補充:工程實踐
一.基於VMPS的動態VLAN配置實例
網絡中VLAN實現分爲靜態VLAN和動態VLAN。靜態VLAN又被稱爲是基於端口的VLAN。顧名思義,就是明確指定各端口屬於哪個VLAN的設定方法,交換機中某個端口屬於哪個VLAN是相對固定的。動態VLAN則是根據每個端口所連的計算機,隨時改變端口所屬VLAN。
靜態VLAN在這裏我們就不講了,由於網絡中的計算機需要變更所連端口時,就必須同時更改所連端口所屬VLAN的設定-----這是不適合那些需要頻繁改變拓撲結構的客戶需求的。
而動態VLAN則不同,由於它可以根據每個端口所屬的計算機,隨時改變端口所屬的VLAN,所以當網絡中計算機變更所連端口或交換機時,VLAN不用重新配置。而它基於MAC地址或用戶的認證方式,也可以杜絕非法接入網絡的問題。動態VLAN實現技術主要有兩種:
一是基於用戶的動態VLAN,
二是基於MAC地址的動態VLAN。
基於用戶的動態VLAN,則是根據交換機各端口所連的計算機上當前登錄的用戶,來決定該端口屬於哪個VLAN。這裏的用戶識別信息,一般是計算機操作系統登錄的用戶,比如可以是域中使用的用戶名。也就是說用戶只要通過自己在域中的用戶名,不管在那臺電腦上都能夠接入到自己所屬的VLAN當中。
基於MAC地址的動態VLAN,就是通過查詢並記錄端口所連計算機上的MAC地址來決定端口所屬VLAN。當分配給動態VLAN的交換機端口被激活後,交換機就緩存初始幀的源MAC地址。隨後,交換機便向一個稱爲VMPS(VLAN管理策略服務器)的外部服務器發出請求,VMPS中包含一個文本文件,文件中存有進行VLAN映射的MAC地址。交換機
對這個文件進行下載,然後對文件中的MAC地址進行校驗。
如果在文件列表中找到MAC地址,交換機就將端口分配給列表中該MAC所對應的VLAN。所有列表中沒有的話,交換機就會將該端口分配給默認VLAN(假設已經定義了默認VLAN)。如果在列表中沒有MAC地址,而且也沒有默認VLAN,端口將不會被激活。
本實例將述的就是基於MAC地址的動態VLAN。
網絡環境:
核心是一臺CISCO3560G三層交換機,配置爲VTP Server模式。CISCO 3560G中定義了兩個VLAN,通過Trunk端口(Gi0/1,GI0/2端口)與兩臺Cisco 2960交換機相連。
VMPS服務器是基於Scientific Linux平臺下的OpenVMPS構建的,連接至Cisco3560G的GI0/24端口。兩臺CISCO2960配置爲客戶端模式,通過GI0/1端口接受來自核心交換機的VLAN信息,並將其餘端口鏈路類型設置爲Access,端口所屬VLAN設爲Dynamic(動態)。合法的用戶計算機接入任意端口,都可以加入到相應的VLAN。
VMPS服務器配置
VMPS服務器需CISCO5000以上高端交換機才支持,因此這裏選用的是第三方的開源軟件—OpenVMPS,基於Scientific Linux 5.3架設的VMPS服務器。
下載安裝
OpenVMPS最新版本爲1.4.01.可通過“http://sourceforge.net/projects/vmps/”下載OpenVMPS,將下載的VMPSd-1.4.01.tar.gz文件上傳至Linux服務器,以root用戶運行下面的命令進行安裝。
# tar -v z x f vmpsd-1.01.tar.gz
#cd vmpsd
# ./configrure
#make
#make install
配置VMPS數據庫
OpenVMPS安裝好之後,會自動生成VMPS數據庫配置文件/usr/local/etc/vlan.db,這個文件時是個文本文件,下面是配置內容:
vmps domain cisco ////////指定VTP域名爲cisco
Vmps mode open //////////指定VMPS運行模式爲OPEN。Vmps能夠以OPEN或者secure的模式工作,OPEN時,VMPS會對未授權的MAC地址返回拒絕,對沒有列在VMPS數據庫中的MAC地址返回一個fallback(後備VLAN)。在secure模式,VMPS對於未授權的或者沒有列在數據庫的MAC地址都會關閉相應的端口。
Vmps fallback ----none-----////////指定一個後備VLAN,none時表示沒有。
Vmps no-domain-req deny /指定VMPS客戶端交換機如果不屬於VTP域,將不提供任何映射
Vmps-mac-address //////與Address之間的關聯。對指定的MAC地址使用關鍵字--NONE--關鍵字表示,阻止該主機加入到任何VLAN。在VLAN。Db中還有很多參數,感興趣的可以自己研究。
Address 0001.2201.88cd.vlan-name accout
Address 0001.2201.88ce.vlan-name accout
Address 0001.2201.75ca.vlan-name sale
運行VMPS
以root用戶執行下面命令,可以啓動VMPS:
#/usr/local/bin/vmpsd
OpenVMPS默認端口時UDP1589,用netstat -an | grep 1589可以查看vmpsd進程是否運行。
如果需要在開啓Liunx服務器是就加載vmpsd.可以在/etc/rc.local中加入/usr/local/bin/vmpsd/
其他VMPSD的配置信息如下:
Vpmsd [-d] [-a address] [-f file] [-l level] [-p port]
-d: 在前臺運行VMPSD,可以很清楚的看到對MAC地址與VLAN的關聯
-a address 設置綁定到VMPSD的IP地址
-f file 設置VMPSD數據庫配置文件,默認爲/usr/local/etc/vlan.db
-l level 設置日誌級別
-p port 設置VMPSD的監聽端口,默認爲1589
CISCO3560G配置
#vtp domain cisco
#vtp mode server
#interface rang gi0/1 -2
#switchport trunk encapsulation dot1q
#switchport mode trunk
定義VLAN,設置VLAN IP地址。
#VLAN 133
# name sale
#vlan 168
#name accout
#interface vlan 133
#ip address 172.16.1.1 255.255.255.0
#no shu
#interface vlan 168
#ip address 172.16.2.1 255.255.255.0
#name accout
#interface vlan 133
#ip address 172.16.1.1 255.255.255.0
#no shu
#interface vlan 168
#ip address 172.16.2.1 255.255.255.0
#no shu
設置gi0/24爲訪問口,連接VMPSD服務器
#interface gi0/24
#switchport mode access
#interface gi0/24
#switchport mode access
#no shu
#ip routing
#write
Cisco2960配置
#VTP domain cisco
#vtp mode client
#interface gi0/1
#switchport mode trunk
#no shu
#exit
#interface gi0/1
#switchport mode trunk
#no shu
#exit
設置fa0/1-24爲訪問口,所屬VLAN爲動態獲取
#interface rang fa0/1 -24
#interface rang fa0/1 -24
#switchport mode access
#switchport access vlan dynam
#no shu
#no shu
設置主VMPS,另外可以設置3個備用的VMPS服務器。
CISCO2960
CISCO2960
#vmps server 172.16.1.100 primary
#end
#write
#
#end
#write
#
開啓VQPC(VLAN查詢協議客戶端)調試,將會看到MAC地址與VLAN關聯的過程。
#debug vqpc all
寫於2010-2--1
#debug vqpc all
寫於2010-2--1