庫裡查詢MAC地址到VLAN的對映條目資訊.
VMPS將對請求進行響應.如果被指定的VLAN侷限於一組埠,VMPS將驗證對發出請求的埠進行驗證:
1.如果請求埠的VLAN被許可,VMPS向客戶傳送VLAN做為響應.
2.如果請求埠的VLAN不被許可,並且VMPS不是處於安全模式(secure mode),VMPS將傳送"access-denied"(訪問被拒絕)的資訊做為響應.
3.如果請求埠的VLAN不被許可,但VMPS處於安全模式,VMPS將傳送"port-shutdown"(埠關閉)的資訊做為響應.
但如果資料庫裡的VLAN資訊和埠的當前VLAN資訊不匹配,並且該埠連線的有活動主機,VMPS將傳送"access-denied","fallback VLAN name"(後退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)資訊.至於傳送何種資訊取決於VMPS模式的設定.
如果交換機從VMPS那裡收到"access-denied"的資訊,交換機將堵塞來自該MAC地址,前往或從該埠返回的流量.交換機將繼續監視去往該埠的資料包,並且當交換機識別到一個新的地址後,它會向VMPS發出查詢資訊.如果交換機從VMPS那裡收到"port-shutdown"資訊,交換機將禁用該埠,該埠必須透過命令列或SNMP重新啟用.
VMPS有三種模式(但User Registration Tool,即URT,只支援open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,VMPS將向客戶返回"access-denied"資訊.
當埠已經指定VLAN:
1.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並配置的有fallback VLAN名,那麼VMPS將返回fallback VLAN名給客戶機.
2.如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,並沒有配置fallback VLAN名,那麼VMPS將返回"access-denied"資訊給客戶機.
secure模式:
當埠未指定VLAN:
1.如果該埠的MAC地址與之相關聯的VLAN資訊被許可,VMPS將向客戶返回VLAN名.
2.如果該埠的MAC地址與之相關聯的VLAN資訊不被許可,埠將被關閉.
當埠已經指定VLAN:
如果資料庫裡的VLAN與MAC地址相關聯的資訊和埠的當前VLAN關聯資訊不匹配,即使有配置fallback VLAN名,埠仍將被關閉.
multiple模式:
當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
當然,你也可以在VMPS上指定fallback VLAN名.如果該埠未指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
1.如果主機的MAC地址在資料庫中不存在,並且VMPS上指定的有fallback VLAN名,那麼將向客戶機返回fallback VLAN名資訊.
2.如果主機的MAC地址在資料庫中不存在,但VMPS上未指定fallback VLAN名,那麼將向客戶機返回"access-denied"資訊.
如果該埠已經指定任何VLAN,VMPS將把埠和發起請求的MAC地址進行比較:
不管VMPS上有沒有配置fallback VLAN名,只要VMPS處於secure模式,那麼它就將反饋"port-shutdown"資訊給客戶機.
有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
1.當VMPS上未配置fallback VLAN名,並且資料庫裡沒有相應的MAC地址到VLAN的對映資訊.
2.當埠已經被指定了VLAN,並且VMPS不處於multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求資訊.
二.VMPS客戶機的介紹:當埠被配置為動態(dynamic)的時候,它基於MAC地址的接收VLAN資訊.這些VLAN資訊是基於埠MAC地址,從VMPS那裡動態獲得的.動態埠一次只能屬於一個VLAN.當鏈路up後,埠不會立即轉發流量,直到該埠獲得了VLAN資訊.當動態埠所連的主機發起第一個資料包的時候,資料包中的源MAC地址就做為VQP的請求資訊中的一個關鍵部分,它嘗試去匹配VMPS資料庫裡的MAC地址.如果匹配成功,那麼VMPS向客戶機傳送VLAN資訊(VLAN ID);如果匹配不成功,那麼VMPS要麼拒絕該請求,要麼把埠關閉(這取決於VMPS所處的模式).當多個MAC地址(主機)處於同一VLAN的時候,多個MAC地址可以對應一個動態埠.如果動態埠的鏈路down掉,埠將被還原成未指定狀態,並且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位於不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN對映的資訊.
三.VMPS客戶機的配置:
VMPS客戶機的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主機名代替IP地址------/
vmps server 172.20.128.178 /------指定備用VMPS的地址,也可用主機名代替IP地址,最多可以配置4個VMPS------/
!
驗證VMPS資訊:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上還顯示了VMPS客戶機的預設資訊.
在VMPS客戶機上配置動態埠:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
驗證資訊:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在動態埠上配置了語音VLAN ID(VVID),那麼該埠可以既屬於接入VLAN,也可屬於語音VLAN.因此,一個連線的有IP電話的埠可以有單獨的VLAN資訊:
1.資料流量走接入VLAN.
2.語音流量走語音VLAN.
確認動態VLAN的成員關係:
Switch#vmps reconfirm
設定VMPS客戶機從VMPS週期性的重新確認動態VLAN的成員關係,設定等待確認的時間(單位:分鐘);設定VMPS客戶機與VMPS通訊的嘗試次數:
!
vmps reconfirm 120 /------預設60分鐘------/
vmps retry 5 /------預設3次------/
!
四.VMPS資料庫配置檔案模板:
!
vmps domain <domain-name> /------VMPS域名必須指定------/
vmps mode {open|secure} /------預設為open模式------/
vmps fallback
vmps no-domain-req {allow|deny}
!
vmps-mac-addrs
!
address <addr> vlan-name <vlan-name> /------定義MAC地址到VLAN的對映------/
!
vmps-port-group <group-name> /------定義埠組------/
device <device-id> {port <port-name>|all-ports}
!
vmps-vlan-group <group-name> /------定義VLAN口組------/
vlan-name <vlan-name>
!
vmps-port-policies {vlan-name <vlan-name>|vlan-group <group-name>}
port-group <group-name>
device <device-id> port <port-name>
!
把它上載到交換機可以訪問的TFTP伺服器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/14252622/viewspace-1015671/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- VLAN與三層交換機
- Cisco交換機配置新手篇-埠配置(一)
- CISCO交換機,埠安全配置例項。
- Cisco交換機生成樹協議配置協議
- 在多臺Cisco交換機更改相同的配置命令(轉)
- 動態VLAN詳細配置例項
- cisco無線AP設定VLAN配置樣例。
- 快速查詢交換機埠的VLAN ID
- 分享交換機 VLAN 配置基礎及例項探討(轉)
- Cisco路由器與交換機口令回覆步驟路由器
- 《Cisco/H3C交換機高階配置與管理技術手冊》目錄
- cisco交換機命令總結匯集
- Cisco 交換機之間的連線方法(轉)
- 動態VLAN介紹
- CISCO交換機STP實驗(生成樹協議)協議
- Cisco Catalyst交換機密碼恢復策略(轉)密碼
- 三層交換機怎麼設定vlan網路
- CISCO 9124光纖交換機除錯經歷除錯
- CISCO 交換機IOS升級排障例項(轉)iOS
- VLAN的配置模式模式
- 北京智和信通:交換機策略查詢與自動化配置
- H3C交換機IPv6無狀態地址自動配置
- 實戰演練!CISCO交換機埠安全一點通
- 華為交換機DHCP中繼怎麼配置?華為交換機的中繼配置方法中繼
- C-E1. 配置線連線及登入 ❀ C3750-E ❀ 思科 (CISCO) 交換機
- 思科應用三層交換機實現VLAN間路由例項路由
- Cisco 交換機利用CDP資料自動繪製網路拓撲圖[drawio]-實踐
- 網路(1)——交換機配置
- 網咖交換機配置教程
- 華為交換機埠映象配置
- 交換機配置命令說明
- 華為交換機配置acl策略
- 記近日各型別交換機MAC與埠繫結配置型別Mac
- 5種常用的交換機SNMP配置命令
- 交換機M:N埠映象配置
- 交換機&路由器基本配置路由器
- 華為交換機M-LAG配置
- 區域網交換機的配置與選購基礎知識(轉)