跟我学交换机配置(五)

以下内容摘自笔者最新图书《Cisco/H3C交换机配置与管理完全手册》。该书取得了互动出版网7天销售总榜的第1名.

本书在51CTO上的样章试读地址为：http://book.51cto.com/art/200908/142118.htm

 

8.6.5 配置VMPS数据库

VMPS 的用途就是用来创建动态的 VLAN 。而要创建动态 VLAN ，首先就是要配置 VMPS 数据库，然后依次配置 VMPS 服务器和客户机。

为了使用 VMPS ，你首先要建立 VMPS 的数据库（也就是一个文本文件）并把它保存在一个 TFTP 服务器上。 VMPS 的格式是基于行的。每一行都是一个开始。 VMPS 数据库文件包含如下五个部分：全局设置（ Global settings ）、 MAC 地址到 VLAN 的映射（ MAC address-to-VLAN name mappings ）、端口组（ Port groups ）、 VLAN 组（ VLAN groups ）和 VLAN 端口策略（ VLAN port policies ）。具体解释如下：

n         第一部分：全局设置（ Global settings ）

第一部分是列出 VMPS 域名、安全模式、 Fallback VLAN 名称，以及 VMPS 和 VTP 域名不匹配的策略。 VMPS 数据库文件是以 “VMPS” 开头的，以防止 VMPS 服务器错误地读取交换机上其他的配置文件。

在定义 VMPS 域时，应当正确输入在交换机上配置的 VTP 域名。

在定义安全模式时， VMPS 可以工作于安全模式或者开放模式。如果你设置为开放模式， VMPS 就会对未知的 MAC 地址返回一个拒绝访问的响应消息，而对于一个不在 VMPS 数据中的 MAC 地址，则返回一个 Fallback VLAN 名的消息进行响应。在安全模式中， VMPS 会对未知，或者不在 VMPS 数据库中的 MAC 地址会关闭所访问的端口。

Fallback VLAN 的定义是个可选项。它是为在连接主机的 MAC 地址不在数据库中，且 VMPS 工作于开放模式时准备的。

下面是本部分的一个示例： VMPS 域名为 GRFW ， VMPS 模式为开放模式， Fallback VLAN 为默认设置， VMPS 策略中在 VTP 域名与 VMPS 域名不匹配时发送访问拒绝（ access-denied ）消息进行响应。

vmps domain GRFW

vmps mode open

vmps Fallback default

vmps no-domain-req deny

n         第二部分： MAC 地址到 VLAN 的映射（ MAC address-to-VLAN name mappings ）

本部分列出 MAC 地址，以及每个 MAC 地址对应的 VLAN 名。可以使用 “NONE” 关键字作为 VLAN 名，以拒绝该 MAC 地址的主机与网络连接。在一个 VMPS 数据库中，你可以键入最多 21,051 条 MAC 地址。

下面是本部分的一个示例。 MAC 地址是在 MAC 地址表中一出的，注意其中的 “fedc.ba 98.7654” MAC 地址对应的 VLAN 名为 “NONE” ，也就是拒绝该 MAC 地址主机访问网络。

vmps-mac-addrs

address 0012.2233.4455 vlan-name hardware

address 0000.6509.a080 vlan-name hardware

address aabb.ccdd.eeff vlan-name Green

address 1223.5678.9abc vlan-name ExecStaff

address fedc.ba98.7654 vlan-name --NONE―

address fedc.ba23.1245 vlan-name Purple

n         第三部分：端口组（ Port groups ）

本部分列出了在你的网络中，你想要组合的不同交换机上的端口组。一相端口组就是一个端口的逻辑组合。你可以应用 VLAN 策略到一个个具体的端口上，或者端口组上。这在后面第五部分，定义 VLAN 策略时要用到。

要为每个端口组定义一个名称，然后列出所有包括在这个端口组中的端口，每条以 “device” 开头。端口是由交换机 IP 地址和模块 / 端口号定义的。在端口号中不允许使用范围。但可以使用 “all-ports” 关键字来指定特定交换机上的所有端口。

下面是本部分的一个示例，包括两个端口组 portgroup1 和 portgroup2 。端口组 portgroup1 包括两个端口，一个是在 IP 地址为 198.92.30.32 的 VMPS 客户机上的 3/2 端口，另一个是在 IP 地址为 172.20.26.141 的 VMPS 客户机上的 2/8 端口。

端口组 portgroup2 包括三个端口：其中两个是在 IP 地址为 198.4.254.222 的 VMPS 客户机上的 1/2 端口和 1/3 端口，另一个是在 IP 地址为 198.4.254.223 的 VMPS 客户机上的所有端口。

vmps-port-group portgroup1

device 198.92.30.32 port 3/2

device 172.20.26.141 port 2/8

 

vmps-port-group portgroup2

device 198.4.254.222 port 1/2

device 198.4.254.222 port 1/3

device 198.4.254.223 all-ports

n         第四部分： VLAN 组（ VLAN groups ）

本部分列出的是你想关联在一起的 VLAN 组。一个 VLAN 组也是一个 VLAN 的逻辑组合。 VLAN 策略可以应用到一个个具体的 VLAN 上，也可以应用互这些 VLAN 组上。这在后面第五部分，定义 VLAN 端口策略时也要用到。

首先定义 VLAN 组名，然后列出在 VLAN 组中的每个端口。你可以在一个 VMPS 服务器中键入最多 256 个 VLAN 。

下面是本部分的一个示例。示例中的 VLAN 组 “Engineering” 包含名为 “hardware” 和 “software” 的两个 VLAN 。

vmps-vlan-group Engineering

vlan-name hardware

vlan-name software

n         第五部分： VLAN 端口策略（ VLAN port policies ）

本部分列出了在本 VMPS 数据库文件中所定义的 VLAN 端口策略。它使用前面介绍的端口组和 VLAN 组来进一步限制对网络的访问，可以使用 MAC 地址和端口组，或者 VLAN 组来配置限制访问。每条策略都是以 “vmps-port-policies” 开头。

以下是本部分的一个示例。在这个示例中包含了三个 VLAN 端口策略：在第一个 VLAN 端口策略中，在 VLAN hardware 或者 VLAN software （都是名为 Engineering 的 VLAN 组成员）中的成员在 IP 地址为 198.92.30.32 的 VMPS 客户机 3/2 端口和 IP 地址为 172.20.23.141 的 VMPS 客户机 2/8 端口上是限制访问的。

第二个 VLAN 端口策略是指定在 VLAN Green 中的设备仅可以连接到 IP 地址为 198.92.30.32 的 VMPS 客户机的 4/8 端口上。

第三个 VLAN 端口策略是指定在 VLAN Purple 中的设备仅可以连接到 IP 地址为 198.4.254.22 的 VMPS 客户机的 1/2 端口和在 portgroup2 端口组中的端口。

vmps-port-policies vlan-group Engineering

port-group portgroup1

vmps-port-policies vlan-name Green

device 198.92.30.32 port 4/8

vmps-port-policies vlan-name Purple

device 198.4.254.22 port 1/2

port-group portgroup2

以下是思科网站上的一个 VMPS 数据库文件示例，编辑一下就可以成为自己 VMPS 数据库文件。

!vmps domain <domain-name>

! The VMPS domain must be defined.

!vmps mode { open | secure }

! The default mode is open.

!vmps Fallback <vlan-name>

!vmps no-domain-req { allow | deny }

!

! The default value is allow.

vmps domain WBU

vmps mode open

vmps Fallback default

vmps no-domain-req deny

!

!

!MAC Addresses

!

vmps-mac-addrs

!

! address <addr> vlan-name <vlan_name>

!

address 0012.2233.4455 vlan-name hardware

address 0000.6509.a080 vlan-name hardware

address aabb.ccdd.eeff vlan-name Green

address 1223.5678.9abc vlan-name ExecStaff

address fedc.ba98.7654 vlan-name --NONE--

address fedc.ba23.1245 vlan-name Purple

!

!Port Groups

!

!vmps-port-group <group-name>

! device <device-id> { port <port-name> | all-ports }

!

vmps-port-group WiringCloset1

 device 198.92.30.32 port Fa1/3

 device 172.20.26.141 port Fa1/4

vmps-port-group "Executive Row"

 device 198.4.254.222 port es5%Fa0/1

 device 198.4.254.222 port es5%Fa0/2

 device 198.4.254.223 all-ports

!

!VLAN groups

!

!vmps-vlan-group <group-name>

! vlan-name <vlan-name>

!

vmps-vlan-group Engineering

vlan-name hardware

vlan-name software

!

!VLAN port Policies

!

!vmps-port-policies {vlan-name <vlan_name> | vlan-group <group-name> }

! { port-group <group-name> | device <device-id> port <port-name> }

!

vmps-port-policies vlan-group Engineering

 port-group WiringCloset1

vmps-port-policies vlan-name Green

 device 198.92.30.32 port Fa0/9

vmps-port-policies vlan-name Purple

 device 198.4.254.22 port Fa0/10

 port-group "Executive Row"

VMPS 数据库文件创建好后，通过本书第一章介绍 TFTP 或者 RCP 方式上传该文件到一个 TFTP 或者 RCP 服务器上，然后再下载到担当 VMPS 服务器的交换机的闪存中即可。

本文出自 “王达博客” 博客，谢绝转载！