在一些规模适中的公司里面,员工可能在不同的写字楼的楼层里面抱着笔记本频繁奔波于不同部门或会议室,当他们要访问本部门的服务器的时候,如果不在自己部门的VLAN里面访问台式机的文件,就会出现拒绝访问的后果,很多人需要跑回原来的办公室才能取回文件。
此时管理员可以采用动态VLAN的方法,将这些笔记本的MAC地址记录下来,通过MAC地址划分VLAN。不论他们在那个办公环境中,都可以被分配到正确的VLAN里面。本文将介绍VMPS,即VLAN Management Policy Server是如何解决此类应用的配置难题。
一.动态VLAN凭什么能解决问题
动态的VLAN形成很简单,由交换机端口自己决定它属于哪个VLAN时,就形成了动态的VLAN。其实,动态的VLAN就是一个简单的映射,这个映射取决于工程师创建的MAC数据库文件。分配给动态VLAN的端口被激活后,交换机就缓存初始帧的源M A C地址。随后,交换机便向一个称为VMPS (VLAN管理策略服务器)的外部服务器发出请求,VMPS中包含一个文本文件,文件中存有进行VLAN映射的M A C地址。交换机对这个文件进行下载,然后对文件中的M A C地址进行校验。如果在文件列表中找到M A C地址,交换机就将端口分配给列表中的VLAN。
如果列表中没有M A C地址,交换机就将端口分配给默认的VLAN(假设已经定义默认了VLAN)。在动态VLAN中,如果在列表中没有M A C地址,而且也没有定义默认的VLAN,端口不会被激活,这是维护网络安全一种非常好的的方法。
VMPS即VLAN Management Policy Server,是一种基于源MAC地址动态的、在交换机端口上划分VLAN的方法。当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN。不过基于CISCO IOS系列中低端交换不支持一般不支持VMPS的功能,它只能成为VLAN查询协议(VLAN Query Protocol)的客户机。
一旦启动了VMPS,包含MAC地址到VLAN映射的数据库就会从TFTP服务器下载到VMPS服务器。然后,VMPS使用UDP端口监听来自VQP客户机的请求。当VMPS服务器收到来自VMPS客户机的请求后,它将在本地数据库里查找MAC地址到VLAN的映射条目信息。VMPS将对请求进行响应,如果被指定的VLAN局限于一组端口,VMPS将验证对发出请求的端口进行验证:
* 如果请求端口的VLAN被允许的,VMPS向客户发送VLAN的名称;
* 如果请求端口的VLAN不与允许的,并且VMPS不是处于安全模式,VMPS将发送“access-denied”访问被拒绝的信息;
* 如果请求端口的VLAN不与允许的,但VMPS处于安全模式,VMPS将发送“port-shutdown”端口关闭的信息。
另外,如果数据库里的VLAN信息和端口的当前VLAN信息不匹配,并且该端口连接的有活动主机,VMPS将发送“access-denied”、“fallback VLAN name”或者“port-shutdown”、“new VLAN name”信息。如果交换机从VMPS那里收到“access-denied”的信息,交换机将堵塞来自该MAC地址,前往或从该端口返回的流量,交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向VMPS发出查询信息.如果交换机从VMPS那里收到“port-shutdown”信息。
注意:交换机将禁用该端口,必须手工的将该端口启用才能正式使用。
二:深入动态VLAN技术内幕
VMPS有Open、Secure、Multiple 三种运行模式:
