華為交換機(jī)VLAN還是比較常用的，于是我研究了一下華為交換機(jī)vlan及其VMPS三種模式，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。動(dòng)態(tài)端口一次只能屬于一個(gè)華為交換機(jī)VLAN.當(dāng)鏈路up后,端口不會(huì)立即轉(zhuǎn)發(fā)流量,直到該端口獲得了華為交換機(jī)VLAN信息。

華為交換機(jī)VLAN及其VMPS三種模式的介紹，在華為交換機(jī)VLAN的講解中，VMPS有三種模式(但User Registration Tool,即URT,只支持open模式)。CATALYST 4500系列交換機(jī)動(dòng)態(tài)華為交換機(jī)VLAN與VMPS怎么配置呢?這個(gè)問(wèn)題，本文以CISCO IOS版本12.2(31)SGA為例。

一.VMPS的介紹:

VMPS的是華為交換機(jī)VLANMembership Policy Server的簡(jiǎn)稱.顧名思義,它是一種基于端口MAC地址動(dòng)態(tài)選擇華為交換機(jī)VLAN的集中化管理服務(wù)器.當(dāng)某個(gè)端口的主機(jī)移動(dòng)到另一個(gè)端口后,VMPS動(dòng)態(tài)的為其指定華為交換機(jī)VLAN.不過(guò)基于CISCO IOS的CATALYST 4500系列交換不支持VMPS的功能。

它只能做為華為交換機(jī)VLAN查詢協(xié)議(VLAN Query Protocol)的客戶機(jī),通過(guò)VQP的客戶機(jī),可以和VMPS通信.如果要讓CATALYST 4500系列交換機(jī)支持VMPS的功能,那你應(yīng)當(dāng)使用CatOS(或選擇CATALYST 6500系列交換機(jī)hoho).

VMPS使用UDP端口監(jiān)聽來(lái)自VQP客戶機(jī)的請(qǐng)求,因此,VPMS客戶機(jī)也沒(méi)必要知道VMPS到底是位于本地網(wǎng)絡(luò)還是遠(yuǎn)程網(wǎng)絡(luò).當(dāng)VMPS服務(wù)器收到來(lái)自VMPS客戶機(jī)的請(qǐng)求后,它將在本地?cái)?shù)據(jù)庫(kù)里查找MAC地址到華為交換機(jī)VLAN的映射條目信息。VMPS將對(duì)請(qǐng)求進(jìn)行響應(yīng).如果被指定的VLAN局限于一組端口,VMPS將驗(yàn)證對(duì)發(fā)出請(qǐng)求的端口進(jìn)行驗(yàn)證:

◆如果請(qǐng)求端口的華為交換機(jī)VLAN被許可,VMPS向客戶發(fā)送VLAN做為響應(yīng)。

◆如果請(qǐng)求端口的VLAN不被許可,并且VMPS不是處于安全模式(secure mode),VMPS將發(fā)送"access-denied"(訪問(wèn)被拒絕)的信息做為響應(yīng)。

◆如果請(qǐng)求端口的VLAN不被許可,但VMPS處于安全模式,VMPS將發(fā)送"port-shutdown"(端口關(guān)閉)的信息做為響應(yīng)。

但如果數(shù)據(jù)庫(kù)里的華為交換機(jī)VLAN信息和端口的當(dāng)前華為交換機(jī)VLAN信息不匹配,并且該端口連接的有活動(dòng)主機(jī),VMPS將發(fā)送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于發(fā)送何種信息取決于VMPS模式的設(shè)置.

如果交換機(jī)從VMPS那里收到"access-denied"的信息,交換機(jī)將堵塞來(lái)自該MAC地址,前往或從該端口返回的流量.交換機(jī)將繼續(xù)監(jiān)視去往該端口的數(shù)據(jù)包,并且當(dāng)交換機(jī)識(shí)別到一個(gè)新的地址后,它會(huì)向VMPS發(fā)出查詢信息.如果交換機(jī)從VMPS那里收到"port-shutdown"信息,交換機(jī)將禁用該端口,該端口必須通過(guò)命令行或SNMP重新啟用.VMPS有三種模式(但User Registration Tool,即URT,只支持open模式):

◆open模式.

◆secure模式.

◆multiple模式.

open模式當(dāng)端口未指定華為交換機(jī)VLAN:

◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回華為交換機(jī)VLAN名.

◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,VMPS將向客戶返回"access-denied"信息.

常用交換機(jī)典型配置

交換機(jī)的配置一直以來(lái)是非常神秘的，不僅對(duì)于一般用戶，對(duì)于絕大多數(shù)網(wǎng)管人員來(lái)說(shuō)也是如此，同時(shí)也是作為。當(dāng)端口已經(jīng)指定華為交換機(jī)VLAN:

◆如果數(shù)據(jù)庫(kù)里的華為交換機(jī)VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當(dāng)前VLAN關(guān)聯(lián)信息不匹配,并配置的有fallback VLAN名,那么VMPS將返回fallback VLAN名給客戶機(jī).

◆如果數(shù)據(jù)庫(kù)里的華為交換機(jī)VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當(dāng)前VLAN關(guān)聯(lián)信息不匹配,并沒(méi)有配置fallback VLAN名,那么VMPS將返回"access-denied"信息給客戶機(jī).

secure模式當(dāng)端口未指定華為交換機(jī)VLAN:

◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息被許可,VMPS將向客戶返回VLAN名.

◆如果該端口的MAC地址與之相關(guān)聯(lián)的VLAN信息不被許可,端口將被關(guān)閉.

當(dāng)端口已經(jīng)指定華為交換機(jī)VLAN:如果數(shù)據(jù)庫(kù)里的VLAN與MAC地址相關(guān)聯(lián)的信息和端口的當(dāng)前VLAN關(guān)聯(lián)信息不匹配,即使有配置fallback VLAN名,端口仍將被關(guān)閉.multiple模式:當(dāng)多個(gè)MAC地址(主機(jī))處于同一華為交換機(jī)VLAN的時(shí)候,多個(gè)MAC地址可以對(duì)應(yīng)一個(gè)動(dòng)態(tài)端口。如果動(dòng)態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定華為交換機(jī)VLAN之前,VMPS將對(duì)這些地址重新檢查;如果這些主機(jī)位于不同的VLAN,VMPS將向客戶返回***的MAC地址到華為交換機(jī)VLAN映射的信息。

當(dāng)然,你也可以在VMPS上指定fallback VLAN名.如果該端口未指定任何華為交換機(jī)VLAN,VMPS將把端口和發(fā)起請(qǐng)求的MAC地址進(jìn)行比較:如果主機(jī)的MAC地址在數(shù)據(jù)庫(kù)中不存在,并且VMPS上指定的有fallback 華為交換機(jī)VLAN名,那么將向客戶機(jī)返回fallback VLAN名信息.如果主機(jī)的MAC地址在數(shù)據(jù)庫(kù)中不存在,但VMPS上未指定fallback VLAN名,那么將向客戶機(jī)返回"access-denied"信息。如果該端口已經(jīng)指定任何華為交換機(jī)VLAN,VMPS將把端口和發(fā)起請(qǐng)求的MAC地址進(jìn)行比較:不管VMPS上有沒(méi)有配置fallback VLAN名,只要VMPS處于secure模式,那么它就將反饋"port-shutdown"信息給客戶機(jī).有的時(shí)候我們也可能看到非法的VMPS客戶機(jī)請(qǐng)求,如下兩種:

◆當(dāng)VMPS上未配置fallback VLAN名,并且數(shù)據(jù)庫(kù)里沒(méi)有相應(yīng)的MAC地址到華為交換機(jī)VLAN的映射信息。

◆當(dāng)端口已經(jīng)被指定了VLAN,并且VMPS不處于multiple模式,但是VMPS收到了第二個(gè)不同MAC地址的VMPS客戶機(jī)請(qǐng)求信息。

二.VMPS客戶機(jī)的介紹:

當(dāng)端口被配置為動(dòng)態(tài)(dynamic)的時(shí)候,它基于MAC地址的接收VLAN信息.這些VLAN信息是基于端口MAC地址,從VMPS那里動(dòng)態(tài)獲得的.動(dòng)態(tài)端口一次只能屬于一個(gè)華為交換機(jī)VLAN.當(dāng)鏈路up后,端口不會(huì)立即轉(zhuǎn)發(fā)流量,直到該端口獲得了華為交換機(jī)VLAN信息。

當(dāng)動(dòng)態(tài)端口所連的主機(jī)發(fā)起***個(gè)數(shù)據(jù)包的時(shí)候,數(shù)據(jù)包中的源MAC地址就做為VQP的請(qǐng)求信息中的一個(gè)關(guān)鍵部分,它嘗試去匹配VMPS數(shù)據(jù)庫(kù)里的MAC地址.如果匹配成功,那么VMPS向客戶機(jī)發(fā)送華為交換機(jī)VLAN信息(VLAN ID);如果匹配不成功,那么VMPS要么拒絕該請(qǐng)求,要么把端口關(guān)閉(這取決于VMPS所處的模式)。

當(dāng)多個(gè)MAC地址(主機(jī))處于同一華為交換機(jī)VLAN的時(shí)候,多個(gè)MAC地址可以對(duì)應(yīng)一個(gè)動(dòng)態(tài)端口.如果動(dòng)態(tài)端口的鏈路down掉,端口將被還原成未指定狀態(tài),并且在指定VLAN之前,VMPS將對(duì)這些地址重新檢查;如果這些主機(jī)位于不同的華為交換機(jī)VLAN,VMPS將向客戶返回***的MAC地址到VLAN映射的信息。