DynamicVLAN.docxVIP

CISCO动态VLAN配置一.基于VMPS的动态VLAN配置实例　　网络中VLAN实现分为静态VLAN和动态VLAN。静态VLAN又被称为是基于端口的VLAN。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法，交换机中某个端口属于哪个VLAN是相对固定的。动态VLAN则是根据每个端口所连的计算机，随时改变端口所属VLAN。　　静态VLAN在这里我们就不讲了，由于网络中的计算机需要变更所连端口时，就必须同时更改所连端口所属VLAN的设定-----这是不适合那些需要频繁改变拓扑结构的客户需求的。　　而动态VLAN则不同，由于它可以根据每个端口所属的计算机，随时改变端口所属的VLAN，所以当网络中计算机变更所连端口或交换机时，VLAN不用重新配置。而它基于MAC地址或用户的认证方式，也可以杜绝非法接入网络的问题。动态VLAN实现技术主要有两种：　　一是基于用户的动态VLAN，　　二是基于MAC地址的动态VLAN。　　基于用户的动态VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是域中使用的用户名。也就是说用户只要通过自己在域中的用户名，不管在那台电脑上都能够接入到自己所属的VLAN当中。　　基于MAC地址的动态VLAN，就是通过查询并记录端口所连计算机上的MAC地址来决定端口所属VLAN。当分配给动态VLAN的交换机端口被激活后，交换机就缓存初始帧的源MAC地址。随后，交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求，VMPS中包含一个文本文件，文件中存有进行VLAN映射的MAC地址。交换机　　对这个文件进行下载，然后对文件中的MAC地址进行校验。　　如果在文件列表中找到MAC地址，交换机就将端口分配给列表中该MAC所对应的VLAN。所有列表中没有的话，交换机就会将该端口分配给默认VLAN(假设已经定义了默认VLAN)。如果在列表中没有MAC地址，而且也没有默认VLAN，端口将不会被激活。　　本实例将述的就是基于MAC地址的动态VLAN。　　网络环境：　　核心是一台CISCO3560G三层交换机，配置为VTP Server模式。CISCO 3560G中定义了两个VLAN，通过Trunk端口(Gi0/1，GI0/2端口)与两台Cisco 2960交换机相连。　　VMPS服务器是基于Scientific Linux平台下的OpenVMPS构建的，连接至Cisco3560G的GI0/24端口。两台CISCO2960配置为客户端模式，通过GI0/1端口接受来自核心交换机的VLAN信息，并将其余端口链路类型设置为Access,端口所属VLAN设为Dynamic(动态)。合法的用户计算机接入任意端口，都可以加入到相应的VLAN。　　VMPS服务器配置　　VMPS服务器需CISCO5000以上高端交换机才支持，因此这里选用的是第三方的开源软件-OpenVMPS，基于Scientific Linux 5.3架设的VMPS服务器。　　下载安装　　OpenVMPS最新版本为1.4.01.可通过“/projects/vmps/”下载OpenVMPS，将下载的VMPSd-1.4.01.tar.gz文件上传至Linux服务器，以root用户运行下面的命令进行安装。　　# tar -v z x f vmpsd-1.01.tar.gz　　#cd vmpsd　　# ./configrure　　#make　　#make install　　配置VMPS数据库　　OpenVMPS安装好之后，会自动生成VMPS数据库配置文件/usr/local/etc/VLAN.db,这个文件时是个文本文件，下面是配置内容：　　vmps domain cisco ////////指定VTP域名为cisco　　Vmps mode open //////////指定VMPS运行模式为OPEN。Vmps能够以OPEN或者secure的模式工作，OPEN时，VMPS会对未授权的MAC地址返回拒绝，对没有列在VMPS数据库中的MAC地址返回一个fallback(后备VLAN)。在secure模式，VMPS对于未授权的或者没有列在数据库的MAC地址都会关闭相应的端口。　　Vmps fallback ----none-----////////指定一个后备VLAN，none时表示没有。　　Vmps no-domain-req deny /指定VMPS客户端交换机如果不属于VTP域，将不提供任何映射　　Vmps-mac-address //////与Address之间的关联。对指定的MAC地址使用关键字--NONE--关键字表示，阻止该主机加入到任何VLAN。在VLAN。Db