动态VLAN的方法.docx

此时管理员可以采用动态VLAN的方法，将这些笔记本的MAC地址记录下来，通过MAC地址划分VLAN。不论他们在那个办公环境中，都可以被分配 到正确的VLAN里面。本文将介绍VMPS，即VLAN Management Policy Server是如何解决此类应用的配置难题。一．动态VLAN凭什么能解决问题？　动态的VLAN形成很简单，由交换机端口自己决定它属于哪个VLAN时，就形成了动态的VLAN。其实，动态的VLAN就是一个简单的映射，这 个映射取决于工程师创建的MAC数据库文件。分配给动态VLAN的端口被激活后，交换机就缓存初始帧的源M A C地址。随后，交换机便向一个称为VMPS （VLAN管理策略服务器）的外部服务器发出请求，VMPS中包含一个文本文件，文件中存有进行VLAN映射的M A C地址。交换机对这个文件进行下载，然后对文件中的M A C地址进行校验。如果在文件列表中找到M A C地址，交换机就将端口分配给列表中的VLAN。　　如果列表中没有M A C地址，交换机就将端口分配给默认的VLAN（假设已经定义默认了VLAN）。在动态VLAN中，如果在列表中没有M A C地址，而且也没有定义默认的VLAN，端口不会被激活，这是维护网络安全一种非常好的的方法。　　VMPS即VLAN Management Policy Server，是一种基于源MAC地址动态的、在交换机端口上划分VLAN的方法。当某个端口的主机移动到另一个端口后，VMPS动态的为其指定 VLAN。不过基于CISCO IOS系列中低端交换不支持一般不支持VMPS的功能，它只能成为VLAN查询协议（VLAN Query Protocol）的客户机。　一旦启动了VMPS，包含MAC地址到VLAN映射的数据库就会从TFTP服务器下载到VMPS服务器。然后，VMPS使用UDP端口监听来自 VQP客户机的请求。当VMPS服务器收到来自VMPS客户机的请求后，它将在本地数据库里查找MAC地址到VLAN的映射条目信息。VMPS将对请求进 行响应，如果被指定的VLAN局限于一组端口，VMPS将验证对发出请求的端口进行验证：* 如果请求端口的VLAN被允许的，VMPS向客户发送VLAN的名称；* 如果请求端口的VLAN不与允许的，并且VMPS不是处于安全模式，VMPS将发送“access-denied”访问被拒绝的信息；* 如果请求端口的VLAN不与允许的，但VMPS处于安全模式，VMPS将发送“port-shutdown”端口关闭的信息。　另外，如果数据库里的VLAN信息和端口的当前VLAN信息不匹配，并且该端口连接的有活动主机，VMPS将发送“access- denied”、“fallback VLAN name”或者“port-shutdown”、“new VLAN name”信息。如果交换机从VMPS那里收到“access-denied”的信息，交换机将堵塞来自该MAC地址，前往或从该端口返回的流量，交换机 将继续监视去往该端口的数据包，并且当交换机识别到一个新的地址后，它会向VMPS发出查询信息.如果交换机从VMPS那里收到“port- shutdown”信息。　注意：交换机将禁用该端口，必须手工的将该端口启用才能正式使用。二：深入动态VLAN技术内幕　VMPS有Open、Secure、Multiple 三种运行模式：1．Open模式　当端口未指定VLAN时，如果该端口的MAC地址与之相关联的VLAN信息被许可，VMPS将向客户返回VLAN名；如果该端口的MAC地址与之相关联的VLAN信息不被许可，VMPS将向客户返回“access-denied”信息。　当端口已经指定VLAN时，如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配，并配置的有fallback VLAN（后备VLAN）名，那么VMPS将返回fallback VLAN名给客户机；如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配，并没有配置fallback VLAN名，那么VMPS将返回“access-denied”信息给客户机。2．Secure模式　当端口未指定VLAN时，.如果该端口的MAC地址与之相关联的VLAN信息被许可，VMPS将向客户返回VLAN名；如果该端口的MAC地址与之相关联的VLAN信息不被许可，端口将被关闭。　当端口已经指定VLAN时，如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配，即使有配置fallback VLAN名，端口仍将被关闭。3．Multiple模式　当多个MAC地址处于同一VLAN的时候，多个MAC地址可以对应一个动态端口。如果动态端口的链路关闭，端 口将被还原成未指定状态