華為交換機vlan及其VMPS三種模式的介紹，在華為交換機vlan的講解中，VMPS有三種模式(但User Registration Tool,即URT,只支持open模式)。CATALYST 4500系列交換機動態(tài)華為交換機vlan與VMPS怎么配置呢?這個問題，本文以CISCO IOS版本12.2(31)SGA為例。

一.VMPS的介紹:

VMPS的是華為交換機vlanMembership Policy Server的簡稱.顧名思義,它是一種基于端口MAC地址動態(tài)選擇華為交換機vlan的集中化管理服務(wù)器.當某個端口的主機移動到另一個端口后,VMPS動態(tài)的為其指定華為交換機vlan.不過基于CISCO IOS的CATALYST 4500系列交換不支持VMPS的功能。

它只能做為華為交換機vlan查詢協(xié)議(VLAN Query Protocol)的客戶機,通過VQP的客戶機,可以和VMPS通信.如果要讓CATALYST 4500系列交換機支持VMPS的功能,那你應(yīng)當使用CatOS(或選擇CATALYST 6500系列交換機hoho).

VMPS使用UDP端口監(jiān)聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位于本地網(wǎng)絡(luò)還是遠程網(wǎng)絡(luò).當VMPS服務(wù)器收到來自VMPS客戶機的請求后,它將在本地數(shù)據(jù)庫里查找MAC地址到華為交換機vlan的映射條目信息.

VMPS將對請求進行響應(yīng).如果被指定的VLAN局限于一組端口,VMPS將驗證對發(fā)出請求的端口進行驗證:
◆如果請求端口的華為交換機vlan被許可,VMPS向客戶發(fā)送VLAN做為響應(yīng).
◆如果請求端口的VLAN不被許可,并且VMPS不是處于安全模式(secure mode),VMPS將發(fā)送"access-denied"(訪問被拒絕)的信息做為響應(yīng).
◆如果請求端口的VLAN不被許可,但VMPS處于安全模式,VMPS將發(fā)送"port-shutdown"(端口關(guān)閉)的信息做為響應(yīng).

但如果數(shù)據(jù)庫里的華為交換機vlan信息和端口的當前華為交換機vlan信息不匹配,并且該端口連接的有活動主機,VMPS將發(fā)送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于發(fā)送何種信息取決于VMPS模式的設(shè)置.

如果交換機從VMPS那里收到"access-denied"的信息,交換機將堵塞來自該MAC地址,前往或從該端口返回的流量.交換機將繼續(xù)監(jiān)視去往該端口的數(shù)據(jù)包,并且當交換機識別到一個新的地址后,它會向VMPS發(fā)出查詢信息.如果交換機從VMPS那里收到"port-shutdown"信息,交換機將禁用該端口,該端口必須通過命令行或SNMP重新啟用.

VMPS有三種模式(但User Registration Tool,即URT,只支持open模式):
◆open模式.
◆secure模式.
◆multiple模式.

open模式當端口未指定華為交換機vlan:
◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回華為交換機vlan名.
◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,VMPS將向客戶返回"access-denied"信息.#p#

當端口已經(jīng)指定華為交換機vlan:

◆如果數(shù)據(jù)庫里的華為交換機vlan與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,并配置的有fallback VLAN名,那么VMPS將返回fallback VLAN名給客戶機.

◆如果數(shù)據(jù)庫里的華為交換機vlan與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,并沒有配置fallback VLAN名,那么VMPS將返回"access-denied"信息給客戶機.

secure模式當端口未指定華為交換機vlan:
◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回VLAN名.
◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,端口將被關(guān)閉.

當端口已經(jīng)指定華為交換機vlan:如果數(shù)據(jù)庫里的VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當前VLAN關(guān)聯(lián)信息不匹配,即使有配置fallback VLAN名,端口仍將被關(guān)閉.multiple模式:當多個MAC地址(主機)處于同一華為交換機vlan的時候,多個MAC地址可以對應(yīng)一個動態(tài)端口.

如果動態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定華為交換機vlan之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的VLAN,VMPS將向客戶返回***的MAC地址到華為交換機vlan映射的信息.

當然,你也可以在VMPS上指定fallback VLAN名.如果該端口未指定任何華為交換機vlan,VMPS將把端口和發(fā)起請求的MAC地址進行比較:如果主機的MAC地址在數(shù)據(jù)庫中不存在,并且VMPS上指定的有fallback 華為交換機vlan名,那么將向客戶機返回fallback VLAN名信息.如果主機的MAC地址在數(shù)據(jù)庫中不存在,但VMPS上未指定fallback VLAN名,那么將向客戶機返回"access-denied"信息.

如果該端口已經(jīng)指定任何華為交換機vlan,VMPS將把端口和發(fā)起請求的MAC地址進行比較:不管VMPS上有沒有配置fallback VLAN名,只要VMPS處于secure模式,那么它就將反饋"port-shutdown"信息給客戶機.有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:

◆當VMPS上未配置fallback VLAN名,并且數(shù)據(jù)庫里沒有相應(yīng)的MAC地址到華為交換機vlan的映射信息.

◆當端口已經(jīng)被指定了VLAN,并且VMPS不處于multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求信息.

二.VMPS客戶機的介紹:

當端口被配置為動態(tài)(dynamic)的時候,它基于MAC地址的接收VLAN信息.這些VLAN信息是基于端口MAC地址,從VMPS那里動態(tài)獲得的.動態(tài)端口一次只能屬于一個華為交換機vlan.當鏈路up后,端口不會立即轉(zhuǎn)發(fā)流量,直到該端口獲得了華為交換機vlan信息.

當動態(tài)端口所連的主機發(fā)起***個數(shù)據(jù)包的時候,數(shù)據(jù)包中的源MAC地址就做為VQP的請求信息中的一個關(guān)鍵部分,它嘗試去匹配VMPS數(shù)據(jù)庫里的MAC地址.如果匹配成功,那么VMPS向客戶機發(fā)送華為交換機vlan信息(VLAN ID);如果匹配不成功,那么VMPS要么拒絕該請求,要么把端口關(guān)閉(這取決于VMPS所處的模式).

當多個MAC地址(主機)處于同一華為交換機vlan的時候,多個MAC地址可以對應(yīng)一個動態(tài)端口.如果動態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的華為交換機vlan,VMPS將向客戶返回***的MAC地址到VLAN映射的信息.