收藏 分享(赏)
下载资源 加入VIP,免费下载

动态VLAN的方法.doc

上传人:精品资料 文档编号:10661044 上传时间:2019-12-16 格式:DOC 页数:6 大小:17.16KB
下载 相关 举报
动态VLAN的方法.doc_第1页
第1页 / 共6页
动态VLAN的方法.doc_第2页
第2页 / 共6页
动态VLAN的方法.doc_第3页
第3页 / 共6页
动态VLAN的方法.doc_第4页
第4页 / 共6页
动态VLAN的方法.doc_第5页
第5页 / 共6页
点击查看更多>>
资源描述

1、此时管理员可以采用动态 VLAN 的方法,将这些笔记本的 MAC 地址记录下来,通过 MAC 地址划分 VLAN。不论他们在那个办公环境中,都可以被分配 到正确的VLAN 里面。本文将介绍 VMPS,即 VLAN Management Policy Server 是如何解决此类应用的配置难题。一动态 VLAN 凭什么能解决问题?动态的 VLAN 形成很简单,由交换机端口自己决定它属于哪个 VLAN 时,就形成了动态的 VLAN。其实,动态的 VLAN 就是一个简单的映射,这 个映射取决于工程师创建的 MAC 数据库文件。分配给动态 VLAN 的端口被激活后,交换机就缓存初始帧的源 M A C

2、地址。随后,交换机便向一个称为 VMPS (VLAN 管理策略服务器)的外部服务器发出请求,VMPS 中包含一个文本文件,文件中存有进行 VLAN 映射的 M A C 地址。交换机对这个文件进行下载,然后对文件中的 M A C 地址进行校验。如果在文件列表中找到 M A C 地址,交换机就将端口分配给列表中的 VLAN。如果列表中没有 M A C 地址,交换机就将端口分配给默认的 VLAN(假设已经定义默认了 VLAN)。在动态 VLAN 中,如果在列表中没有 M A C 地址,而且也没有定义默认的 VLAN,端口不会被激活,这是维护网络安全一种非常好的的方法。VMPS 即 VLAN Mana

3、gement Policy Server,是一种基于源 MAC 地址动态的、在交换机端口上划分 VLAN 的方法。当某个端口的主机移动到另一个端口后,VMPS 动态的为其指定 VLAN。不过基于 CISCO IOS 系列中低端交换不支持一般不支持 VMPS 的功能,它只能成为 VLAN 查询协议(VLAN Query Protocol)的客户机。一旦启动了 VMPS,包含 MAC 地址到 VLAN 映射的数据库就会从 TFTP 服务器下载到 VMPS 服务器。然后,VMPS 使用 UDP 端口监听来自 VQP 客户机的请求。当 VMPS 服务器收到来自 VMPS 客户机的请求后,它将在本地数据

4、库里查找 MAC地址到 VLAN 的映射条目信息。VMPS 将对请求进 行响应,如果被指定的 VLAN局限于一组端口,VMPS 将验证对发出请求的端口进行验证:* 如果请求端口的 VLAN 被允许的,VMPS 向客户发送 VLAN 的名称;* 如果请求端口的 VLAN 不与允许的,并且 VMPS 不是处于安全模式,VMPS 将发送“access-denied”访问被拒绝的信息;* 如果请求端口的 VLAN 不与允许的,但 VMPS 处于安全模式,VMPS 将发送“port-shutdown”端口关闭的信息。另外,如果数据库里的 VLAN 信息和端口的当前 VLAN 信息不匹配,并且该端口连接的

5、有活动主机,VMPS 将发送“access- denied”、“fallback VLAN name”或者“port-shutdown”、“new VLAN name”信息。如果交换机从 VMPS那里收到“access-denied”的信息,交换机将堵塞来自该 MAC 地址,前往或从该端口返回的流量,交换机 将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向 VMPS 发出查询信息.如果交换机从 VMPS 那里收到“port- shutdown”信息。注意:交换机将禁用该端口,必须手工的将该端口启用才能正式使用。二:深入动态 VLAN 技术内幕VMPS 有 Open、Sec

6、ure、Multiple 三种运行模式:1Open 模式当端口未指定 VLAN 时,如果该端口的 MAC 地址与之相关联的 VLAN 信息被许可,VMPS 将向客户返回 VLAN 名;如果该端口的 MAC 地址与之相关联的 VLAN信息不被许可,VMPS 将向客户返回“access-denied”信息。当端口已经指定 VLAN 时,如果数据库里的 VLAN 与 MAC 地址相关联的信息和端口的当前 VLAN 关联信息不匹配,并配置的有 fallback VLAN(后备 VLAN)名,那么 VMPS 将返回 fallback VLAN 名给客户机;如果数据库里的 VLAN 与MAC 地址相关联的

7、信息和端口的当前 VLAN 关联信息不匹配,并没有配置fallback VLAN 名,那么 VMPS 将返回“access-denied”信息给客户机。2Secure 模式当端口未指定 VLAN 时,.如果该端口的 MAC 地址与之相关联的 VLAN 信息被许可,VMPS 将向客户返回 VLAN 名;如果该端口的 MAC 地址与之相关联的 VLAN信息不被许可,端口将被关闭。当端口已经指定 VLAN 时,如果数据库里的 VLAN 与 MAC 地址相关联的信息和端口的当前 VLAN 关联信息不匹配,即使有配置 fallback VLAN 名,端口仍将被关闭。3Multiple 模式当多个 MAC

8、 地址处于同一 VLAN 的时候,多个 MAC 地址可以对应一个动态端口。如果动态端口的链路关闭,端 口将被还原成未指定状态,并且在指定VLAN 之前,VMPS 将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS 将向客户返回最新的 MAC 地 址到 VLAN 映射的信息。当然,也可以在 VMPS 上指定 fallback VLAN 名。如果该端口未指定任何VLAN,VMPS 将把端口和发起请求的 MAC 地址进行比较:如果主机的 MAC 地址在数据库中不存在,并且 VMPS 上指 定的有 fallback VLAN 名,那么将向客户机返回 fallback VLAN 名信息;如果

9、主机的 MAC 地址在数据库中不存在,但 VMPS上未指定 fallback VLAN 名,那么将向客户机返回“access-denied”信息;如果该端口已经指定任何 VLAN,VMPS 将把端口和发起请求的 MAC 地址进行比 较。此时,不管 VMPS 上有没有配置 fallback VLAN 名,只要 VMPS 处于 Secure模式,那么它就将反馈“port-shutdown”信息给客户机。三动态 VLAN 如何解决移动办公难题1创建 VMPS 数据库文件要使用 VMPS 必须先创建 VMPS 数据库,并将其保存在一个 TFTP 服务器上。VMPS 数据库文件是一个 ASCII 吗的文

10、本文件,并且编写起来非常繁琐,最简单的方式是获得一个 VMPS 数据库范本。VMPS 数据库文件包含如下条目:(1)包含 VMPS 域名的文件头(2)VMPS 运行模式(3)后备(fallback)用的 VLAN 名(4)映射到 VLAN 名字上的一组 MAC 地址VMPS 数据库的基本结构如下:vmps domain Switchblock1 (指定 VTP 域名)vmps mode open (指定运行模式)vmps fallback default (指定 fallback VLAN,这里默认是 VLAN 1)vmps no-domain-req deny (只要发送的请求不带域名,就不

11、提供任何VLAN 映射)!vmps-mac-addrs (配置 MAC 地址和 VLAN 之间的关联)!address 0001.0387.0943 vlan-name GroupAaddress 0050.0491.F950 vlan-name GroupBaddress 0050.DA8F.1134 vlan-name GroupC2配置 VMPS 服务器(1)设置 VMPS 的下载方式:set vmps downloadmethod rcp | tftp(2)设置 VMPS 下载服务器和文件名称:set vmps downloadserver ipaddress filename(3)启

12、动 VMPS 服务:set vmps state enable3配置 VMPS 客户端* COS 交换机:set vmps server ipaddress primary* IOS 交换机:(global) vmps server ipaddress primary要让客户端交换机从服务器请求中获得动态的 VLAN 信息,必须给客户端配置服务器地址。使用 primary 选项来指定主 VMPS 服务器的 IP,还可以制定至多 3 个 VMPS 服务器起到负载的作用。4配置端口为动态模式* COS 交换机:set port membership mod/port dynamic* IOS 交换

13、机:(interface) switchport access dynamic四实战:动态 VLAN 解决案例在下图所示,交换机 Access_1 和 Vmps_s1 的端口按如下需求划分划分:* VLAN 5 中包含 Access_1 的 1 和 2、Vmps_s1 上的 3/1-48;* VLAN 8 中包含 Access_1 的 3 和 4、Vmps_s1 上的 4/1-48;* VLAN 10 中包含 Access_1 的 5 和 6、Vmps_s1 上的 5/1-12 和 5/18-24;* Access_1 的 13-16 以及 Vmps_s1 上的 5/13-17 是动态端口。图

14、 VLAN 逻辑拓扑图1配置服务器Vmps_s1 (enable)set vlan 5 3/1-48Vmps_s1 (enable)set vlan 8 4/1-48Vmps_s1 (enable)set vlan 10 5/1-12,5/18-24Vmps_s1 (enable)set vmps downloadserver 10.1.1.101 vmpsconfig.txtVmps_s1 (enable)set interface sc0 10.1.1.1/24Vmps_s1 (enable)set vmps enableVmps_s1 (enable)set vmps server 10

15、.1.1.1Vmps_s1 (enable) set port membership 5/13-17 dynamic2配置客户端Access_1(config)#interface fastethernet 0/1Access_1(config-if)#switchport access vlan 5Access_1(config-if)#interface fastethernet 0/2Access_1(config-if)#switchport access vlan 5Access_1(config-if)#interface fastethernet 0/3Access_1(conf

16、ig-if)#switchport access vlan 8Access_1(config-if)#interface fastethernet 0/4Access_1(config-if)#switchport access vlan 8Access_1(config-if)#interface VLAN 1Access_1(config-if)#ip address 10.1.1.2 255.255.255.0Access_1(config-if)#vmps server 10.1.1.1Access_1(config)#interface fastethernet 0/5Access_

17、1(config-if)#switchport access dynamicAccess_1(config-if)#interface fastethernet 0/6Access_1(config-if)#switchport access vlan dynamicAccess_1(config-if)# endAccess_1 #copy running-config startup-config五工程师总结:动态 VLAN 优势大 但有缺点基于端口的静态的优点体现在定义 VLAN 成员时非常简单,只要将所有的端口都指一下就可以了。而缺点则是不够灵活,如果 VLAN A 的用户离开了原来的

18、端口,到了一个新的交换机的某个端口,就必须重新定义该用户,否则就很有可能成为 VLAN B 的成员。利用 VMPS 配置基于 MAC 的案例非常精彩。我们都知道 MAC 地址就是指网卡(NIC)的标识符,每一块网卡的 MAC 地址都是惟一的。从某种意 义上说,这是一种基于用户的网络划分手段,基于 MAC 地址的 VLAN 划分其实就是基于工作站、服务器的 VLAN 组合。在网络规模较小时,该方案不失为一个 好方法,但随着网络规模的扩大以及网络设备、用户的增加,会在很大程度上加大管理的难度。从表面上看,动态 VLAN 的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。

19、如果网络上有数千个工作站,则有大量 的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的 VLAN 有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。六知识链接:动态 VLAN 配置文件模板这里给出一个 Vmpsconfig.txt 配置模板,读者可更具上述操作步骤自行修改。!Section 1: GLOBAL SETTINGS!VMPS File Format, version 1.1! Always begin the configuration file with! the word “VMPS“!vmps domain ! The VMPS domain mu

20、st be defined.!vmps mode open | secure! The default mode is open.!vmps fallback !vmps no-domain-req allow | deny ! The default value is allow.vmps domain WBUvmps mode openvmps fallback defaultvmps no-domain-req deny!Section 2: MAC ADDRESSES!MAC Addressesvmps-mac-addrs! address vlan-name !address 001

21、2.2233.4455 vlan-name hardwareaddress 0000.6509.a080 vlan-name hardwareaddress aabb.ccdd.eeff vlan-name Greenaddress 1223.5678.9abc vlan-name ExecStaffaddress fedc.ba98.7654 vlan-name -NONE-address fedc.ba23.1245 vlan-name Purple!Section 3: PORT GROUPS!Port Groups!vmps-port-group ! device port | all

22、-ports !vmps-port-group WiringCloset1device 198.92.30.32 port 3/2device 172.20.26.141 port 2/8vmps-port-group “Executive Row“device 198.4.254.222 port 1/2device 198.4.254.222 port 1/3device 198.4.254.223 all-ports!Section 4: VLAN GROUPS!VLAN groups!vmps-vlan-group ! vlan-name !vmps-vlan-group Engine

23、eringvlan-name hardwarevlan-name software!Section 5: VLAN PORT POLICIES!VLAN port Policies!vmps-port-policies vlan-name | vlan-group ! port-group | device port !vmps-port-policies vlan-group Engineeringport-group WiringCloset1vmps-port-policies vlan-name Greendevice 198.92.30.32 port 4/8vmps-port-policies vlan-name Purpledevice 198.4.254.22 port 1/2port-group “Executive Row“

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 管理学资料

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报