所属分类: 网络技术 整理: FengNet.Com 更新日期:2005/11/24 14:05:15 阅读次数:5913

Configuring Dynamic VLANs


  可以通过采用VMPS(VLAN membership policy server),根据每个端口所连的计算机,随时改变端口所属的VLAN,最常见的就是基于MAC地址的划分.VMPS实际上也是Catalyst交换机,只不过是从TFTP服务器上下载了一个VLAN到MAC地址映射的文本文件
  当交换机收到一个帧以后,交换机检查VMPS(有可能是它自己)的数据库,并比较帧的源MAC地址,如果数据库里有相应条目,收到这个帧的端口就把它转发到指定的VLAN上去;如果数据库中没有相应条目,那么端口有可能:
  1.如果VMPS没有处于安全模式(secure mode),就返回access-denied信息
  2.如果VMPS处于安全模式,端口将shut down
  3.将把帧分配给特定的fallback VLAN
  基于MAC地址动态划分VLAN的第一步是要搜集MAC地址,再来做MAC地址到VLAN的映射,然后保存为文本文件(数据库),存放到TFTP服务器上.一般VMPS数据库格式如下:
  !VMPS Database for ACC
  !
  !
  vmps domain ACC 指定VTP域名
  vmps mode open 指定VMPS模式
  vmps fallback -NONE- 定义fallback VLAN
  !
  !MAC Addresses
  !
  vmps-mac-addrs
  !
  !address vlan-name
  !
  address 0001.1111.1111 vlan-name hardware 定义MAC地址到LAN的映射
  address 0001.2222.2222 vlan-name hardware
  address 0001.3333.3333 vlan-name Green
  VMPS数据库完成以后,接下来就把Catalyst配置为VMPS服务器,命令如下:
Switch_A>(enable)set vmps tftpserver [ip_address] [filename_VMPS_Database]
  这个命令告诉交换机从哪下载数据库文件,并且在交换机启动以后加载到RAM中,交换机每次启动的时候,都会重新从TFTP服务器加载一次数据库文件,所以,要时时刻刻保持TFTP服务器可以访问.数据库的文件名可以任意设置,如果不设置,默认名为vmps-config-database.1
  第三步要做的是,使用命令激活VMPS,如下: net130整理
  Switch_A> (enable) set vmps state enable
  设置端口为动态分配,如下:
  Switch_A> (enable) set port membership [mod_num/port_num] dynamic
  最后,配置其他交换机为VMPS的客户机,如下:
  Switch_A> (enable) set vmps server [ip_address_of_VMPS] [primary]
  可以使用show vmps mac显示整个VMPS数据库的信息,如下:
  Switch_A> (enable) show vmps mac
  MAC Address VLAN Name Last Requestor Port ID Last Accessed Last Response
  ––––––
  12-23-56-78-9a-bc DUKE 0.0.0.0 0,00:00:00 Success
  aa-bb-cc-dd-ee-ff FSU 0.0.0.0 0,00:00:00 Success
  fe-dc-ba-98-76-54 -NONE- 0.0.0.0 0,00:00:00 Success


四、基于策略的动态端口VLAN分配
---- 在中型企业中,移动办公的人员越来越多,网络管理员需要一种技术来为这些人提供更加透明的服务,也就是说,客户无论走到哪里,都可以在无需帮助的情况下正确地接入到网络中。举一个典型的例子,在会议室中为客户做产品演示,销售人员和技术人员都用各自的笔记本电脑进行讲述。这些电脑原来都是属于不同部门、不同VLAN的,但来到会议室后,希望能够不用做任何修改就可以直接接入公司的局域网,否则还需要IT部门的人员前来协助。借助基于策略的动态端口VLAN分配(VMPS)就可以实现这一功能。
1.VMPS工作原理
---- VMPS即VLAN Management Policy Server,是一种基于源MAC地址动态的、在交换机端口上划分VLAN的方法。属于Client/Server架构。很多Cisco交换机都支持Client功能,而Catalyst 5000系列交换机还可以作为服务器。下面以Catalyst 5000交换机为例来说明VMPS的工作原理。
---- 当启动了VMPS以后,交换机首先会从一个预先指定好的TFTP服务器上下载MAC地址-VLAN的映射数据库,这个数据库是一个预先写好的文本文件,然后它会打开一个UDP进程来监听从客户端发来的请求,并进行处理。当VMPS接到从客户端发来的一个合法请求后,首先是查看数据库中是否有该MAC地址-VLAN的映射记录。如果有,则把对应的VLAN号发给客户端交换机;如果没有,且VMPS处于非安全模式下,则客户端只是简单地拒绝该主机的访问;同样是没有该MAC地址的映射记录,但VMPS处于安全模式下,则客户端交换机上连接该MAC的断口被关闭,想要重新开启此端口,只有进行手工操作。
---- 用户可以配置一个缺省的VLAN,如果数据库中没有该MAC的记录,则它会被分配到这个VLAN上。用户也可以使用NONE关键字来明确地指定一个MAC不能属于某个VLAN。VMPS还提供了一些策略,以使VMPS配置起来更加灵活。这些策略包括端口组(Port-group)和VLAN组(VLAN-group)。
2.VMPS的配置
---- 在Catalyst 5000系列交换机上配置VMPS首先要创建一个VMPS数据库。在创建VMPS数据库时需要注意以下几个问题:(1)文件以“VMPS”开始,这样可以避免交换机错误地读入其他文件;(2)定义VMPS域,使其和VTP的域一致;(3)定义安全模式,可以是Open或者Secure; (4)(可选)定义缺省VLAN;(5)定义MAC地址-VLAN映射关系;(6)定义VLAN分配的策略。
---- 在Catalyst 5000系列交换机中,配置VMPS的步骤如下。
• 指定通过何种方式下载数据库信息,命令如下:
set vmps downloadmethod rcp | tftp [username]
• 配置VMPS数据库所在的TFTP或RCP服务器,命令如下:
set vmps downloadserver ip_addr [filename]
• 启动VMPS,命令如下:
set vmps state enable


VMPS Database Configuration File Example
This example shows a sample VMPS database configuration file. A VMPS database configuration file is an ASCII text file that is stored on a TFTP server accessible to the switch configured as the VMPS server. A summary of the configuration example
follows:
The security mode is open.
The default is used for the fallback VLAN.
MAC address-to-VLAN name mappings—The MAC address of each host and the VLAN to which each host belongs is defined.
Port groups are defined.
VLAN groups are defined.
VLAN port policies are defined for the ports associated with restricted VLANs.
!VMPS File Format, version 1.1
! Always begin the configuration file with
! the word "VMPS"
!
!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode {open | secure}
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain WBU
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
!
!MAC Addresses
!
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
address 0012.2233.4455 vlan-name hardware
address 0000.6509.a080 vlan-name hardware
address aabb.ccdd.eeff vlan-name Green
address 1223.5678.9abc vlan-name ExecStaff
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name Purple
!
!Port Groups
!
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group WiringCloset1
device 198.92.30.32 port 3/2
device 172.20.26.141 port 2/8
vmps-port-group "Executive Row"
device 198.4.254.222 port 1/2
device 198.4.254.222 port 1/3
device 198.4.254.223 all-ports
!
!
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group Engineering
vlan-name hardware
vlan-name software
!
!
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group Engineering
port-group WiringCloset1
vmps-port-policies vlan-name Green
device 198.92.30.32 port 4/8
vmps-port-policies vlan-name Purple
device 198.4.254.22 port 1/2
port-group "Executive Row"


VMPS CONFIG
!VMPS File format, version 1.1
! Always begin the configuration file with
! the word "VMPS"
!
!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode {open | secure}
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain cisco
vmps mode secure
vmps fallback default
vmps no-domain-req deny
!
!
!MAC Addresses
!
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
address 5254.AB3B.FC20 vlan-name cisco
address 000A.EB22.057F vlan-name cisco
address 0010.7b7f.790e vlan-name aaa
address 00-E0-4C-72-2C-C1 vlan-name bbb
address 1223.5678.9abc vlan-name ddd
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name ccc
!
!Port Groups
!
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group WiringCloset1
device 192.168.10.199 port 2/1
device 192.168.10.199 port 2/2
device 192.168.10.199 port 2/3
device 192.168.10.198 port Fa0/5
device 192.168.10.198 port Fa0/6
device 192.168.10.198 port Fa0/7
device 192.168.10.198 port Fa0/8
vmps-port-group "Executive Row"
device 192.168.10.198 port Fa0/1
device 192.168.10.198 port Fa0/2
device 192.168.10.198 port Fa0/3
device 192.168.10.198 port Fa0/4
!
!
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group Engineering
vlan-name cisco
vlan-name aaa
!
!
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group Engineering
port-group WiringCloset1
vmps-port-policies vlan-name bbb
device 192.168.10.198 port Fa0/9
vmps-port-policies vlan-name Purple
device 192.168.10.198 port Fa0/10
port-group "Executive Row"


--------------------------------------------------------------------------------

相关文章
Cisco交换机 DHCP Snooping功能 2013/4/27 10:42:57
Cisco 交换机与路由器故障处理方法分享 2013/4/27 10:41:58
如何在VMware虚拟融合网络中防止安全漏洞? 2010/7/23 9:10:38
思科Private VLAN与Switchport Protected 2010/3/17 12:30:45
思科Private VLAN与Switchport Protected 2009/12/16 13:09:44
cat3550 acl note 12s 2006/11/27 15:08:12
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 2006/8/4 7:00:32
网络故障处理手册 2006/7/25 14:09:43
ASA 5520配置例子 2006/7/14 9:47:04
网络专业人士笔记 2006/5/22 10:06:48
配置示例:Catalyst与 CatOS 交换机之间的 ISL/802.1q 中继 2006/3/7 9:32:13
Cisco产品采用的网络协议总结 2006/1/12 14:15:24
Cisco IOS命名规则 2005/11/26 20:11:25
CISCO交换机的数据监控 2005/8/4 13:00:36
CCNP-CIT中文笔记 完整版 2005/6/24 15:31:49
Cisco设备监控配置 2005/6/17 14:55:28
CCNA考试命令集 2004/11/9 10:47:49
CISCO交换机的数据监控 2004/8/19 15:07:34
CCNA专业词汇全集 2004/8/10 7:50:25
CIT中文笔记 2004/7/15 11:52:42
理解接口类型 2004/6/10 16:50:57
CCNP课堂---交换(Switch)篇 2003/12/2 10:45:32
switch命令大全 2003/11/25 9:06:50
局域网交换机维护 2003/11/3 8:45:18
CatOS下定义VLAN 2003/10/23 14:54:21
Switching 命令大全 2003/10/13 17:59:51
CISCO 防御冲击波方法 2003/10/8 16:56:13
华为s系列手册(连载3) 2003/9/8 16:15:55
Switching 命令大全-转 2003/7/13 19:06:01


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索