动态VLAN配置教程

A.动态VLAN配置实例基于VMPS
VLAN在网络中的实现分为静态VLAN和动态VLAN。静态VLAN。它也被称为基于端口的VLAN，顾名思义，它规定了哪个端口的设置方法，交换机中哪个端口属于VLAN相对固定，动态VLAN是基于每个端口连接的计算机，随时改变端口。
静态VLAN不在这里。由于网络中的计算机需要改变所连接的端口，所以必须同时更改连接的端口的VLAN设置。这不适合那些经常需要改变拓扑结构的客户。
动态VLAN是不同的，因为它可以在任何时候更改端口的VLAN，根据各端口属于计算机，当计算机网络变化的端口或交换机的VLAN，不需要重新配置。它也可以消除基于MAC地址或用户认证的非法访问网络问题。有动态VLAN的实现技术
一个基于用户动态
二是MAC地址的动态性
基于用户的动态VLAN，是根据当前登录的用户交换机端口连接到计算机，确定端口到用户标识信息的VLAN。这里是一个计算机操作系统用户登录，例如，可以在用户域名中使用，也就是说，用户可以在域中通过自己的用户名访问自己的VLAN，不管它们是否在那个计算机上。
基于MAC地址的动态VLAN是通过查询和记录端口上计算机上的MAC地址来确定端口的VLAN。当交换机端口分配给动态VLAN，交换机将缓存的初始帧的源MAC地址，交换机发送一个请求到外部服务器称为VMPS（VLAN管理策略服务器），VMPS包含一个文本文件，并在文件中的MAC地址，VLAN映射。
下载文件并检查文件中的MAC地址
如果在文件列表中找到MAC地址，则交换机将端口分配给列表。如果MAC对应于VLAN中的所有列表，交换机将把端口分配给默认VLAN（假设默认VLAN已经定义）。如果列表中没有MAC地址，并且没有默认VLAN，则端口将不被激活。
这个例子将描述基于MAC地址的动态。
网络环境
其核心是一个cisco3560g三层交换机，其被配置为VTP服务器mode.cisco 3560g中定义了两个VLAN，并通过中继端口连接到两个思科2960开关（gi0 / 1，gi0 / 2端口）
服务器是建立在基于Linux平台的科学openvmps连接了cisco3560g的gi0 / 24端口。两cisco2960配置为客户端模式，并从核心交换机的VLAN信息通过gi0 / 1端口接收。其余的端口链接类型被设置为访问，而属于端口的端口被设置为动态（动态）。合法的用户计算机可以访问任何端口，并且可以添加到适当的端口。
服务器配置
服务器需要更多的cisco5000高端交换机支持，所以这里是第三方开源软件openvmps，基于科学的Linux 5.3建立VMPS服务器。

下载并安装
最新的版本是1.4.01，可以下载openvmps，上传下载文件vmpsd-1.4.01.tar.gz Linux服务器，并安装以下的根用户命令。
配置VMPS数据库
当安装安装，VMPS数据库配置文件 / usr / / / vlan.db等地方，自动生成。这个文件是一个文本文件，下面是配置内容
指定VTP域名
指定VMPS的运行模式是开放的。Vmps，它可以打开或安全模式下工作。当打开时，VMPS将拒绝返回到未经授权的MAC地址，并返回一个回退（备份VLAN）MAC地址在VMPS数据库不上市。在安全模式下，关闭相应的端口VMPS数据库中未经授权或未上市的MAC地址
指定备份VLAN，无时无。
指定VMPS客户开关不会如果它不属于VTP域提供任何映射
与地址的关联。对于指定的MAC地址，关键字-非关键字用于阻止主机加入任何VLAN。VLAN中有很多参数，有意者可以自行研究。
运行
以下命令由root用户执行，该命令可以启动
当默认端口是udp1589，你可以使用netstat - grep 1589看看vmpsd进程运行
如果你需要加载Linux服务器，当你需要它的时候，vmpsd。可以添加到 / / rc.local等
其他vmpsd配置信息如下
在前台运行vmpsd可以清楚地看到的MAC地址和VLAN之间的连接
设置IP地址绑定到vmpsd
默认设置vmpsd数据库配置文件
设置日志级别
设置vmpsd的监听端口，默认是
配置
定义VLAN，设置VLAN IP地址
集gi0 / 24作为一个进入vmpsd服务器
配置
设置粮农/ 1-24为接入和VLAN动态获得
设置主第，你可以设置3个备用VMPS服务器
开始vqpc（VLAN查询协议的客户端）的调试，你会看到过程与VLAN的MAC地址关联
介绍
介绍了VLAN的策略服务器的缩写，顾名思义，它是一个集中管理服务器基于端口的MAC地址，VLAN的动态选择。当一个端口的主机移动到另一个端口，指定VMPS动态VLAN。它。然而，Catalyst 4500系列交换机基于Cisco IOS不支持VMPS的功能。
它只能查询协议客户端的VLAN（VLAN查询协议VQP），可以通过客户端VMPS沟通。如果你想要的Catalyst 4500系列交换机支持VMPS的功能，你应该使用CatOS（或选择Catalyst 6500系列交换机）
UDP端口VQP是用于监测来自客户端的请求。因此，同时客户不需要知道VMPS位于本地网络或远程网络。当VMPS服务器VMPS客户端接收到一个请求时，它会找到MAC地址的映射信息录入到本地数据库中的VLAN

的出台将响应请求。如果指定的VLAN是有限的一组端口，VMPS验证发送请求的端口进行验证。
如果请求的端口VLAN是行货，VMPS发送到VLAN的客户端的响应
如果请求的端口是不允许的，而第不在安全模式（安全模式），VMPS将访问denied（拒绝访问）的信息作为响应
如果请求的端口是不允许的，但VMPS在安全模式下，VMPS将港口shutdown（封闭）作为响应的信息
但如果在VLAN和端口信息数据库不匹配当前的VLAN信息，和端口连接的主机的活动，VMPS将访问denied回退；VLAN name（回VLAN），或新；港口shutdownVLAN name（新VLAN）信息。发送什么信息取决于VMPS模式设置
如果开关从VMPS，访问denied接收信息，交换机将堵塞交通的MAC地址或端口，交换机将继续监控数据包的端口，在交换机识别一个新的地址，它会发出查询信息，VMPS。如果交换机接收来自VMPS；港口shutdown信息，交换机将禁用端口和端口必须启用命令行或SNMP
有三种模式（但用户注册工具，轨道交通，只支持开放模式
开放模式
安全模型
多模型
开放模式
未指定端口时
如果相关的MAC地址和VLAN信息港是允许的，VMPS将返回到客户VLAN
如果相关的MAC地址和VLAN信息港是不允许的，VMPS将返回给客户的信息denied 访问；
指定端口时
如果在连接到MAC地址和端口的VLAN信息数据库不匹配当前VLAN的相关信息，并配置回退的VLAN，然后将兜底VMPS VLAN的客户端
如果在连接到MAC地址和端口的VLAN信息数据库不匹配当前VLAN的相关信息，并没有后退的VLAN，然后将返回denied VMPS 访问；信息到客户端
当未指定端口时模式
如果相关的MAC地址和VLAN信息港是允许的，VMPS将返回到客户VLAN
如果不允许相关的MAC地址和VLAN信息端口，则端口将被关闭。
指定端口时
如果数据库中的信息与端口的MAC地址和当前VLAN关联信息不匹配，即使配置了回退VLAN名称，端口也将关闭。VLAN
模式
当多个MAC地址（主机）都在同一个VLAN中，多个MAC地址对应一个动态端口。如果动态端口的下行是下降，港口将减少到一个特定的状态，并将检查这些地址VMPS在指定的VLAN。如果这些主机位于不同的VLAN，VMPS将返回新的MAC地址的VLAN映射信息给客户。当然，你也可以指定VMPS回退VLAN名称。如果端口不指定任何VLAN，VMPS将端口的初始化请求的MAC地址

如果主机的MAC地址在数据库中不存在，而在回退指定VMPS VLAN，然后回退VLAN将信息返回到客户端
如果主机的MAC地址在数据库中不存在，但VMPS不指定回退VLAN，然后返回到客户端访问denied ；信息
如果端口已经指定的VLAN，VMPS将端口和发起请求的MAC地址：无论是否有后备VLAN名称VMPS，只要VMPS是在安全模式下，将shutdown反馈，港口，和信息到客户端。有时我们也会看到非法VMPS客户端请求，以下两
当回退的VLAN的配置不在第，并没有相应的映射信息的MAC地址的VLAN数据库
当端口被指定VLAN和VMPS，但不能在多个模式，VMPS接到第二不同的MAC地址，VMPS客户端请求信息
配置VMPS数据库
其目的是创建动态VLAN。创建动态VLAN，第一件事就是配置VMPS数据库，然后配置VMPS服务器和客户端反过来。
为了使用VMPS，你首先要建立VMPS数据库（即文本文件），它保存在TFTP服务器，VMPS的格式是基于线。每一行是一个start.vmps数据库文件包含五个部分：全局设置，MAC VLAN映射地址，MAC端口名称映射，港口群港口群，映射组和港口政策。具体说明如下
第一部分：全球背景
第一部分是列出VMPS域名，安全模式，回退VLAN名称和VMPS和VTP域名之间的失配策略。VMPS数据库文件从VMPS防止VMPS服务器从其他配置文件的开关。
定义VMPS域时，VTP域名，配置于开关应正确输入
当安全模式的定义，第可以在安全模式或开放的方式工作。如果你将它设置为一个开放的模式，VMPS将返回一个响应消息未知MAC地址，而MAC地址不在VMPS数据，它将返回一个兜底VLAN名称的消息，安全模式，VMPS将关闭访问端口未知，或不在VMPS数据库的MAC地址
的定义是一个选择，这是准备的MAC地址连接到主机数据库中没有当VMPS的作品在开放模式
以下是本部分的一个例子：VMPS域名grfw，VMPS模式是开放式的，备用的VLAN是默认设置，VMPS政策响应时发送VMPS VTP域名不VMPS域名匹配。
第二部分：mac地址到VLAN的映射
本节列出的MAC地址，以及对应的MAC地址的VLAN名称。您可以使用none关键词是连接主机的网络拒绝的MAC地址的VLAN的名称。在VMPS数据库，你可以输入最多21051个MAC地址

下面是本节的一个示例，MAC地址在MAC地址表中。注意fedc.ba98.7654MAC地址对应的VLAN的名字是none，即否认MAC地址的主机访问网络。
第三部分：港口群。
本节列出要在网络中组合的不同交换机上的端口组。相端口组是端口的逻辑组合。可以将VLAN策略应用于特定端口或端口组。这是在以下第五部分中用于定义VLAN策略的
每个端口定义组的名称，然后列出所有的端口，包括在港口集团，每个与device开始，通过IP地址和端口的开关模块/端口号定义。使用范围不允许的端口号，但你可以用；所有ports关键字指定一个特定的交换机的所有端口
以下是本部分的一个例子，包括两端口portgroup1和portgroup2。港口集团portgroup1包括两个端口，一个是在198.92.30.32 3 / 2端口VMPS客户端的IP地址，另一个是在172.20.26.141 2 / 8端口VMPS客户端的IP地址
港口集团portgroup2由三端口：两端口是1 / 2 / 3端口和1端口VMPS客户端IP地址198.4.254.222，另一种是对VMPS客户端IP地址198.4.254.223所有端口。
第四部分：VLAN组。
本节列出要关联的VLAN组。VLAN组也是VLAN的逻辑组合。VLAN策略可以应用于特定的VLAN，也可以应用于每个VLAN组。在定义未来第五部分中的VLAN端口策略时也使用此策略。
首先，VLAN组名称定义在每个端口的VLAN组列。您可以输入最多256个VMPS服务器
以下是本节的一个例子。VLAN组engineering的例子；包含两名称；hardware和software
第五部分：VLAN端口策略。
本节列出的端口策略VMPS数据库文件中定义的。它使用的端口组和VLAN组较早出台进一步限制对网络的访问，并使用MAC地址和端口组或VLAN组配置限制访问。每个策略是基于VMPS端口policies
以下是本节的一个例子，这个例子包含三个VLAN端口策略：第一VLAN端口的策略，在硬件或软件VLAN VLAN（称为工程VLAN组成员）在IP地址的成员为198.92.30.32 VMPS客户3 / 2的172.20.23.141 VMPS客户端口和IP地址2 / 8限制访问
第二VLAN端口的政策是，在VLAN绿色指定的设备只能连接到4 / 8端口的VMPS客户端的IP地址198.92.30.32地址
第三端口的VLAN策略的VLAN中指定的设备可以连接到紫色的VMPS客户198.4.254.22 1 / 2端口和portgroup2端口在端口VLAN名称purpledevice组198.4.254.22港粮农/10port组IP地址；执行row创建VMPS数据库文件，这本书的第一章介绍上传TFTP或RCP文件到一个TFTP或RCP服务器，然后可以作为闪存下载到VMPS服务器交换机