CISCO動態VLAN配置

一.基于VMPS的動態VLAN配置實例
　　網絡中VLAN實現分為靜態VLAN和動態VLAN。靜態VLAN又被稱為是基于端口的VLAN。顧名思義，就是明確指定各端口屬于哪個VLAN的設定方法，交換機中某個端口屬于哪個VLAN是相對固定的。動態VLAN則是根據每個端口所連的計算機，隨時改變端口所屬VLAN。
　　靜態VLAN在這里我們就不講了，由于網絡中的計算機需要變更所連端口時，就必須同時更改所連端口所屬VLAN的設定-----這是不適合那些需要頻繁改變拓撲結構的客戶需求的。
　　而動態VLAN則不同，由于它可以根據每個端口所屬的計算機，隨時改變端口所屬的VLAN，所以當網絡中計算機變更所連端口或交換機時，VLAN不用重新配置。而它基于MAC地址或用戶的認證方式，也可以杜絕非法接入網絡的問題。動態VLAN實現技術主要有兩種：
　　一是基于用戶的動態VLAN，
　　二是基于MAC地址的動態VLAN。
　　基于用戶的動態VLAN，則是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機操作系統登錄的用戶，比如可以是域中使用的用戶名。也就是說用戶只要通過自己在域中的用戶名，不管在那臺電腦上都能夠接入到自己所屬的VLAN當中。
　　基于MAC地址的動態VLAN，就是通過查詢并記錄端口所連計算機上的MAC地址來決定端口所屬VLAN。當分配給動態VLAN的交換機端口被激活后，交換機就緩存初始幀的源MAC地址。隨后，交換機便向一個稱為VMPS(VLAN管理策略服務器)的外部服務器發出請求，VMPS中包含一個文本文件，文件中存有進行VLAN映射的MAC地址。交換機
　　對這個文件進行下載，然后對文件中的MAC地址進行校驗。
　　如果在文件列表中找到MAC地址，交換機就將端口分配給列表中該MAC所對應的VLAN。所有列表中沒有的話，交換機就會將該端口分配給默認VLAN(假設已經定義了默認VLAN)。如果在列表中沒有MAC地址，而且也沒有默認VLAN，端口將不會被激活。
　　本實例將述的就是基于MAC地址的動態VLAN。
　　網絡環境：
　　核心是一臺CISCO3560G三層交換機，配置為VTP Server模式。CISCO 3560G中定義了兩個VLAN，通過Trunk端口(Gi0/1，GI0/2端口)與兩臺Cisco 2960交換機相連。
　　VMPS服務器是基于Scientific Linux平臺下的OpenVMPS構建的，連接至Cisco3560G的GI0/24端口。兩臺CISCO2960配置為客戶端模式，通過GI0/1端口接受來自核心交換機的VLAN信息，并將其余端口鏈路類型設置為Access,端口所屬VLAN設為Dynamic(動態)。合法的用戶計算機接入任意端口，都可以加入到相應的VLAN。
　　VMPS服務器配置
　　VMPS服務器需CISCO5000以上高端交換機才支持，因此這里選用的是第三方的開源軟件-OpenVMPS，基于Scientific Linux 5.3架設的VMPS服務器。
　　下載安裝
　　OpenVMPS最新版本為1.4.01.可通過“http://sourceforge.net/projects/vmps/”下載OpenVMPS，將下載的VMPSd-1.4.01.tar.gz文件上傳至Linux服務器，以root用戶運行下面的命令進行安裝。
　　# tar -v z x f vmpsd-1.01.tar.gz
　　#cd vmpsd
　　# ./configrure
　　#make
　　#make install
　　配置VMPS數據庫
　　OpenVMPS安裝好之后，會自動生成VMPS數據庫配置文件/usr/local/etc/VLAN.db,這個文件時是個文本文件，下面是配置內容：
　　vmps domain cisco 指定VTP域名為cisco
　　Vmps mode open //指定VMPS運行模式為OPEN。Vmps能夠以OPEN或者secure的模式工作，OPEN時，VMPS會對未授權的MAC地址返回拒絕，對沒有列在VMPS數據庫中的MAC地址返回一個fallback(后備VLAN)。在secure模式，VMPS對于未授權的或者沒有列在數據庫的MAC地址都會關閉相應的端口。
　　Vmps fallback ----none-----指定一個后備VLAN，none時表示沒有。
　　Vmps no-domain-req deny /指定VMPS客戶端交換機如果不屬于VTP域，將不提供任何映射
　　Vmps-mac-address //與Address之間的關聯。對指定的MAC地址使用關鍵字--NONE--關鍵字表示，阻止該主機加入到任何VLAN。在VLAN。Db中還有很多參數，感興趣的可以自己研究。
　　Address 0001.2201.88cd.VLAN-name accout
　　Address 0001.2201.88ce.VLAN-name accout
　　Address 0001.2201.75ca.VLAN-name sale
　　運行VMPS
　　以root用戶執行下面命令，可以啟動VMPS：
　　#/usr/local/bin/vmpsd
　　OpenVMPS默認端口時UDP1589，用netstat -an | grep 1589可以查看vmpsd進程是否運行。
　　如果需要在開啟Liunx服務器是就加載vmpsd.可以在/etc/rc.local中加入/usr/local/bin/vmpsd/
　　其他VMPSD的配置信息如下：
　　Vpmsd [-d] [-a address] [-f file] [-l level] [-p port]
　　-d: 在前臺運行VMPSD，可以很清楚的看到對MAC地址與VLAN的關聯
　　-a address 設置綁定到VMPSD的IP地址
　　-f file 設置VMPSD數據庫配置文件，默認為/usr/local/etc/VLAN.db
　　-l level 設置日志級別
　　-p port 設置VMPSD的監聽端口，默認為1589
　　CISCO3560G配置
　　#vtp domain cisco
　　#vtp mode server
　　#interface rang gi0/1 -2
　　#switchport trunk encapsulation dot1q
　　#switchport mode trunk
　　定義VLAN，設置VLAN IP地址。
　　#VLAN 133
　　# name sale
　　#VLAN 168
　　#name accout
　　#interface VLAN 133
　　#ip address 172.16.1.1 255.255.255.0
　　#no shu
　　#interface VLAN 168
　　#ip address 172.16.2.1 255.255.255.0
　　#no shu
　　設置gi0/24為訪問口，連接VMPSD服務器
　　#interface gi0/24
　　#switchport mode access
　　#no shu
　　#ip routing
　　#write
　　Cisco2960配置
　　#VTP domain cisco
　　#vtp mode client
　　#interface gi0/1
　　#switchport mode trunk
　　#no shu
　　#exit
　　設置fa0/1-24為訪問口，所屬VLAN為動態獲取
　　#interface rang fa0/1 -24
　　#switchport mode access
　　#switchport access VLAN dynam
　　#no shu
　　設置主VMPS，另外可以設置3個備用的VMPS服務器。
　　CISCO2960
　　#vmps server 172.16.1.100 primary
　　#end
　　#write
　　#
　　開啟VQPC(VLAN查詢協議客戶端)調試，將會看到MAC地址與VLAN關聯的過程。
　　#debug vqpc all
　　VMPS介紹:
　　VMPS介紹的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基于端口MAC地址動態選擇VLAN的集中化管理服務器.當某個端口的主機移動到另一個端口后,VMPS動態的為其指定VLAN.不過基于CISCO IOS的CATALYST 4500系列交換不支持VMPS的功能。
　　它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,通過VQP的客戶機,可以和VMPS通信.如果要讓CATALYST 4500系列交換機支持VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).
　　VMPS介紹使用UDP端口監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位于本地網絡還是遠程網絡.當VMPS服務器收到來自VMPS客戶機的請求后,它將在本地數據庫里查找MAC地址到VLAN的映射條目信息.
　　VMPS介紹將對請求進行響應.如果被指定的VLAN局限于一組端口,VMPS將驗證對發出請求的端口進行驗證:
　　◆如果請求端口的VLAN被許可,VMPS向客戶發送VLAN做為響應.
　　◆如果請求端口的VLAN不被許可,并且VMPS不是處于安全模式(secure mode),VMPS將發送"access-denied"(訪問被拒絕)的信息做為響應.
　　◆如果請求端口的VLAN不被許可,但VMPS處于安全模式,VMPS將發送"port-shutdown"(端口關閉)的信息做為響應.
　　但如果數據庫里的VLAN信息和端口的當前VLAN信息不匹配,并且該端口連接的有活動主機,VMPS將發送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于發送何種信息取決于VMPS模式的設置.
　　如果交換機從VMPS那里收到"access-denied"的信息,交換機將堵塞來自該MAC地址,前往或從該端口返回的流量.交換機將繼續監視去往該端口的數據包,并且當交換機識別到一個新的地址后,它會向VMPS發出查詢信息.如果交換機從VMPS那里收到"port-shutdown"信息,交換機將禁用該端口,該端口必須通過命令行或SNMP重新啟用.
　　VMPS介紹有三種模式(但User Registration Tool,即URT,只支持open模式):
　　◆open模式.
　　◆secure模式.
　　◆multiple模式.
　　◆open模式:
　　當端口未指定VLAN:
　　◆如果該端口的MAC地址與之相關聯的VLAN信息被許可,VMPS將向客戶返回VLAN名.
　　◆如果該端口的MAC地址與之相關聯的VLAN信息不被許可,VMPS將向客戶返回"access-denied"信息.
　　當端口已經指定VLAN:
　　◆如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,并配置的有fallback VLAN名,那么VMPS將返回fallback VLAN名給客戶機.
　　◆如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,并沒有配置fallback VLAN名,那么VMPS將返回"access-denied"信息給客戶機.
　　secure模式當端口未指定VLAN:
　　◆如果該端口的MAC地址與之相關聯的VLAN信息被許可,VMPS將向客戶返回VLAN名.
　　◆如果該端口的MAC地址與之相關聯的VLAN信息不被許可,端口將被關閉.
　　當端口已經指定VLAN:
　　如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,即使有配置fallback VLAN名,端口仍將被關閉.
　　multiple模式:
　　當多個MAC地址(主機)處于同一VLAN的時候,多個MAC地址可以對應一個動態端口.如果動態端口的鏈路down掉,端口將被還原成未指定狀態,并且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN映射的信息.當然,你也可以在VMPS上指定fallback VLAN名.如果該端口未指定任何VLAN,VMPS將把端口和發起請求的MAC地址進行比較:
　　◆如果主機的MAC地址在數據庫中不存在,并且VMPS上指定的有fallback VLAN名,那么將向客戶機返回fallback VLAN名信息.
　　◆如果主機的MAC地址在數據庫中不存在,但VMPS上未指定fallback VLAN名,那么將向客戶機返回"access-denied"信息.
　　如果該端口已經指定任何VLAN,VMPS將把端口和發起請求的MAC地址進行比較:不管VMPS上有沒有配置fallback VLAN名,只要VMPS處于secure模式,那么它就將反饋"port-shutdown"信息給客戶機.有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:
　　◆當VMPS上未配置fallback VLAN名,并且數據庫里沒有相應的MAC地址到VLAN的映射信息.
　　◆當端口已經被指定了VLAN,并且VMPS不處于multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求信息.
　　===============================================
　　配置VMPS數據庫
　　VMPS的用途就是用來創建動態的VLAN。而要創建動態VLAN，首先就是要配置VMPS數據庫，然后依次配置VMPS服務器和客戶機。
　　為了使用VMPS，你首先要建立VMPS的數據庫(也就是一個文本文件)并把它保存在一個TFTP服務器上。VMPS的格式是基于行的。每一行都是一個開始。VMPS數據庫文件包含如下五個部分：全局設置(Global settings)、MAC地址到VLAN的映射(MAC address-to-VLAN name mappings)、端口組(Port groups)、VLAN組(VLAN groups)和VLAN端口策略(VLAN port policies)。具體解釋如下：
　　n 第一部分：全局設置(Global settings)
　　第一部分是列出VMPS域名、安全模式、Fallback VLAN名稱，以及VMPS和VTP域名不匹配的策略。VMPS數據庫文件是以“VMPS”開頭的，以防止VMPS服務器錯誤地讀取交換機上其他的配置文件。
　　在定義VMPS域時，應當正確輸入在交換機上配置的VTP域名。
　　在定義安全模式時，VMPS可以工作于安全模式或者開放模式。如果你設置為開放模式，VMPS就會對未知的MAC地址返回一個拒絕訪問的響應消息，而對于一個不在VMPS數據中的MAC地址，則返回一個Fallback VLAN名的消息進行響應。在安全模式中，VMPS會對未知，或者不在VMPS數據庫中的MAC地址會關閉所訪問的端口。
　　Fallback VLAN的定義是個可選項。它是為在連接主機的MAC地址不在數據庫中，且VMPS工作于開放模式時準備的。
　　下面是本部分的一個示例：VMPS域名為GRFW，VMPS模式為開放模式，Fallback VLAN為默認設置，VMPS策略中在VTP域名與VMPS域名不匹配時發送訪問拒絕(access-denied)消息進行響應。
　　vmps domain GRFW
　　vmps mode open
　　vmps Fallback default
　　vmps no-domain-req deny
　　n 第二部分：MAC地址到VLAN的映射(MAC address-to-VLAN name mappings)
　　本部分列出MAC地址，以及每個MAC地址對應的VLAN名。可以使用“NONE”關鍵字作為VLAN名，以拒絕該MAC地址的主機與網絡連接。在一個VMPS數據庫中，你可以鍵入最多21,051條MAC地址。
　　下面是本部分的一個示例。MAC地址是在MAC地址表中一出的，注意其中的“fedc.ba98.7654”MAC地址對應的VLAN名為“NONE”，也就是拒絕該MAC地址主機訪問網絡。
　　vmps-mac-addrs
　　address 0012.2233.4455 VLAN-name hardware
　　address 0000.6509.a080 VLAN-name hardware
　　address aabb.ccdd.eeff VLAN-name Green
　　address 1223.5678.9abc VLAN-name ExecStaff
　　address fedc.ba98.7654 VLAN-name --NONE-
　　address fedc.ba23.1245 VLAN-name Purple
　　n 第三部分：端口組(Port groups)
　　本部分列出了在你的網絡中，你想要組合的不同交換機上的端口組。一相端口組就是一個端口的邏輯組合。你可以應用VLAN策略到一個個具體的端口上，或者端口組上。這在后面第五部分，定義VLAN策略時要用到。
　　要為每個端口組定義一個名稱，然后列出所有包括在這個端口組中的端口，每條以“device”開頭。端口是由交換機IP地址和模塊/端口號定義的。在端口號中不允許使用范圍。但可以使用“all-ports”關鍵字來指定特定交換機上的所有端口。
　　下面是本部分的一個示例，包括兩個端口組portgroup1和portgroup2。端口組portgroup1包括兩個端口，一個是在IP地址為198.92.30.32的VMPS客戶機上的3/2端口，另一個是在IP地址為172.20.26.141的VMPS客戶機上的2/8端口。
　　端口組portgroup2包括三個端口：其中兩個是在IP地址為198.4.254.222的VMPS客戶機上的1/2端口和1/3端口，另一個是在IP地址為198.4.254.223的VMPS客戶機上的所有端口。
　　vmps-port-group portgroup1
　　device 198.92.30.32 port 3/2
　　device 172.20.26.141 port 2/8
　　vmps-port-group portgroup2
　　device 198.4.254.222 port 1/2
　　device 198.4.254.222 port 1/3
　　device 198.4.254.223 all-ports
　　第四部分：VLAN組(VLAN groups)
　　本部分列出的是你想關聯在一起的VLAN組。一個VLAN組也是一個VLAN的邏輯組合。VLAN策略可以應用到一個個具體的VLAN上，也可以應用互這些VLAN組上。這在后面第五部分，定義VLAN端口策略時也要用到。
　　首先定義VLAN組名，然后列出在VLAN組中的每個端口。你可以在一個VMPS服務器中鍵入最多256個VLAN。
　　下面是本部分的一個示例。示例中的VLAN組“Engineering”包含名為“hardware”和“software”的兩個VLAN。
　　vmps-VLAN-group Engineering
　　VLAN-name hardware
　　VLAN-name software
　　n 第五部分：VLAN端口策略(VLAN port policies)
　　本部分列出了在本VMPS數據庫文件中所定義的VLAN端口策略。它使用前面介紹的端口組和VLAN組來進一步限制對網絡的訪問，可以使用MAC地址和端口組，或者VLAN組來配置限制訪問。每條策略都是以“vmps-port-policies”開頭。
　　以下是本部分的一個示例。在這個示例中包含了三個VLAN端口策略：在第一個VLAN端口策略中，在VLAN hardware或者VLAN software(都是名為Engineering的VLAN組成員)中的成員在IP地址為198.92.30.32的VMPS客戶機3/2端口和IP地址為172.20.23.141的VMPS客戶機2/8端口上是限制訪問的。
　　第二個VLAN端口策略是指定在VLAN Green中的設備僅可以連接到IP地址為198.92.30.32的VMPS客戶機的4/8端口上。
　　第三個VLAN端口策略是指定在VLAN Purple中的設備僅可以連接到IP地址為198.4.254.22的VMPS客戶機的1/2端口和在portgroup2端口組中的端口。
　　vmps-port-policies VLAN-group Engineering
　　port-group portgroup1
　　vmps-port-policies VLAN-name Green
　　device 198.92.30.32 port 4/8
　　vmps-port-policies VLAN-name Purple
　　device 198.4.254.22 port 1/2
　　port-group portgroup2
　　以下是思科網站上的一個VMPS數據庫文件示例，編輯一下就可以成為自己VMPS數據庫文件。
　　!vmps domain
　　! The VMPS domain must be defined.
　　!vmps mode { open | secure }
　　! The default mode is open.
　　!vmps Fallback
　　!vmps no-domain-req { allow | deny }
　　!
　　! The default value is allow.
　　vmps domain WBU
　　vmps mode open
　　vmps Fallback default
　　vmps no-domain-req deny
　　!
　　!
　　!MAC Addresses
　　!
　　vmps-mac-addrs
　　!
　　! address VLAN-name
　　!
　　address 0012.2233.4455 VLAN-name hardware
　　address 0000.6509.a080 VLAN-name hardware
　　address aabb.ccdd.eeff VLAN-name Green
　　address 1223.5678.9abc VLAN-name ExecStaff
　　address fedc.ba98.7654 VLAN-name --NONE--
　　address fedc.ba23.1245 VLAN-name Purple
　　!
　　!Port Groups
　　!
　　!vmps-port-group
　　! device { port | all-ports }
　　!
　　vmps-port-group WiringCloset1
　　device 198.92.30.32 port Fa1/3
　　device 172.20.26.141 port Fa1/4
　　vmps-port-group "Executive Row"
　　device 198.4.254.222 port es5%Fa0/1
　　device 198.4.254.222 port es5%Fa0/2
　　device 198.4.254.223 all-ports
　　!
　　!VLAN groups
　　!
　　!vmps-VLAN-group
　　! VLAN-name
　　!
　　vmps-VLAN-group Engineering
　　VLAN-name hardware
　　VLAN-name software
　　!
　　!VLAN port Policies
　　!
　　!vmps-port-policies {VLAN-name | VLAN-group }
　　! { port-group | device port }
　　!
　　vmps-port-policies VLAN-group Engineering
　　port-group WiringCloset1
　　vmps-port-policies VLAN-name Green
　　device 198.92.30.32 port Fa0/9
　　vmps-port-policies VLAN-name Purple
　　device 198.4.254.22 port Fa0/10
　　port-group "Executive Row"
　　VMPS數據庫文件創建好后，通過本書第一章介紹TFTP或者RCP方式上傳該文件到一個TFTP或者RCP服務器上，然后再下載到擔當VMPS服務器的交換機的閃存中即可。

?

轉載于:https://blog.51cto.com/chenxz/728881

總結

以上是生活随笔為你收集整理的CISCO动态VLAN配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。