什么是动态VLAN

1、什么是动态 vlan动态的vlan 形成很简单，由端口自己决定它属于哪个vlan 时，就形成了动态的vlan 。不过，这不是 terminator，也不是变成非小说文学的theforbinproject，它是一个简单的映射，这个映射取决于工程师创建的数据库。分配给动态vlan 的端口被激活后，交换机就缓存初始帧的源mac 地址。随后，交换机便向一个称为vmps(vlan 管理策略服务器)的外部服务器发出请求，vmps 中包含一个文本文件，文件中存有进行vlan 映射的 mac 地址。 交换机对这个文件进行下载，然后对文件中的mac 地址进行校验。如果在文件列表中找到mac 地址，交换机就将端口

2、分配给列表中的vlan 。 如果列表中没有mac 地址，交换机就将端口分配给默认的vlan( 假设已经定义默认了vlan) 。如果在列表中没有mac 地址， 而且也没有定义默认的vlan ，端口不会被激活。这是维护网络安全一种非常好的的方法。20.3.1 vmps操作当使用 vmps 的时候，要从 tftp 服务器上下载一个mac 地址到 vlan 映射的数据库到vmps 服务器 ( 实质为一台 catylsyt交换机 ) 。此后 vmps 就可以接受用户请求了。如果所分配的vlan 被限制在一组端口范围内，vmps 确认发起请求的端口是否在这个组内，并作如下响应 : 1. 如果 vlan 在

3、该端口是允许的，vmps 向客户返回vlan 的名字2. 如果 vlan 在该端口是不允许的，vmps 不处于安全模式，这时拒绝接入响应3. 如果此 vlan在该端口是不允许的，并且vmps 处于安全模式，vmps 发出端口关闭响应如果数据库内的vlan 与该端口上当前的vlan 不匹配，并且该端口上有活动主机，vmps 会视vmps 的安全模式发出拒绝或端口关闭响应。如果交换机从vmps 服务器端接收到拒绝接入响应，将会阻止由该 mac 地址发往此端口或者从这个端口来的童心。交换机将继续监控发往该端口的德分组，并在发现新的地址时向 vmps 或者从这个端口来的通信。如果交换机从vmps 服务

4、器接收到端口关闭响应，将会立刻关闭端口，并只能手工重新启用。.可以配置一个fallback vlan的名字，如果配置连接到网络上并且其mac 地址不再数据库中，vmps 会将 fallback vlan 的名字发给客户端，如果不配置fallback vlan，mac地址也不在数据库中，vmps 将会发出拒绝响应，如果vmps 处于安全模式，将会关闭端口。出于安全的原因，可以在配置表中显式的天价条目，拒绝待定mac 地址的访问，具体方法是将此mac 地址对应的vlan 名字指定为关键字-none- ，这样， vmps 就会发出拒绝接入或端口关闭响应。交换机上的动态端口仅属于一个vlan ，当链路

5、up 后，交换机只能在vmps 服务器提供vlan 分配后才会转发来自或者发往此端口的通信，vmps 客户端从连接到动态端口的新主机发送的首个分组中获得源mac ，并尝试通过发往vmps 服务器的 vqp 请求，在 vmps 数据库中找到与之匹配的vlan 。cisco catalyst 2950和 3550 允许多台同属于一个vlan的主机连接在一个动态端口上，如果活动主机大于 20 台，vmps 将把接口关闭， 如果动态端口上的连接中断，断口返回隔离状态并不属于一个vlan 。对连接 doa 该端口的任何主机，在将端口分配给某个vlan之前，要通过vmps 重新检查。20.3.2 vmps

6、数据库配置将 vmps 客户配置为动态时，有一些限制。在位动态端口指定vlan成员身份时采用下面原则：1 将端口配置为动态之前，必须先配置vmps 2 vmps 客户端必须与vmps 服务器处于同一个vtp 管理域中3 vmps 客户端必须与vmps 服务器同属于一个管理vlan 4 如果将端口配置为动态，会自动在该端口启动stp 的 portfast功能5 如果将一个端口由静态配置为同一个vlan 中的动态端口，端口会立即连接到此vlan 上，直到 vmps为动态端口上特定的主机的合法性检查数据库。6 静态端口不可以改变为动态端口7 静态的 trunk不可以改变为动态端口8 ethercha

7、nnel内的物理端口不能被配置为动态端口9 如果有过多的活动主机连接到端口中，vmps会关闭动态端口vmps 数据库配置文件必须放置在tfp 服务器上，vmps 数据库配置文件是一个ascii码的文本文件。如下是一个标准的vmps 数据库配置文件注意，在配置vmps 数据库时，由于vmps 解析器是line-based 的，所以配置时要以vmps 开头，防止 vmps服务器错误的读取其他类型的配置文件. 20.3.3 vmps 服务器配置通常， vmps 服务器仅在catalyst 5500/6500等高端交换机上支持，配置方式如下set vmps downloadmethod rcp | t

8、ftp username set vmps downloadserver ip_addr filename set vmps state enable 20.3.4 openvmpsd 同时可以采用vmps for linux 实现 vmps 服务器。1 访问 http:/ 下载 open vmpsd 2 在 linux中tar vzxf vmpsd-1.3.tar .gz 解压文件3 ./configuae 配置4make 5make install 6 配置vmps数据库7 运行 vmpsd ( vmpsd d a ip-addr l 0 x0004 f vmps.db 8 如果需要启动l

9、inux服务器时加载vmps可以在/etc/rc.local 中加入 vmpsd 其他 vmpsd 的配置信息如下synopsis vpmsd -d -a address -f file -l level -p port options -a bind address ip address to bind vmpsd to. requests from clients must come in on this address. -d causes vmpsd to stay in the foreground instead of detaching as a daemon. also log

10、s to stderr. -f config file specify the configuration file that vmpsd will use. the program will fail without this option, as currently there is no default set. -l log level set the log level vmpsd will use. options are: 0 x0100 - fatal errors only 0 x0200 - informational messages 0 x0400 - print wa

11、rnings 0 x0800 - print debug messages; very verbose 0 x0001 - system 0 x0002 - parser 0 x0004 vqp -p listener port port vmpsd will listen on. defaults to 1589. files vmps.db 20.3.5 vmps 客户端配置switch(config)#vmps server ipaddress primary switch(config)#vmps server ipaddress / 可以设置 3 个备份 vmps服务器switch(

12、config)#interface fa0/1 switch(config-if)# switchport mode access switch(config-if)# switchport access vlan dynamic 20.3.6 vmps 检查vmps reconfirm minutes 重新配置时间间隔vmps retry number-of-retries 重试次数clear vmps server 清除 vmps服务器 . clear vmps statistics 清除 vmps统计show vmps 察看 vmps状态show vmps mac show vmps s

13、tatistics show vmps vlan vlan-name show vmps vlanports vlan-name 20.4 trunking 汇聚链接 (trunk link)指的是能够转发多个不同vlan 的通信的端口。如上图。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个vlan 的特殊信息。通过汇聚链路时附加的 vlan 识别信息，有可能支持标准的“ieee 802.1q” 协议，也可能是cisco 产品独有的“ isl(inter switch link)”。如果交换机支持这些规格，那么用户就能够高效率地构筑横跨多台交换机的vlan 。另外，汇聚链路上流通着多个v

14、lan 的数据，自然负载较重。因此，在设定汇聚链接时，有一个前提就是必须支持100mbps以上的传输速度。另外，默认条件下，汇聚链接会转发交换机上存在的所有vlan 的数据。换一个角度看，可以认为汇聚链接 ( 端口 )同时属于交换机上所有的vlan 。由于实际应用中很可能并不需要转发所有vlan 的数据，因此为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的vlan 。20.4.1 trunk类型cisco 支持多种trunk方式 ( 即对 vlan 帧标识 ) ：1. isl cisco 专有封装协议，也是默认的。前面加26 字节，后面加4 字节 f

15、cs。2. ieee 802.1q ieee标准方法，在帧头写入vlan 信息，后面只增加4 字节 fcs 。3. 802.10 fddi 上传输 vlan 信息的 cisco 专有协议，把vlan 信息写入 said 安全关联标识符部分4. lane 基于 atm 上传输 vlan 信息的一种ieee 标准方法。帧标记和封装方法20.4.2 isl isl ，是 cisco 产品支持的一种与ieee802.1q 类似的、用于在汇聚链路上附加vlan 信息的协议。使用 isl 后，每个数据帧头部都会被附加26 字节的 “isl包头 (isl header) ” ，并且在帧尾带上通过对包括 is

16、l 包头在内的整个数据帧进行计算后得到的4 字节 crc 值。换而言之，就是总共增加了30 字节的信息。在使用isl 的环境下，当数据帧离开汇聚链路时，只要简单地去除isl 包头和新 crc 就可以了。由于原先的数据帧及其crc 都被完整保留，因此无需重新计算crc 。isl 有如用 isl 包头和新crc 将原数据帧整个包裹起来，因此也被称为“ 封装型 vlan(encapsulated vlan) ” 。并且由于isl 是 cisco 独有的协议，因此只能用于cisco 网络设备之间的互联。20.4.3 ieee 802.1q ieee802.1q，俗称 “ dot one q”，是经过

17、ieee 认证的对数据帧附加vlan 识别信息的协议。ieee802.1q所附加的vlan 识别信息，位于数据帧中“ 发送源 mac 地址 ” 与“ 类别域 (type field)”之间。具体内容为2 字节的tpid 和 2 字节的 tci ，共计 4 字节。在数据帧中添加了4 字节的内容，那么crc 值自然也会有所变化。这时数据帧上的crc 是插入tpid 、tci 后，对包括它们在内的整个数据帧重新计算后所得的值。而当数据帧离开汇聚链路时，tpid 和 tci 会被去除，这时还会进行一次crc 的重新计算。tpid 的值，固定为0 x8100。交换机通过tpid ，来确定数据帧内附加了基

18、于ieee802.1q 的 vlan 信息。而实质上的vlan id ， 是 tci 中的 12 位元。由于总共有12 位， 因此最多可供识别4096个 vlan 。基于 ieee802.1q附加的 vlan 信息，就像在传递物品时附加的标签。因此，它也被称作“ 标签型vlan(tagging vlan)” 。nativevlan 802.1q-trunk为转发未被标记的frame而定义了native vlan。交换机能够从未被标记的trunk 上的 nativevlan 转发 2 层 frame ，接受方将把所有的未标记frame 转发到nativevlan中。如果是 isl ，则没被封装的

19、frame 将会丢弃，包括nativevlan，所有的数据将被封装baby giant frame 原始以太网帧大小不超过1518字节，如果一个最大长度的帧是通过802.1q来标记得，那么这个帧变成 1522字节，这种大于1500小于 2000的帧被成为小巨人帧。20.4.4 ieee 802.10 ieee802.10 标准定义两种策略，在城域网(man) 或广域网 (wan) 骨干上桥连vlan ，以支持vlan 之间的通信。这些策略为交换和路由提供vlan 支持。 ieee802.10 标准，在源mac 地址和离开交换机之前的 fddi帧的链路服务访问点(linkserviceacces

20、spoint,lsap)字段之间，实现一个vlanid 。该vlanid 是报文头中的4 个字节。接收交换机检查头，并检测交换机内是否存在vlanid 。如果存在，它删除ieee802.10头，将帧转发到匹配vlanid的接口。每个端用户接口只允许一个vlanid 。连接到 man或wan fddi网络的接口被认为是vlan 骨干 (trunk)，支持多个vlanid 。20.4.5 lane lane 的功能是在atm 网络上仿真lan ，lane 协议定义了仿真ieee 802.3 以太网或 802.5 令牌环网的机制。 lane 协议定义了与现有lan 给网络层提供的服务相同的接口，在a

21、tm 网络中传输的数据以相应的 lan mac分组格式封装。atm lane是专为 lan 接入而设置的，意即atm 的局域网仿真 (lan emulation)。对传统 ip 终端而言， atm 网络就像是一个局域网，其中包含若干由路由器连接起来的ip 子网。a. lane 支持多种协议 (mpoa ：multi-protocol over atm)传送，允许不同的lane 之间的互联；b. 充分支持 lan 中的无连接特性；c. 支持单播、多播及广播传送；d. 基于客户端 / 服务器模式 (client/server)，一个 lane 服务器可对多个lane 客户端。每个 elan(emu

22、lated lan)由一组 lane 客户 (lec) 和 lane 服务构成。lec 还可以是作为atm 主机代理的网桥和路由器。 le 服务由三个不同的功能实体构成：lan 仿真配置服务器 (lecs) 、 lan 服务器 (les) 和 bus ，这三个服务实体可以各自存在，但通常位于同一设备，例如：les 可以位于atm 交换机、路由器、网桥和工作站。atm lane的构成及相互关系如下 . (1) lane客户端 (lec ：lane client) 在 atm 终端系统上仿真以太网或令牌环网结点，至少得绑定一个mac 地址，其功能是封装 ip 数据报交给 atm 网传送，同时转译a

23、tm 分组，重新组成ip 数据报。(2) lane服务器 (les ：lane server) 提供 mac 地址得注册和解析手段响应 lec 的上述请求一个 lane 中只有一个les (3) lane广播和未知服务器(bus ：broadcast & unknown server) 仿真传统 lan 的广播机制在 lec 间直接链路建立前单播lec 数据一个 lane 中只有一个bus (4) lane 配置服务器 (lecs ：lane configuration server) 维护一个 atm 网络中多个lane 内的 lec、les 和 bus 的配置信息为每个 lec 提

24、供其所属les 的 atm 地址因为 lane 提供与现有mac 协议给网络层提供的驱动相同的服务接口，不需要改变该驱动，这将加速 atm 的发展和应用。但是， lane 的功能是使atm 的特性对高层协议透明，因此它使高层协议不能利用 atm 固有的优点， 尤其是其服务质量保证。尽管 lane 提供在atm 网络子网内桥接的有效方式，但子网间的业务仍需要通过路由器转发，因此，atm 路由器很可能成为瓶颈。20.4.6 配置 trunk 首先，将端口模式改为trunk, switch(config-if)#switchport mode trunk switch(config-if)#swit

25、chport trunk ? allowed set allowed vlan characteristics when interface is in trunking mode encapsulation set trunking encapsulation when interface is in trunking mode native set trunking native characteristics when interface is in trunking mode pruning set pruning vlan characteristics when interface

26、 is in trunking mode 在 3550等能够支持isl 和 dot1q 两种封装的机器上，需要先设置封装模式如下所示，先配置mode trunk 3550-switch(config-if)#switchport mode trunk command rejected: an interface whose trunk encapsulation is auto can not be configured trunk mode. 封装类型可以设置为isl ，dot1q或者自动协商3 种模式switch(config-if)#switchport trunk encapsulat

27、ion ? dot1q interface uses only 802.1q trunking encapsulation when trunking isl interface uses only isl trunking encapsulation when trunking negotiate device will negotiate trunking encapsulation with peer on interface 默认情况下 trunk允许所有的vlan 通过，此时可以通过switch(config-if)# switchport trunk allowed vlan vl

28、an-list | all switch(config-if)# switchport trunk allowed vlan add | except | remove vlan-list vlan 的允许通过通常用在一些特殊的情况，例如，在右图中，交换机间有2 条链路，要做基于vlan 通过限制的负载均衡，在一条链路上承载vlan 2,3 的流量，另一条链路上承载vlan 4,5的流量。switch(config)# int fa0/1 switch(config-if)# switchport trunk allowed vlan 2-3 switch(config-if)# switch

29、port trunk except vlan 4-5 switch(config)# int fa0/2 switch(config-if)# switchport trunk allowed vlan 4-5 switch(config-if)# switchport trunk except vlan 2-3 20.5 dtp动态中继协议dtp (dynamic trunking protocol), 用来动态协商端口类型为access 或者 trunk 。 要完成自动协商，2 端口必须在同一个vtp domain 中。每 30s 发送一次 dtp 的 frame. 该协议仅在交换机间协商

30、。20.5.1 配置 dtp 3550和 2950支持的端口模式如下3550-switch(config-if)#switchport mode ? access set trunking mode to access unconditionally dot1q-tunnel set trunking mode to dot1q tunnel unconditionally dynamic set trunking mode to dynamically negotiate access or trunk mode trunk set trunking mode to trunk uncond

31、itionally 2950-switch(config-if)#switchport mo ? access set trunking mode to access unconditionally dynamic set trunking mode to dynamically negotiate access or trunk mode trunk set trunking mode to trunk unconditionally 端口模式可以配置为如下5 种模式例如，在动态模式下关闭协商，系统会提示冲突2950-switch(config-if)#switchport nonegotiate command rejected: conflict between nonegotiate and dynamic status. 20.5.2 d