收藏
下载资源

CISCO(思科)动态VLAN配置-VMPS技术

上传人:平*** 文档编号:12194271 上传时间:2017-10-17 格式:DOC 页数:5 大小:46.52KB
返回 下载 相关 举报
CISCO(思科)动态VLAN配置-VMPS技术_第1页
第1页 / 共5页
CISCO(思科)动态VLAN配置-VMPS技术_第2页
第2页 / 共5页
CISCO(思科)动态VLAN配置-VMPS技术_第3页
第3页 / 共5页
CISCO(思科)动态VLAN配置-VMPS技术_第4页
第4页 / 共5页
CISCO(思科)动态VLAN配置-VMPS技术_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《CISCO(思科)动态VLAN配置-VMPS技术》由会员分享,可在线阅读,更多相关《CISCO(思科)动态VLAN配置-VMPS技术(5页珍藏版)》请在金锄头文库上搜索。

1、CISCO(思科) 动态 VLAN 配置-VMPS 技术一基于 VMPS 的动态 VLAN 配置实例网络中 VLAN 实现分为静态 VLAN 和动态 VLAN。静态 VLAN 又被称为是基于端口的 VLAN。顾名思义,就是明确指定各端口属于哪个 VLAN 的设定方法,交换机中某个端口属于哪个 VLAN 是相对固定的。动态 VLAN 则是根据每个端口所连的计算机,随时改变端口所属 VLAN。静态 VLAN 在这里我们就不讲了,由于网络中的计算机需要变更所连端口时,就必须同时更改所连端口所属 VLAN 的设定-这是不适合那些需要频繁改变拓扑结构的客户需求的。而动态 VLAN 则不同,由于它可以根据

2、每个端口所属的计算机,随时改变端口所属的VLAN,所以当网络中计算机变更所连端口或交换机时,VLAN 不用重新配置。而它基于MAC 地址或用户的认证方式,也可以杜绝非法接入网络的问题。动态 VLAN 实现技术主要有两种:一是基于用户的动态 VLAN,二是基于 MAC 地址的动态 VLAN。基于用户的动态 VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个 VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是域中使用的用户名。也就是说用户只要通过自己在域中的用户名,不管在那台电脑上都能够接入到自己所属的 VLAN 当中。基于 MAC 地址的动态

3、VLAN,就是通过查询并记录端口所连计算机上的 MAC 地址来决定端口所属 VLAN。当分配给动态 VLAN 的交换机端口被激活后,交换机就缓存初始帧的源 MAC 地址。随后,交换机便向一个称为 VMPS(VLAN 管理策略服务器)的外部服务器发出请求,VMPS 中包含一个文本文件,文件中存有进行 VLAN 映射的 MAC 地址。交换机对这个文件进行下载,然后对文件中的 MAC 地址进行校验。如果在文件列表中找到 MAC 地址,交换机就将端口分配给列表中该 MAC 所对应的VLAN。所有列表中没有的话,交换机就会将该端口分配给默认 VLAN(假设已经定义了默认 VLAN) 。如果在列表中没有

4、MAC 地址,而且也没有默认 VLAN,端口将不会被激活。本实例将述的就是基于 MAC 地址的动态 VLAN。网络环境:核心是一台 CISCO3560G 三层交换机,配置为 VTP Server 模式。CISCO 3560G 中定义了两个 VLAN,通过 Trunk 端口(Gi0/1 ,GI0/2 端口)与两台 Cisco 2960 交换机相连。VMPS 服务器是基于 Scientific Linux 平台下的 OpenVMPS 构建的,连接至 Cisco3560G 的GI0/24 端口。两台 CISCO2960 配置为客户端模式,通过 GI0/1 端口接受来自核心交换机的VLAN 信息,并将

5、其余端口链路类型设置为 Access,端口所属 VLAN 设为 Dynamic(动态) 。合法的用户计算机接入任意端口,都可以加入到相应的 VLAN。VMPS 服务器配置VMPS 服务器需 CISCO5000 以上高端交换机才支持,因此这里选用的是第三方的开源软件OpenVMPS,基于 Scientific Linux 5.3 架设的 VMPS 服务器。下载安装OpenVMPS 最新版本为 1.4.01.可通过“http:/ VMPSd-1.4.01.tar.gz 文件上传至 Linux 服务器,以 root 用户运行下面的命令进行安装。# tar -vzxf vmpsd-1.4.01.tar

6、.gz#cd vmpsd# ./configrure #make#make install配置 VMPS 数据库OpenVMPS 安装好之后,会自动生成 VMPS 数据库配置文件/usr/local/etc/vlan.db,这个文件时是个文本文件,下面是配置内容:vmps domain cisco /指定 VTP 域名为 ciscovmps mode open /指定 VMPS 运行模式为 OPEN。Vmps 能够以 OPEN 或者 secure 的模式工作,OPEN 时,VMPS 会对未授权的 MAC 地址返回拒绝,对没有列在 VMPS 数据库中的 MAC 地址返回一个 fallback(后

7、备 VLAN) 。在 secure 模式,VMPS 对于未授权的或者没有列在数据库的 MAC 地址都会关闭相应的端口。vmps fallback -none-/指定一个后备 VLAN,none 时表示没有。vmps no-domain-req deny /指定 VMPS 客户端交换机如果不属于 VTP 域,将不提供任何映射vmps-mac-address /与 Address 之间的关联。对指定的 MAC 地址使用关键字-NONE- 关键字表示,阻止该主机加入到任何 VLAN。在 vlan.db 中还有很多参数。Address 0001.2201.88cd vlan-name accoutAd

8、dress 0001.2201.88ce vlan-name accoutAddress 0001.2201.75ca vlan-name sale运行 VMPS以 root 用户执行下面命令,可以启动 VMPS:#/usr/local/bin/vmpsdOpenVMPS 默认端口时 UDP1589,用 netstat -an | grep 1589 可以查看 vmpsd 进程是否运行。如果需要在开启 Liunx 服务器是就加载 vmpsd.可以在/etc/rc.local 中加入/usr/local/bin/vmpsd/其他 VMPSD 的配置信息如下:Vpmsd -d -a address

9、 -f file -l level -p port-d: 在前台运行 VMPSD,可以很清楚的看到对 MAC 地址与 VLAN 的关联-a address 设置绑定到 VMPSD 的 IP 地址-f file 设置 VMPSD 数据库配置文件,默认为 /usr/local/etc/vlan.db-l level 设置日志级别-p port 设置 VMPSD 的监听端口,默认为 1589Cisco3560G 配置#vtp domain cisco#vtp mode server#interface rang gi0/1 -2#switchport trunk encapsulation dot1

10、q#switchport mode trunk定义 VLAN,设置 VLAN IP 地址。#VLAN 133# name sale#vlan 168#name accout#interface vlan 133#ip address 172.16.1.1 255.255.255.0#no shut#interface vlan 168#ip address 172.16.2.1 255.255.255.0#no shut设置 gi0/24 为访问口,连接 VMPSD 服务器#interface gi0/24#switchport mode access#no shut#ip routing#w

11、riteCisco2960 配置#VTP domain cisco#vtp mode client#interface gi0/1#switchport mode trunk#no shut#exit设置 fa0/1-24 为访问口,所属 VLAN 为动态获取#interface rang fa0/1 -24#switchport mode access#switchport access vlan dynamic#no shu设置主 VMPS,另外可以设置 3 个备用的 VMPS 服务器。CISCO2960#vmps server 172.16.1.100 primary#end#write

12、#开启交换机的 VQPC(VLAN 查询协议客户端)调试,将会看到 MAC 地址与 VLAN 关联的过程。#debug vqpc allVMPS 介绍:VMPS 介绍的是 VLAN Membership Policy Server 的简称.顾名思义,它是一种基于端口 MAC地址动态选择 VLAN 的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS 动态的为其指定 VLAN.不过基于 CISCO IOS 的 CATALYST 4500 系列交换不支持 VMPS 的功能。它只能做为 VLAN 查询协议(VLAN Query Protocol)的客户机,通过 VQP 的客户机,可以和V

13、MPS 通信.如果要让 CATALYST 4500 系列交换机支持 VMPS 的功能,那你应当使用 CatOS(或选择 CATALYST 6500 系列交换机 hoho).VMPS 介绍使用 UDP 端口监听来自 VQP 客户机的请求,因此,VPMS 客户机也没必要知道 VMPS到底是位于本地网络还是远程网络.当 VMPS 服务器收到来自 VMPS 客户机的请求后,它将在本地数据库里查找 MAC 地址到 VLAN 的映射条目信息.VMPS 介绍将对请求进行响应.如果被指定的 VLAN 局限于一组端口,VMPS 将验证对发出请求的端口进行验证:如果请求端口的 VLAN 被许可,VMPS 向客户发

14、送 VLAN 做为响应.如果请求端口的 VLAN 不被许可,并且 VMPS 不是处于安全模式(secure mode),VMPS 将发送access-denied(访问被拒绝)的信息做为响应.如果请求端口的 VLAN 不被许可,但 VMPS 处于安全模式,VMPS 将发送port-shutdown(端口关闭)的信息做为响应.但如果数据库里的 VLAN 信息和端口的当前 VLAN 信息不匹配,并且该端口连接的有活动主机,VMPS 将发送access-denied,fallback VLAN name(后退 VLAN 名),port-shutdown或new VLAN name(新 VLAN 名)

15、信息.至于发送何种信息取决于 VMPS 模式的设置.如果交换机从 VMPS 那里收到access-denied的信息,交换机将堵塞来自该 MAC 地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向 VMPS 发出查询信息.如果交换机从 VMPS 那里收到port-shutdown信息,交换机将禁用该端口,该端口必须通过命令行或 SNMP 重新启用.VMPS 介绍有三种模式(但 User Registration Tool,即 URT,只支持 open 模式):open 模式.secure 模式.multiple 模式.open 模式:当

16、端口未指定 VLAN:如果该端口的 MAC 地址与之相关联的 VLAN 信息被许可,VMPS 将向客户返回 VLAN 名.如果该端口的 MAC 地址与之相关联的 VLAN 信息不被许可,VMPS 将向客户返回access-denied信息.当端口已经指定 VLAN:如果数据库里的 VLAN 与 MAC 地址相关联的信息和端口的当前 VLAN 关联信息不匹配,并配置的有 fallback VLAN 名,那么 VMPS 将返回 fallback VLAN 名给客户机.如果数据库里的 VLAN 与 MAC 地址相关联的信息和端口的当前 VLAN 关联信息不匹配,并没有配置 fallback VLAN 名,那么 VMPS 将返回access-denied信息给客户机.secure 模式当端口未指定

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号