设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNA学习资料 VMPS(VLAN Management Policy Server,VLAN管理策略服 ...
返回列表 发新帖
查看: 3258|回复: 5
收起左侧

[分享] VMPS(VLAN Management Policy Server,VLAN管理策略服务器)

[复制链接]
小乔
 成长值: 62350
发表于 2017-10-31 10:04:50 | 显示全部楼层 |阅读模式
本帖最后由 小乔 于 2017-10-31 10:06 编辑

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)


VMPS(VLAN Management Policy Server,VLAN管理策略服务器)
1.VLAN基础知识
网络中VLAN实现分为静态VLAN和动态VLAN。静态VLAN又被称为是基于端口的VLAN。顾名思义,就是明确指定各端口属于哪个VLAN的设定方法,交换机中某个端口属于哪个VLAN是相对固定的。动态VLAN则是根据每个端口所连的计算机,随时改变端口所属VLAN。由于它可以根据每个端口所属的计算机,随时改变端口所属的VLAN,所以当网络中计算机变更所连端口或交换机时,VLAN不用重新配置。而它基于MAC地址或用户的认证方式,也可以杜绝非法接入网络的问题。动态VLAN实现技术主要有两种:
基于用户的动态VLAN:根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是域中使用的用户名。也就是说用户只要通过自己在域中的用户名,不管在那台电脑上都能够接入到自己所属的VLAN当中。
基于MAC地址的动态VLAN:就是通过查询并记录端口所连计算机上的MAC地址来决定端口所属VLAN。
2.基于MAC地址的动态VLAN
是基于源MAC地址动态的、在交换机端口上划分VLAN的方法。属于Client/Server架构。VMPS包括一个映射MAC地址到VLAN分配的数据库。当一个帧到达动态端口时,交换机根据帧的源地址查询VMPS,获取相应的VLAN分配。动态VLAN使用智能管理软件,可以基于MAC地址,协议,甚至应用程序来动态创建VLAN。Cisco 设备管理员可以使用VMPS的服务来建立个MAC地址数据库,来根据这个动态创建VLAN,VMPS数据库把MAC地址映射VLAN上。
当分配给动态VLAN的交换机端口被激活后,交换机就缓存初始帧的源MAC地址。随后,交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求,VMPS中包含一个文本文件,文件中存有进行VLAN映射的MAC地址。交换机对这个文件进行下载,然后对文件中的MAC地址进行校验。校验的规则如下:
如果在文件列表中找到MAC地址,交换机就将端口分配给列表中该MAC所对应的VLAN;
所有列表中没有,并且已经定义了默认VLAN,交换机就会将该端口分配给默认VLAN;
如果在列表中没有MAC地址,而且也没有默认VLAN,端口将不会被激活。
注:VMPS能够以OPEN或者secure的模式工作。OPEN模式下,VMPS会对未授权的MAC地址返回拒绝,对没有列在VMPS数据库中的MAC地址返回一个fallback(后备VLAN)。在secure模式下,VMPS对于未授权的或者没有列在数据库的MAC地址都会关闭相应的端口。
3.配置VMPS
实验拓扑
1.jpg

配置Linux/OpenVMPS服务器(VMPS服务端需要Cisco高端交换机才能支持)
[root@localhost ~]# vim /usr/local/etc/vlan.db     #安装好OpenVMPS后会自动生成这个配置文件
vmps domain cisco     #指定VTP域名为
ciscoVmps mode open     #指定VMPS运行模式为OPEN。
vmps fallback none     #指定一个后备VLAN,none表示没有。
vmps no-domain-req deny     #指定VMPS客户端交换机如果不属于VTP域,将不提供任何映射
vmps-mac-address     #与address之间的关联。对指定的MAC地址使用关键字NONE表示,阻止该主机加入到任何VLAN。在VLAN。Address 0001.2201.88cd.vlan-name accout
Address 0001.2201.88ce.vlan-name accout
Address 0001.2201.75ca.vlan-name sale
[root@localhost ~]# /usr/local/bin/vmpsdOpen     #VMPS默认端口时UDP1589,用netstat -an | grep 1589可以查看vmpsd进程是否运行。如果需要在开启Liunx服务器时就加载vmpsd服务,可以在/etc/rc.local中加入/usr/local/bin/vmpsd
[root@localhost ~]# vpmsd [-d] [-a address] [-f file] [-l level] [-p port]    #关于vmpsd的其他参数设置
选项与参数:
-d     #在前台运行VMPSD,可以很清楚的看到对MAC地址与VLAN的关联
-a     #address 设置绑定到VMPSD的IP地址
-f file     #设置VMPSD数据库配置文件,默认为/usr/local/etc/vlan.db
-l level     #设置日志级别
-p port     #设置VMPSD的监听端口,默认为1589
配置Cisco 3560G核心交换机
switch(config)#vtp domain cisco
switch(config)#vtp mode server
switch(config)#interface rang g0/1 – 2
switch(config-if)#switchport trunk encapsulation dot1q
switch(config-if)#switchport mode trunk     #配置交换机互联端口为trunk
switch(config-if)#exit
switch(config)#vlan 133
switch(config-vlan)#name sale
switch(config-vlan)#exit
switch(config)#vlan 168
switch(config-vlan)#name accout
switch(config)#interface vlan 133
switch(config-if)#ip address 172.16.1.1 255.255.255.0
switch(config-if)#no sh
switch(config-if)#interface vlan 168
switch(config-if)#ip address 172.16.2.1 255.255.255.0
switch(config-if)#no sh 
switch(config-if)#interface g0/0
switch(config-if)#switchport mode access     #设置gi0/24为访问口,连接VMPSD服务器
switch(config-if)#no sh
配置Cisco2960接入层交换机
switch(config)#VTP domain cisco
switch(config)#vtp mode client
switch(config)#interface g0/1
switch(config-if)#switchport mode trunk
switch(config)#no sh
switch(config)#interface rang fa0/1 - 24
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan dynamic     #设置fa0/1-24为访问口,所属VLAN为动态获取
switch(config-if)#no sh
switch(config)#vmps server 172.16.1.100 primary     #设置主VMPS,另外可以设置3个备用的VMPS服务器
调试VMPS
switch#debug vqpc all     #开启VQPC(VLAN查询协议客户端)调试,将会看到MAC地址与VLAN关联的过程。
4.VMPS数据库文件示例
#1部分:全局设置
!vmps domain
! The VMPS domain must be defined.
!vmps mode { open | secure }
! The default mode is open.
!vmps Fallback
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain WBU
#与交换机上的VTP域名对应
vmps mode open
vmps Fallback default
vmps no-domain-req deny
!
!
#2部分: MAC地址到VLAN的映射
!MAC Addresses
!
vmps-mac-addrs
!
! address VLAN-name
!
address 0012.2233.4455 VLAN-name hardware
address 0000.6509.a080 VLAN-name hardware
address aabb.ccdd.eeff VLAN-name Green
address 1223.5678.9abc VLAN-name ExecStaff
address fedc.ba98.7654 VLAN-name --NONE--     #拒绝该MAC地址的主机分配到任何VLAN中
address fedc.ba23.1245 VLAN-name Purple
!
#3部分:端口组(Port groups)
!Port Groups
!
!vmps-port-group
! device { port | all-ports }
!
vmps-port-group WiringCloset1
device 198.92.30.32 port fa1/3     #端口是由交换机IP地址和模块/端口号定义的。在端口号中不允许使用范围。
device 172.20.26.141 port fa1/4
vmps-port-group "Executive Row"
device 198.4.254.222 port fa0/1
device 198.4.254.222 port fa0/2
device 198.4.254.223 all-ports     #可以使用“all-ports”关键字来指定特定交换机上的所有端口。
!
#4部分:VLAN组(VLAN groups)
!VLAN groups
!
!vmps-VLAN-group
! VLAN-name
!
vmps-VLAN-group Engineering
VLAN-name hardware
VLAN-name software
!
#5部分:VLAN端口策略(VLAN port policies)
!VLAN port Policies
!
!vmps-port-policies {VLAN-name | VLAN-group }
! { port-group | device port }
!
vmps-port-policies VLAN-group Engineering
port-group WiringCloset1
vmps-port-policies VLAN-name Green
device 198.92.30.32 port Fa0/9
vmps-port-policies VLAN-name Purple
device 198.4.254.22 port Fa0/10
port-group "Executive Row"

回复

使用道具 举报

淼渺淼渺
发表于 2020-7-25 18:51:13 | 显示全部楼层
感谢小乔分享
5# 2020-7-25 18:51:13 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-11-24 20:20 , Processed in 0.134602 second(s), 11 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表