CATALYST VMPS介紹：全面接觸VMPS技術，包括VMPS介紹有三種模式，當端口未指定VLAN和當端口已經指定VLAN兩種情況下的介紹。CATALYST 4500系列交換機動態VLAN與VMPS怎么配置呢?這個問題，本文以CISCO IOS版本12.2(31)SGA為例。

VMPS介紹:

VMPS介紹的是VLAN Membership Policy Server的簡稱.顧名思義,它是一種基于端口MAC地址動態選擇VLAN的集中化管理服務器.當某個端口的主機移動到另一個端口后,VMPS動態的為其指定VLAN.不過基于CISCO IOS的CATALYST 4500系列交換不支持VMPS的功能。

它只能做為VLAN查詢協議(VLAN Query Protocol)的客戶機,通過VQP的客戶機,可以和VMPS通信.如果要讓CATALYST 4500系列交換機支持VMPS的功能,那你應當使用CatOS(或選擇CATALYST 6500系列交換機hoho).

VMPS介紹使用UDP端口監聽來自VQP客戶機的請求,因此,VPMS客戶機也沒必要知道VMPS到底是位于本地網絡還是遠程網絡.當VMPS服務器收到來自VMPS客戶機的請求后,它將在本地數據庫里查找MAC地址到VLAN的映射條目信息.

VMPS介紹將對請求進行響應.如果被指定的VLAN局限于一組端口,VMPS將驗證對發出請求的端口進行驗證:

◆如果請求端口的VLAN被許可,VMPS向客戶發送VLAN做為響應.

◆如果請求端口的VLAN不被許可,并且VMPS不是處于安全模式(secure mode),VMPS將發送"access-denied"(訪問被拒絕)的信息做為響應.

◆如果請求端口的VLAN不被許可,但VMPS處于安全模式,VMPS將發送"port-shutdown"(端口關閉)的信息做為響應.

但如果數據庫里的VLAN信息和端口的當前VLAN信息不匹配,并且該端口連接的有活動主機,VMPS將發送"access-denied","fallback VLAN name"(后退VLAN名),"port-shutdown"或"new VLAN name"(新VLAN名)信息.至于發送何種信息取決于VMPS模式的設置.

如果交換機從VMPS那里收到"access-denied"的信息,交換機將堵塞來自該MAC地址,前往或從該端口返回的流量.交換機將繼續監視去往該端口的數據包,并且當交換機識別到一個新的地址后,它會向VMPS發出查詢信息.如果交換機從VMPS那里收到"port-shutdown"信息,交換機將禁用該端口,該端口必須通過命令行或SNMP重新啟用.

VMPS介紹有三種模式(但User Registration Tool,即URT,只支持open模式):
◆open模式.
◆secure模式.
◆multiple模式.
◆open模式:

當端口未指定VLAN:

◆如果該端口的MAC地址與之相關聯的VLAN信息被許可,VMPS將向客戶返回VLAN名.

◆如果該端口的MAC地址與之相關聯的VLAN信息不被許可,VMPS將向客戶返回"access-denied"信息.

當端口已經指定VLAN:

◆如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,并配置的有fallback VLAN名,那么VMPS將返回fallback VLAN名給客戶機.

◆如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,并沒有配置fallback VLAN名,那么VMPS將返回"access-denied"信息給客戶機.

secure模式當端口未指定VLAN:

◆如果該端口的MAC地址與之相關聯的VLAN信息被許可,VMPS將向客戶返回VLAN名.

◆如果該端口的MAC地址與之相關聯的VLAN信息不被許可,端口將被關閉.

當端口已經指定VLAN:

如果數據庫里的VLAN與MAC地址相關聯的信息和端口的當前VLAN關聯信息不匹配,即使有配置fallback VLAN名,端口仍將被關閉.

multiple模式:

當多個MAC地址(主機)處于同一VLAN的時候,多個MAC地址可以對應一個動態端口.如果動態端口的鏈路down掉,端口將被還原成未指定狀態,并且在指定VLAN之前,VMPS將對這些地址重新檢查;如果這些主機位于不同的VLAN,VMPS將向客戶返回最新的MAC地址到VLAN映射的信息.當然,你也可以在VMPS上指定fallback VLAN名.如果該端口未指定任何VLAN,VMPS將把端口和發起請求的MAC地址進行比較:

◆如果主機的MAC地址在數據庫中不存在,并且VMPS上指定的有fallback VLAN名,那么將向客戶機返回fallback VLAN名信息.

◆如果主機的MAC地址在數據庫中不存在,但VMPS上未指定fallback VLAN名,那么將向客戶機返回"access-denied"信息.

如果該端口已經指定任何VLAN,VMPS將把端口和發起請求的MAC地址進行比較:不管VMPS上有沒有配置fallback VLAN名,只要VMPS處于secure模式,那么它就將反饋"port-shutdown"信息給客戶機.有的時候我們也可能看到非法的VMPS客戶機請求,如下兩種:

◆當VMPS上未配置fallback VLAN名,并且數據庫里沒有相應的MAC地址到VLAN的映射信息.

◆當端口已經被指定了VLAN,并且VMPS不處于multiple模式,但是VMPS收到了第二個不同MAC地址的VMPS客戶機請求信息.