自动穿越在VLAN之间
开篇:润墨网以专业的文秘视角,为您筛选了一篇自动穿越在VLAN之间范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
回忆一下我们熟知的做法,工程师配置vlan过程实际上是把交换机的端口强制性地分配给VLAN的过程。大家一般按照不同的网络应用和访问权限来确定哪些端口属于哪些特定的VLAN,然后将VLAN静态映射到端口。这其中包括输入一些合适的命令,这些命令有可能来自称为SNMP管理工作站的CLI(命令行接口),也有可能来自Web界面的软件管理工具,进行拖拽操作。
传统的做法非常耗时,在遇到交换机端口后面的用户变更时,更显得笨拙无力。应该说划分VLAN是非常灵活的一件事,我们不但可以根据交换机端口划分,还可以根据客户端的MAC地址自动划分、基于策略自动划分、基于网络自动协议划分、按用户授权自动划分……。
自动化管理客户端
在一些规模适中的网络里面,很多员工的办公地点很不固定,他们可能需要拿着笔记本电脑在各个楼层之间的办公室里穿梭,如果整个楼宇没有无线设备覆盖,网络接入就成了最难管理的问题。
当他们要访问本部门的服务器的时候,如果不在自己的VLAN里面就会出现拒绝访问的后果,他们都必须回到自己的办公室才能访问。
此时,管理员可以将这些移动性较强的笔记本电脑的MAC地址记录下来,管理MAC地址划分,当然,你也可以将所有PC的MAC地址集中管理起来。如果遇到整个部门更换办公场所的时候,你也可以悠闲地躺在家里看电视,不论员工在哪个办公环境中,都可以自动被分配到原来的VLAN里面。
要实现上面的这种需求,你就需要了解并掌握动态VLAN的配置方法。动态的VLAN原理其实很简单,由端口自己决定它属于哪个VLAN时,就形成了动态的VLAN。它是一个简单的映射,这个映射取决于工程师创建的数据库。
分配给动态VLAN的端口被激活后,交换机就缓存初始帧的源MAC地址。随后,交换机便向一个称为VMPS (VLAN Management Policy Server,VLAN管理策略服务器)的外部服务器发出请求。VMPS中包含一个文本文件,文件中存有进行VLAN映射的MAC地址。
交换机对这个文件进行下载后,对文件中的MAC地址进行校验,此时出现三种情况:
•如果在文件列表中找到MAC地址,交换机就将端口分配给列表中的VLAN;
•如果列表中没有MAC地址,交换机就将端口分配给默认的VLAN(假设已经定义了默认VLAN);
•如果在列表中没有MAC地址,而且也没有定义默认的VLAN,端口就不会被激活,这是维护网络安全一种非常好的的方法。
VMPS自动管理
一旦启动了VMPS,包含MAC地址到VLAN映射的数据库就会从TFTP服务器下载到VMPS服务器。然后,VMPS使用UDP接口监听来自客户机的请求。此时VMPS有Open、Secure、Multiple 3种运行模式:
•Open模式
当接口未指定VLAN时:如果该接口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名;如果该接口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回“access-denied”信息。
当接口已经指定VLAN时:如果数据库里的VLAN与MAC地址相关联的信息和接口当前的VLAN关联信息不匹配,并配置有fallback VLAN(后备VLAN)名,那么VMPS将返回fallback VLAN名给客户机;如果数据库里的VLAN与MAC地址相关联的信息和接口当前的VLAN关联信息不匹配,并没有配置fallback VLAN名,那么VMPS将返回“access-denied”信息给客户机。
•Secure模式
当接口未指定VLAN时:如果该接口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名;如果该接口的MAC地址与之相关联的VLAN信息不被许可,接口将被关闭。
当接口已经指定VLAN时:如果数据库里的VLAN与MAC地址相关联的信息和接口的当前VLAN关联信息不匹配,即使有配置fallback VLAN名,接口仍将被关闭。
•Multiple模式
当多个MAC地址处于同一VLAN的时候,多个MAC地址可以对应一个动态接口。如果动态接口的链路关闭,接口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息。
当然,也可以在VMPS上指定fallback VLAN名。如果该接口未指定任何VLAN,VMPS将把接口和发起请求的MAC地址进行比较:如果主机的MAC地址在数据库中不存在,并且在VMPS上指定有fallback VLAN名,那么将向客户机返回fallback VLAN名信息;如果主机的MAC地址在数据库中不存在,且在VMPS上未指定fallback VLAN名,那么将向客户机返回“access-denied”信息;如果该接口已经指定任何VLAN,VMPS将把接口和发起请求的MAC地址进行比较。
配置动态VLAN
要使用VMPS必须先创建VMPS数据库,并将其保存在一个TFTP服务器上。VMPS数据库文件是一个ASCII码的文本文件,并且编写起来非常烦琐,最简单的方式是获得一个VMPS数据库范本。
第一步:创建VMPS数据库文件
VMPS数据库文件包含如下条目:包含VMPS域名的文件头、VMPS运行模式、后备(fallback)用的VLAN名、映射到VLAN名字上的一组MAC地址等。VMPS数据库的基本结构如下:
vmps domain Switchblock1(指定VTP域名)
vmps mode open(指定运行模式)
vmps fallback default(指定fallback VLAN,这里默认是VLAN 1)
vmps no-domain-req deny(只要发送的请求不带域名,就不提供任何VLAN映射)
!
vmps-mac-addrs(配置MAC地址和VLAN之间的关联)
!
!
address 0050.1234.5671 vlan-name GroupA
address 0050.1234.5672 vlan-name GroupB
address 0050.1234.5673vlan-name GroupC
如果你有充足的时间,可以手工编写一个VMPS数据库文件,不过我还是建议您从交换机的官方网站上下载一个名为Vmpsconfig.txt的模板文件,更改上面这几个关键选项和IP地址。否则的话,这个数据库文件的编写就像程序代码一样,将花费你很多的精力。
第二步:配置VMPS服务器
设置VMPS的下载方式:set vmps downloadmethod {rcp | tftp}
设置VMPS下载服务器和文件名称:set vmps downloadserver ipaddress [filename]
启动VMPS服务:set vmps state enable
第三步:配置VMPS客户端
COS交换机:set vmps server ipaddress [primary]
IOS交换机:(global)vmps server ipaddress primary
要让客户端交换机从服务器请求中获得动态的VLAN信息,必须给客户端配置服务器地址。使用primary选项来指定主VMPS服务器的IP,还可以指定3个辅VMPS服务器。
第四步:配置接口为动态模式
COS交换机:set port membership mod/port dynamic
IOS交换机:(interface) switchport access dynami