华为交换机vlan及其VMPS三种模式的体验(一) -电脑资料
华为交换机vlan及其VMPS三种模式的介绍,在华为交换机vlan的讲解中,VMPS有三种模式(但User Registration Tool,即URT,只支持open模式),
华为交换机vlan及其VMPS三种模式的体验(一)
。CATALYST 4500系列交换机动态华为交换机vlan与VMPS怎么配置呢?这个问题,本文以CISCO IOS版本12。2(31)SGA为例。一。
VMPS的是华为交换机vlanMembership Policy Server的简称。顾名思义,它是一种基于端口MAC地址动态选择华为交换机vlan的集中化管理服务器。当某个端口的主机移动到另一个端口后,VMPS动态的为其指定华为交换机vlan。不过基于CISCO IOS的CATALYST 4500系列交换不支持VMPS的功能。
它只能做为华为交换机vlan查询协议(VLAN Query Protocol)的客户机,通过VQP的客户机,可以和VMPS通信。如果要让CATALYST 4500系列交换机支持VMPS的功能,那你应当使用CatOS(或选择CATALYST 6500系列交换机hoho)。
VMPS使用UDP端口监听来自VQP客户机的请求,因此,VPMS客户机也没必要知道VMPS到底是位于本地网络还是远程网络。当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到华为交换机vlan的映射条目信息。
VMPS将对请求进行响应。如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:
◆如果请求端口的华为交换机vlan被许可,VMPS向客户发送VLAN做为响应。
◆如果请求端口的VLAN不被许可,并且VMPS不是处于安全模式(secure mode),VMPS将发送"access-denied"(访问被拒绝)的信息做为响应。
◆如果请求端口的VLAN不被许可,但VMPS处于安全模式,VMPS将发送"port-shutdown"(端口关闭)的信息做为响应。
但如果数据库里的华为交换机vlan信息和端口的当前华为交换机vlan信息不匹配,并且该端口连接的有活动主机,VMPS将发送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息。至于发送何种信息取决于VMPS模式的设置。
如果交换机从VMPS那里收到"access-denied"的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量。交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息。如果交换机从VMPS那里收到"port-shutdown"信息,交换机将禁用该端口,该端口必须通过命令行或SNMP重新启用。
VMPS有三种模式(但User Registration Tool,即URT,只支持open模式):
◆open模式。
◆secure模式。
◆multiple模式。
open模式当端口未指定华为交换机vlan:
◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回华为交换机vlan名。
◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息,
电脑资料
《华为交换机vlan及其VMPS三种模式的体验(一)》()。当端口已经指定华为交换机vlan:
◆如果数据库里的华为交换机vlan与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并配置的有fallback VLAN名,那么VMPS将返回fallback VLAN名给客户机。
◆如果数据库里的华为交换机vlan与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并没有配置fallback VLAN名,那么VMPS将返回"access-denied"信息给客户机。
secure模式当端口未指定华为交换机vlan:
◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名。
◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭。
当端口已经指定华为交换机vlan:如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,即使有配置fallback VLAN名,端口仍将被关闭。multiple模式:当多个MAC地址(主机)处于同一华为交换机vlan的时候,多个MAC地址可以对应一个动态端口。
如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定华为交换机vlan之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到华为交换机vlan映射的信息。
当然,你也可以在VMPS上指定fallback VLAN名。如果该端口未指定任何华为交换机vlan,VMPS将把端口和发起请求的MAC地址进行比较:如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallback 华为交换机vlan名,那么将向客户机返回fallback VLAN名信息。如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallback VLAN名,那么将向客户机返回"access-denied"信息。
如果该端口已经指定任何华为交换机vlan,VMPS将把端口和发起请求的MAC地址进行比较:不管VMPS上有没有配置fallback VLAN名,只要VMPS处于secure模式,那么它就将反馈"port-shutdown"信息给客户机。有的时候我们也可能看到非法的VMPS客户机请求,如下两种:
◆当VMPS上未配置fallback VLAN名,并且数据库里没有相应的MAC地址到华为交换机vlan的映射信息。
◆当端口已经被指定了VLAN,并且VMPS不处于multiple模式,但是VMPS收到了第二个不同MAC地址的VMPS客户机请求信息。
二。VMPS客户机的介绍:
当端口被配置为动态(dynamic)的时候,它基于MAC地址的接收VLAN信息。这些VLAN信息是基于端口MAC地址,从VMPS那里动态获得的。动态端口一次只能属于一个华为交换机vlan。当链路up后,端口不会立即转发流量,直到该端口获得了华为交换机vlan信息。
当动态端口所连的主机发起第一个数据包的时候,数据包中的源MAC地址就做为VQP的请求信息中的一个关键部分,它尝试去匹配VMPS数据库里的MAC地址。如果匹配成功,那么VMPS向客户机发送华为交换机vlan信息(VLAN ID);如果匹配不成功,那么VMPS要么拒绝该请求,要么把端口关闭(这取决于VMPS所处的模式)。
当多个MAC地址(主机)处于同一华为交换机vlan的时候,多个MAC地址可以对应一个动态端口。如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的华为交换机vlan,VMPS将向客户返回最新的MAC地址到VLAN映射的信息。
