VLAN Membership Policy Server (VMPS),在交换机上常用来做为配置动态VLAN。因为最近一直打算做动态VLAN,所以准备些资料。
vmps server配置
为了使用VMPS,你首先要建立VMPS的数据库(也就是一个文本文件)并把它保存在一个TFTP服务器上。VMPS的格式是基于行的。每一行都是一个开始。可以参考在文章的结尾的示例。
VMPS数据库包括五部分。
第一部分,全局设置。包括VMPS的domain name,security mode,fallback vlan,以及VMPS的策略、VTP的域名失配(domain name mismatches)
配置文件以“VMPS”开头,为了避免同其它类型的存在于TFTP服务器上文件被VMPS错误的读取。
定义VMPS域。VMPS域应该同交换机上的VTP域名对应。
定义安全模式。VMPS能够以OPEN或者SECURE的模式工作。如果你把它设置在OPEN模式工作,VMPS会对未授权的MAC地址返回拒绝,对没有列在列在VMPS数据库中的MAC地址返回一个fallback的VLAN。在安全模式,VMPS对于未授权或者没有列在数据库的MAC地址都会关闭相应的端口。
(可选)定义一个fallback的VLAN.FALLBACK的VLAN是分配给那些没有在VLAN数据库中没有定义MAC地址的主机.
在文章结尾的例子中,VMPS域名是WBU,VMPS的模式设置为OPEN,FALLBACK的VLAN设置为缺省的VLAN(一般情况会VLAN 0,也就是没有分配).如果VTP的域名同VMPS的域名没有匹配,那么VMPS会发送一个访问拒绝的应答信息.
第二部分:MAC地址,MAC地址的列表和为每个VLAN分配的VLAN名称.
输入每台主机的MAC地址和它发球的VLAN名称.
使用--NONE--关键字指定那些拒绝的主机VLAN所属.
在思科的catalyst 2948G交换机上,你可以在VMPS数据库中输入多达21,051个MAC地址.
在文章末尾的例子中,MAC地址被列在MAC表中.注意,MAC地址fedc.ba98.7654 i被设置为--NONE--,这样一来,这台主机就不会接入网络.
第三部分,端口组,它是你打算把一些把网络中的交换机的端口分配到一起的组.你可以在定义VLAN端口策略时使用端口组.
为每一个端口组定义一个端口组名;然后把那些你打算归为一组的端口加入.
端口通过交换机的IP地址和模块/端口数识别.在这里不能使用范围(象0-10)
可以使用all-ports关键字来指定特定交换机的所有的端口.
在文章结尾的例子中,分成了两个端口组.
wiringcloset1包括两个端口:VMPS客户端198.92.30.32的3/2端口和VMPS客户端172.20.26.141
2/8端口
executive包括三个端口:198.4.254.222的port 1/2 和 1/3, 198.4.254.223 上的所有端口\
第四部分:VLAN组,把你想要联系在一起的VLAN列在一起.你可以在定义VLAN端口策略时使用它.
定义VLAN名称;然后把你想划分在一起的VLAN列在一起.
你能够在catalyst 2948G的一个VMPS数据库文件中输入最多256个VLAN.
在例子中,建立了一个engineering组,它由硬件和软件构成.
第五部分,VLAN端口策略,它是一些VLAN端口的策略集,来使用端口组和VLAN组一起来进一步实现网络访问的限制.
你可以限制一个MAC地址访问一定的端口组和VLAN组.
例子中使用的三个VLAN端口策略.
在第一个VLAN端口策略中,VLAN的硬件或者软件被限制端口3/2在VMPS客户端198.92.30.32,端口2/8 在 VMPS客户端 172.20.23.141.
在第二个VLAN端口策略中,在VMPS客户端VLAN GREEN指定的设备公能够连接在端口4/8
在第三个VLAN策略中,在PURPLE VLAN中,VMPS客户端192.4.254.22上设备公能够连接在1/2或者在端口组executive中指定的端口
下面就是一个VMPS数据库文件的示例
!Section 1: GLOBAL SETTINGS
!VMPS File Format, version 1.1
! Always begin the configuration file with
! the word "VMPS"
!
!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode {open | secure}
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain WBU
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
!Section 2: MAC ADDRESSES
!MAC Addresses
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
address 0012.2233.4455 vlan-name hardware
address 0000.6509.a080 vlan-name hardware
address aabb.ccdd.eeff vlan-name Green
address 1223.5678.9abc vlan-name ExecStaff
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name Purple
!
!Section 3: PORT GROUPS
!Port Groups
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group WiringCloset1
device 198.92.30.32 port 3/2
device 172.20.26.141 port 2/8
vmps-port-group "Executive Row"
device 198.4.254.222 port 1/2
device 198.4.254.222 port 1/3
device 198.4.254.223 all-ports
!
!Section 4: VLAN GROUPS
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group Engineering
vlan-name hardware
vlan-name software
!
!Section 5: VLAN PORT POLICIES
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group Engineering
port-group WiringCloset1
vmps-port-policies vlan-name Green
device 198.92.30.32 port 4/8
vmps-port-policies vlan-name Purple
device 198.4.254.22 port 1/2
port-group "Executive Row"
vmps server配置
为了使用VMPS,你首先要建立VMPS的数据库(也就是一个文本文件)并把它保存在一个TFTP服务器上。VMPS的格式是基于行的。每一行都是一个开始。可以参考在文章的结尾的示例。
VMPS数据库包括五部分。
第一部分,全局设置。包括VMPS的domain name,security mode,fallback vlan,以及VMPS的策略、VTP的域名失配(domain name mismatches)
配置文件以“VMPS”开头,为了避免同其它类型的存在于TFTP服务器上文件被VMPS错误的读取。
定义VMPS域。VMPS域应该同交换机上的VTP域名对应。
定义安全模式。VMPS能够以OPEN或者SECURE的模式工作。如果你把它设置在OPEN模式工作,VMPS会对未授权的MAC地址返回拒绝,对没有列在列在VMPS数据库中的MAC地址返回一个fallback的VLAN。在安全模式,VMPS对于未授权或者没有列在数据库的MAC地址都会关闭相应的端口。
(可选)定义一个fallback的VLAN.FALLBACK的VLAN是分配给那些没有在VLAN数据库中没有定义MAC地址的主机.
在文章结尾的例子中,VMPS域名是WBU,VMPS的模式设置为OPEN,FALLBACK的VLAN设置为缺省的VLAN(一般情况会VLAN 0,也就是没有分配).如果VTP的域名同VMPS的域名没有匹配,那么VMPS会发送一个访问拒绝的应答信息.
第二部分:MAC地址,MAC地址的列表和为每个VLAN分配的VLAN名称.
输入每台主机的MAC地址和它发球的VLAN名称.
使用--NONE--关键字指定那些拒绝的主机VLAN所属.
在思科的catalyst 2948G交换机上,你可以在VMPS数据库中输入多达21,051个MAC地址.
在文章末尾的例子中,MAC地址被列在MAC表中.注意,MAC地址fedc.ba98.7654 i被设置为--NONE--,这样一来,这台主机就不会接入网络.
第三部分,端口组,它是你打算把一些把网络中的交换机的端口分配到一起的组.你可以在定义VLAN端口策略时使用端口组.
为每一个端口组定义一个端口组名;然后把那些你打算归为一组的端口加入.
端口通过交换机的IP地址和模块/端口数识别.在这里不能使用范围(象0-10)
可以使用all-ports关键字来指定特定交换机的所有的端口.
在文章结尾的例子中,分成了两个端口组.
wiringcloset1包括两个端口:VMPS客户端198.92.30.32的3/2端口和VMPS客户端172.20.26.141
2/8端口
executive包括三个端口:198.4.254.222的port 1/2 和 1/3, 198.4.254.223 上的所有端口\
第四部分:VLAN组,把你想要联系在一起的VLAN列在一起.你可以在定义VLAN端口策略时使用它.
定义VLAN名称;然后把你想划分在一起的VLAN列在一起.
你能够在catalyst 2948G的一个VMPS数据库文件中输入最多256个VLAN.
在例子中,建立了一个engineering组,它由硬件和软件构成.
第五部分,VLAN端口策略,它是一些VLAN端口的策略集,来使用端口组和VLAN组一起来进一步实现网络访问的限制.
你可以限制一个MAC地址访问一定的端口组和VLAN组.
例子中使用的三个VLAN端口策略.
在第一个VLAN端口策略中,VLAN的硬件或者软件被限制端口3/2在VMPS客户端198.92.30.32,端口2/8 在 VMPS客户端 172.20.23.141.
在第二个VLAN端口策略中,在VMPS客户端VLAN GREEN指定的设备公能够连接在端口4/8
在第三个VLAN策略中,在PURPLE VLAN中,VMPS客户端192.4.254.22上设备公能够连接在1/2或者在端口组executive中指定的端口
下面就是一个VMPS数据库文件的示例
!Section 1: GLOBAL SETTINGS
!VMPS File Format, version 1.1
! Always begin the configuration file with
! the word "VMPS"
!
!vmps domain <domain-name>
! The VMPS domain must be defined.
!vmps mode {open | secure}
! The default mode is open.
!vmps fallback <vlan-name>
!vmps no-domain-req { allow | deny }
!
! The default value is allow.
vmps domain WBU
vmps mode open
vmps fallback default
vmps no-domain-req deny
!
!Section 2: MAC ADDRESSES
!MAC Addresses
vmps-mac-addrs
!
! address <addr> vlan-name <vlan_name>
!
address 0012.2233.4455 vlan-name hardware
address 0000.6509.a080 vlan-name hardware
address aabb.ccdd.eeff vlan-name Green
address 1223.5678.9abc vlan-name ExecStaff
address fedc.ba98.7654 vlan-name --NONE--
address fedc.ba23.1245 vlan-name Purple
!
!Section 3: PORT GROUPS
!Port Groups
!vmps-port-group <group-name>
! device <device-id> { port <port-name> | all-ports }
!
vmps-port-group WiringCloset1
device 198.92.30.32 port 3/2
device 172.20.26.141 port 2/8
vmps-port-group "Executive Row"
device 198.4.254.222 port 1/2
device 198.4.254.222 port 1/3
device 198.4.254.223 all-ports
!
!Section 4: VLAN GROUPS
!VLAN groups
!
!vmps-vlan-group <group-name>
! vlan-name <vlan-name>
!
vmps-vlan-group Engineering
vlan-name hardware
vlan-name software
!
!Section 5: VLAN PORT POLICIES
!VLAN port Policies
!
!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }
! { port-group <group-name> | device <device-id> port <port-name> }
!
vmps-port-policies vlan-group Engineering
port-group WiringCloset1
vmps-port-policies vlan-name Green
device 198.92.30.32 port 4/8
vmps-port-policies vlan-name Purple
device 198.4.254.22 port 1/2
port-group "Executive Row"