Dynamic VLAN

CISCO动态VLAN配置一.基于VMPS的动态VLAN配置实例网络中VLAN实现分为静态VLAN和动态VLAN。静态VLAN又被称为是基于端口的VLAN。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法，交换机中某个端口属于哪个VLAN是相对固定的。动态VLAN则是根据每个端口所连的计算机，随时改变端口所属VLAN。静态VLAN在这里我们就不讲了，由于网络中的计算机需要变更所连端口时，就必须同时更改所连端口所属VLAN的设定-----这是不适合那些需要频繁改变拓扑结构的客户需求的。而动态VLAN则不同，由于它可以根据每个端口所属的计算机，随时改变端口所属的VLAN，所以当网络中计算机变更所连端口或交换机时，VLAN不用重新配置。而它基于MAC地址或用户的认证方式，也可以杜绝非法接入网络的问题。动态VLAN实现技术主要有两种：一是基于用户的动态VLAN，二是基于MAC地址的动态VLAN。基于用户的动态VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是域中使用的用户名。也就是说用户只要通过自己在域中的用户名，不管在那台电脑上都能够接入到自己所属的VLAN当中。基于MAC地址的动态VLAN，就是通过查询并记录端口所连计算机上的MAC地址来决定端口所属VLAN。当分配给动态VLAN的交换机端口被激活后，交换机就缓存初始帧的源MAC地址。随后，交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求，VMPS中包含一个文本文件，文件中存有进行VLAN映射的MAC地址。交换机对这个文件进行下载，然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC地址，交换机就将端口分配给列表中该MAC所对应的VLAN。所有列表中没有的话，交换机就会将该端口分配给默认VLAN(假设已经定义了默认VLAN)。如果在列表中没有MAC地址，而且也没有默认VLAN，端口将不会被激活。本实例将述的就是基于MAC地址的动态VLAN。网络环境：核心是一台CISCO3560G三层交换机，配置为VTPServer模式。CISCO3560G中定义了两个VLAN，通过Trunk端口(Gi0/1，GI0/2端口)与两台Cisco2960交换机相连。VMPS服务器是基于ScientificLinux平台下的OpenVMPS构建的，连接至Cisco3560G的GI0/24端口。两台CISCO2960配置为客户端模式，通过GI0/1端口接受来自核心交换机的VLAN信息，并将其余端口链路类型设置为Access,端口所属VLAN设为Dynamic(动态)。合法的用户计算机接入任意端口，都可以加入到相应的VLAN。VMPS服务器配置VMPS服务器需CISCO5000以上高端交换机才支持，因此这里选用的是第三方的开源软件-OpenVMPS，基于ScientificLinux5.3架设的VMPS服务器。下载安装OpenVMPS最新版本为1.4.01.可通过“”下载OpenVMPS，将下载的VMPSd-1.4.01.tar.gz文件上传至Linux服务器，以root用户运行下面的命令进行安装。#tar-vzxfvmpsd-1.01.tar.gz#cdvmpsd#./configrure#make#makeinstall配置VMPS数据库OpenVMPS安装好之后，会自动生成VMPS数据库配置文件/usr/local/etc/VLAN.db,这个文件时是个文本文件，下面是配置内容：vmpsdomaincisco////////指定VTP域名为ciscoVmpsmodeopen//////////指定VMPS运行模式为OPEN。Vmps能够以OPEN或者secure的模式工作，OPEN时，VMPS会对未授权的MAC地址返回拒绝，对没有列在VMPS数据库中的MAC地址返回一个fallback(后备VLAN)。在secure模式，VMPS对于未授权的或者没有列在数据库的MAC地址都会关闭相应的端口。Vmpsfallback----none-----////////指定一个后备VLAN，none时表示没有。Vmpsno-domain-reqdeny/指定VMPS客户端交换机如果不属于VTP域，将不提供任何映射Vmps-mac-address//////与Address之间的关联。对指定的MAC地址使用关键字--NONE--关键字表示，阻止该主机加入到任何VLAN。在VLAN。Db中还有很多参数，感兴趣的可以自己研究。Address0001.2201.88cd.VLAN-nameaccoutAddress0001.2201.88ce.VLAN-nameaccoutAddress0001.2201.75ca.VLAN-namesale运行VMPS以root用户执行下面命令，可以启动VMPS：#/usr/local/bin/vmpsdOpenVMPS默认端口时UDP1589，用netstat-an|grep1589可以查看vmpsd进程是否运行。如果需要在开启Liunx服务器是就加载vmpsd.可以在/etc/rc.local中加入/usr/local/bin/vmpsd/其他VMPSD的配置信息如下：Vpmsd[-d][-aaddress][-ffile][-llevel][-pport]-d:在前台运行VMPSD，可以很清楚的看到对MAC地址与VLAN的关联-aaddress设置绑定到VMPSD的IP地址-ffile设置VMPSD数据库配置文件，默认为/usr/local/etc/VLAN.db-llevel设置日志级别-pport设置VMPSD的监听端口，默认为1589CISCO3560G配置#vtpdomaincisco#vtpmodeserver#interfaceranggi0/1-2#switchporttrunkencapsulationdot1q#switchportmodetrunk定义VLAN，设置VLANIP地址。#VLAN133#namesale#VLAN168#nameaccout#interfaceVLAN133#ipaddress172.16.1.1255.255.255.0#noshu#interfaceVLAN168#ipaddress172.16.2.1255.255.255.0#noshu设置gi0/24为访问口，连接VMPSD服务器#interfacegi0/24#switchportmodeaccess#noshu#iprouting#writeCisco2960配置#VTPdomaincisco#vtpmodeclient#interfacegi0/1#switchportmodetrunk#noshu#exit设置fa0/1-24为访问口，所属VLAN为动态获取#interfacerangfa0/1-24#switchportmodeaccess#switchportaccessVLANdynam#noshu设置主VMPS，另外可以设置3个备用的VMPS服务器。CISCO2960#vmpsserver172.16.1.100primary#end#write#开启VQPC(VLAN查询协议客户端)调试，将会看到MAC地址与VLAN关联的过程。#debugvqpcallVMPS介绍:VMPS介绍的是VLANMembershipPolicyServer的简称.顾名思义,它是一种基于端口MAC地址动态选择VLAN的集中化管理服务器.当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN.不过基于CISCOIOS的CATALYST4500系列交换不支持VMPS的功能。它只能做为VLAN查询协议(VLANQueryProtocol)的客户机,通过VQP的客户机,可以和VMPS通信.如果要让CATALYST4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST6500系列交换机hoho).VMPS介绍使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络.当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息.VMPS介绍将对请求进行响应.如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:◆如果请求端口的VLAN被许可,VMPS向客户发送VLAN做为响应.◆如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(securemode),VMPS将发送access-denied(访问被拒绝)的信息做为响应.◆如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送port-shutdown(端口关闭)的信息做为响应.但如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送access-denied,fallbackVLANname(后退VLAN名),port-shutdown或newVLANname(新VLAN名)信息.至于发送何种信息取决于VMPS模式的设置.如果交换机从VMPS那里收到access-denied的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量.交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到port-shutdown信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用.VMPS介绍有三种模式(但UserRegistrationTool,即URT,只支持open模式):◆open模式.◆secure模式.◆multiple模式.◆open模式:当端口未指定VLAN:◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回access-denied信息.当端口已经指定VLAN:◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并配置的有fallbackVLAN名,那么VMPS将返回fallbackVLAN名给客户机.◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并没有配置fallbackVLAN名,那么VMPS将返回access-denied信息给客户机.secure模式当端口未指定VLAN:◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名.◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭.当端口已经指定VLAN:如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,即使有配置fallbackVLAN名,端口仍将被关闭.multiple模式:当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息.当然,你也可以在VMPS上指定fallbackVLAN名.如果该端口未指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:◆如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallbackVLAN名,那么将向客户机返回fallbackVLAN名信息.◆如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallbackVLAN名,那么将向客户机返回access-denied信息.如果该端口已经