- 論壇徽章:
- 0
|
本文以CISCO IOS版本12.2(31)SGA為例,我以前寫過基于CatOS的,有興趣的可以在91Lab找一找.胡扯兩句:HIM的音樂絕對超贊,少聽流行樂,多聽搖滾樂和饒舌樂,hippunk萬歲!轉(zhuǎn)載請保留作者信息:
作者:紅頭發(fā)(aka CCIE#15101/JNCIP Candidate)
出處:http://www.91lab.com
一.VMPS的介紹:
VMPS的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基于端口MAC地址動態(tài)選擇VLAN的集中化管理服務器.當某個端口的主機移動到另一個端口后,VMPS動態(tài)的為其指定VLAN.不過基于CISCO IOS的CATALYST 4500系列交換不支持VMPS的功能,它只能做為VLAN查詢協(xié)議(VLAN Query Protocol)的客戶機,通過VQP的客戶機,可以和VMPS通信.如果要讓CATALYST 4500系列交換機支持VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
VMPS使用UDP端口監(jiān)聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位于本地網(wǎng)絡還是遠程網(wǎng)絡.當VMPS服務器收到來自VMPS客戶機的請求后,它將在本地數(shù)據(jù)庫里查找MAC地址到VLAN的映射條目信息.
VMPS將對請求進行響應.如果被指定的VLAN局限于一組端口,VMPS將驗證對發(fā)出請求的端口進行驗證:
1.如果請求端口的VLAN被許可,VMPS向客戶發(fā)送VLAN做為響應.
2.如果請求端口的VLAN不被許可,并且VMPS不是處于安全模式(secure mode),VMPS將發(fā)送"access-denied"(訪問被拒絕)的信息做為響應.
3.如果請求端口的VLAN不被許可,但VMPS處于安全模式,VMPS將發(fā)送"port-shutdown"(端口關(guān)閉)的信息做為響應.
但如果數(shù)據(jù)庫里的VLAN信息和端口的當前VLAN信息不匹配,并且該端口連接的有活動主機,VMPS將發(fā)送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于發(fā)送何種信息取決于VMPS模式的設置.
如果交換機從VMPS那里收到"access-denied"的信息,交換機將堵塞來自該MAC地址,前往或從該端口返回的流量.交換機將繼續(xù)監(jiān)視去往該端口的數(shù)據(jù)包,并且當交換機識別到一個新的地址后,它會向VMPS發(fā)出查詢信息.如果交換機從VMPS那里收到"port-shutdown"信息,交換機將禁用該端口,該端口必須通過命令行或SNMP重新啟用.
VMPS有三種模式(但User Registration Tool,即URT,只支持open模式):
1.open模式.
2.secure模式.
3.multiple模式.
open模式:
當端口未指定VLAN:
1.如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回VLAN名.
2.如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,VMPS將向客戶返回"access-denied"信息.
當端口已經(jīng)指定VLAN:
1.如果數(shù)據(jù)庫里的VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,并配置的有fallback VLAN名,那么VMPS將返回fallback VLAN名給客戶機.
2.如果數(shù)據(jù)庫里的VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,并沒有配置fallback VLAN名,那么VMPS將返回"access-denied"信息給客戶機.
secure模式:
當端口未指定VLAN:
1.如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回VLAN名.
2.如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,端口將被關(guān)閉.
當端口已經(jīng)指定VLAN:
如果數(shù)據(jù)庫里的VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,即使有配置fallback VLAN名,端口仍將被關(guān)閉.
multiple模式:
當多個MAC地址(主機)處于同一VLAN的時候,多個MAC地址可以對應一個動態(tài)端口.如果動態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN映射的信息.
當然,你也可以在VMPS上指定fallback VLAN名.如果該端口未指定任何VLAN,VMPS將把端口和發(fā)起請求的MAC地址進行比較:
1.如果主機的MAC地址在數(shù)據(jù)庫中不存在,并且VMPS上指定的有fallback VLAN名,那么將向客戶機返回fallback VLAN名信息.
2.如果主機的MAC地址在數(shù)據(jù)庫中不存在,但VMPS上未指定fallback VLAN名,那么將向客戶機返回"access-denied"信息.
如果該端口已經(jīng)指定任何VLAN,VMPS將把端口和發(fā)起請求的MAC地址進行比較:
不管VMPS上有沒有配置fallback VLAN名,只要VMPS處于secure模式,那么它就將反饋"port-shutdown"信息給客戶機.
有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
1.當VMPS上未配置fallback VLAN名,并且數(shù)據(jù)庫里沒有相應的MAC地址到VLAN的映射信息.
2.當端口已經(jīng)被指定了VLAN,并且VMPS不處于multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求信息.
二.VMPS客戶機的介紹:
當端口被配置為動態(tài)(dynamic)的時候,它基于MAC地址的接收VLAN信息.這些VLAN信息是基于端口MAC地址,從VMPS那里動態(tài)獲得的.動態(tài)端口一次只能屬于一個VLAN.當鏈路up后,端口不會立即轉(zhuǎn)發(fā)流量,直到該端口獲得了VLAN信息.當動態(tài)端口所連的主機發(fā)起第一個數(shù)據(jù)包的時候,數(shù)據(jù)包中的源MAC地址就做為VQP的請求信息中的一個關(guān)鍵部分,它嘗試去匹配VMPS數(shù)據(jù)庫里的MAC地址.如果匹配成功,那么VMPS向客戶機發(fā)送VLAN信息(VLAN ID);如果匹配不成功,那么VMPS要么拒絕該請求,要么把端口關(guān)閉(這取決于VMPS所處的模式).當多個MAC地址(主機)處于同一VLAN的時候,多個MAC地址可以對應一個動態(tài)端口.如果動態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN映射的信息.
三.VMPS客戶機的配置:
VMPS客戶機的配置:
!
vmps server 172.20.128.179 primary /------指定主VMPS的地址,也可用主機名代替IP地址------/
vmps server 172.20.128.178 /------指定備用VMPS的地址,也可用主機名代替IP地址,最多可以配置4個VMPS------/
!
驗證VMPS信息:
Switch#show vmps
VQP Client Status:
--------------------
VMPS VQP Version: 1
Reconfirm Interval: 60 min
Server Retry Count: 3
VMPS domain server: 172.20.128.179 (primary, current)
172.20.128.178
Reconfirmation status
---------------------
VMPS Action: No Dynamic Port
如上還顯示了VMPS客戶機的默認信息.
在VMPS客戶機上配置動態(tài)端口:
!
interface fa1/1
switchport mode access
switchport access vlan dynamic
!
驗證信息:
Switch# show interface fa1/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative mode: dynamic auto
Operational Mode: dynamic access
Administrative Trunking Encapsulation: isl
Operational Trunking Encapsulation: isl
Negotiation of Trunking: Disabled
Access Mode VLAN: 0 ((Inactive))
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: NONE
Pruning VLANs Enabled: NONE
如果在動態(tài)端口上配置了語音VLAN ID(VVID),那么該端口可以既屬于接入VLAN,也可屬于語音VLAN.因此,一個連接的有IP電話的端口可以有單獨的VLAN信息:
1.數(shù)據(jù)流量走接入VLAN.
2.語音流量走語音VLAN.
確認動態(tài)VLAN的成員關(guān)系:
Switch#vmps reconfirm
設置VMPS客戶機從VMPS周期性的重新確認動態(tài)VLAN的成員關(guān)系,設置等待確認的時間(單位:分鐘);設置VMPS客戶機與VMPS通信的嘗試次數(shù):
!
vmps reconfirm 120 /------默認60分鐘------/
vmps retry 5 /------默認3次------/
!
四.VMPS數(shù)據(jù)庫配置文件模板:
!
vmps domain <domain-name> /------VMPS域名必須指定------/
vmps mode {open|secure} /------默認為open模式------/
vmps fallback <default|none|vlan-name>
vmps no-domain-req {allow|deny}
!
vmps-mac-addrs
!
address <addr> vlan-name <vlan-name> /------定義MAC地址到VLAN的映射------/
!
vmps-port-group <group-name> /------定義端口組------/
device <device-id> {port <port-name>|all-ports}
!
vmps-vlan-group <group-name> /------定義VLAN口組------/
vlan-name <vlan-name>
!
vmps-port-policies {vlan-name <vlan-name>|vlan-group <group-name>}
port-group <group-name>
device <device-id> port <port-name>
!
把它上載到交換機可以訪問的TFTP服務器上即可,如下:
!
vmps domain NUAIKO
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
vmps-mac-addrs
!
address 1111.1111.1111 vlan-name BLAKKBLOOD
address 2222.2222.2222 vlan-name BLAKKBLOOD
address 3333.3333.3333 vlan-name 91Lab
address 4444.4444.4444 vlan-name 91Lab
address 5555.5555.5555 vlan-name --NONE--
address 6666.6666.6666 vlan-name A502
!
vmps-port-group CCIE
device 198.92.30.32 port Fa1/3
device 172.20.26.141 port Fa1/4
vmps-port-group JNCIE
device 198.4.254.222 port Fa0/1
device 198.4.254.222 port Fa0/2
device 198.4.254.223 all-ports
!
vmps-vlan-group 15101
vlan-name BLAKKBLOOD
vlan-name A502
!
vmps-port-policies vlan-group 15101
port-group CCIE
vmps-port-policies vlan-name 91Lab
device 198.92.30.32 port Fa0/9
vmps-port-policies vlan-name A502
device 198.4.254.22 port Fa0/10
port-group JNCIE
!
轉(zhuǎn)載請保留作者信息:
作者:紅頭發(fā)(aka CCIE#15101/JNCIP Candidate)
出處:http://www.91lab.com |
|
免費注冊
發(fā)表于 2007-03-25 18:12
