本站已运行

攻城狮论坛

IE-LAB

IE-LAB

作者: xiaocuo
查看: 125|回复: 14

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

2018新版 肖哥 华为HCNA HCNP安全入门课程视频教程2018新版 肖哥 华为HCNA HCNP安全入门课程视频教程
华为HCNP最新战报950分通过。迎战总结。H12-223华为HCNP最新战报950分通过。迎战总结。H12-223
大幅提升工作效率~SecureCRT 8.0安装 & 加载配色方案大幅提升工作效率~SecureCRT 8.0安装 & 加载配色方案
强大模拟器EVE-NG-PRO 永久免费使用版 无需license 附带使用视频教程强大模拟器EVE-NG-PRO 永久免费使用版 无需license 附带使用视频教程
EVE-NG-PRO永久试用版横空出世,Toolkit一键激活!EVE-NG-PRO永久试用版横空出世,Toolkit一键激活!
视频教程 看的见的算法 7个经典应用诠释算法精髓视频教程 看的见的算法 7个经典应用诠释算法精髓
EVE-NG-PRO专业版国内大神破解版-永久更新EVE-NG-PRO专业版国内大神破解版-永久更新
乾颐堂 最新 2018 CCNA安全课程视频教程分享  5天完整版 教主真人秀乾颐堂 最新 2018 CCNA安全课程视频教程分享 5天完整版 教主真人秀
INE出品Wireshark教程(初级) 国外英文培训视频 Wireshark抓包技术视频INE出品Wireshark教程(初级) 国外英文培训视频 Wireshark抓包技术视频
HCNP RS上海顺利通过!HCNP RS上海顺利通过!
新版视频 raspberry树莓派3b入门 小汽车 机械臂机器人 蓝牙 wifi新版视频 raspberry树莓派3b入门 小汽车 机械臂机器人 蓝牙 wifi
新版视频 raspberry树莓派3b入门传感器开发板套件学习视频教程新版视频 raspberry树莓派3b入门传感器开发板套件学习视频教程

[路由交换] 求助 动态VLAN的原理

[复制链接]
xiaocuo [VIP@钻石] 发表于 2018-3-22 11:48:11 | 显示全部楼层 |阅读模式
查看: 125|回复: 14
开通VIP 免金币+免回帖+批量下载+无广告
谁能说明白动态VLAN的VMPS服务器对于一个VQP协议查询的MAC地址是如何做出响应的。如果MAC地址是没有在vmps的数据库中,那么处于不同模式下的VMPS服务器如何处理这个查询。0 W1 u1 q. k& [5 Z, ~
还有就是如果一个端口已经动态分配了一个VLAN,但是连接在这个端口上的设备更换了,这个更换的设备的MAC地址在VMPS数据库中是关联着另一个VLAN的。那么这个端口的VLAN会更改为当前更换设备所关联的vlan吗?6 y2 `- ^: W( p" h$ I
求大神指点
) |, k3 g! H- ], z+ u6 i/ u- n# T. T
, y% R; w/ n6 o; b8 K; `0 E
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

感谢楼主 感谢攻城狮论坛 每天签到得积分(连续签到金币翻倍) 希望越办越好
回复 支持 反对

使用道具 举报

Rockyw [Lv10 举世无双] 发表于 2018-3-23 13:35:52 | 显示全部楼层
open模式: + _7 P7 s: m6 n+ G" }" S* L' E3 E
当端口未指定VLAN:
$ Z* j& m/ H; ?6 v ◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名. 5 F! t& d0 y, G
◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,VMPS将向客户返回"access-denied"信息.
" C" I' L) U; K! |9 {+ I当端口已经指定VLAN:  
5 Y8 z7 y' E  W4 ^1 ^+ P5 q◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并配置的有fallback VLAN名,那么VMPS将返回fallback VLAN名给客户机.  
% q0 `) Y, U. z◆如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,并没有配置fallback VLAN名,那么VMPS将返回"access-denied"信息给客户机.
+ o: ]5 j- j* v, O+ T0 {+ d# O' F( H
secure模式
/ y1 `* i! c3 W5 B0 z当端口未指定VLAN:  
- y4 _; p( L7 x. p( A# H◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLAN名. 5 C6 d* P) z6 q- Q- X4 H
◆如果该端口的MAC地址与之相关联的VLAN信息不被许可,端口将被关闭.
# D9 A& {5 {! L8 m  w) J" t$ A3 h! N, d6 s
当端口已经指定VLAN:  
1 V, _& F( A) s; Z- R如果数据库里的VLAN与MAC地址相关联的信息和端口的当前VLAN关联信息不匹配,即使有配置fallback VLAN名,端口仍将被关闭.
1 D9 W  T  k, h: ]4 s
7 u% a* E2 x) F: ?; Kmultiple模式:  
, g% g) Q  n4 I. t1 ~9 X当多个MAC地址(主机)处于同一VLAN的时候,多个MAC地址可以对应一个动态端口.如果动态端口的链路down掉,端口将被还原成未指定状态,并且在指定VLAN之前,VMPS将对这些地址重新检查;如果这些主机位于不同的VLAN,VMPS将向客户返回最新的MAC地址到VLAN映射的信息.当然,你也可以在VMPS上指定fallback VLAN名.如果该端口未指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较: / }) ^; G: O1 t
◆如果主机的MAC地址在数据库中不存在,并且VMPS上指定的有fallback VLAN名,那么将向客户机返回fallback VLAN名信息.  * F2 S6 P. A) `+ @8 a
◆如果主机的MAC地址在数据库中不存在,但VMPS上未指定fallback VLAN名,那么将向客户机返回"access-denied"信息.  如果该端口已经指定任何VLAN,VMPS将把端口和发起请求的MAC地址进行比较:不管VMPS上有没有配置fallback VLAN名,只要VMPS处于secure模式,那么它就将反馈 "port-shutdown"信息给客户机.有的时候我们也可能看到非法的VMPS客户机请求,如下两种:  
0 w8 k& \/ S' D2 M5 F◆当VMPS上未配置fallback VLAN名,并且数据库里没有相应的MAC地址到VLAN的映射信息.  
1 j) ^6 k: t3 o3 `; v◆当端口已经被指定了VLAN,并且VMPS不处于multiple模式,但是VMPS收到了第二个不同MAC地址的VMPS客户机请求信息1 |1 T' _7 Q7 x$ z, N

评分

参与人数 1金币 +80 收起 理由
admin + 80 不用怀疑,楼主就是活雷锋, 资深网络技术大.

查看全部评分

回复 支持 反对

使用道具 举报

laozibi [Lv3 牛刀小试] 发表于 2018-3-23 16:20:42 | 显示全部楼层
在一些规模适中的公司里面,员工可能在不同的写字楼的楼层里面抱着笔记本频繁奔波于不同部门或会议室,当他们要访问本部门的服务器的时候,如果不在自己部门的vlan里面访问台式机的文件,就会出现拒绝访问的后果,很多人需要跑回原来的办公室才能取回文件。0 R0 U- o1 N6 P" i4 O" q
/ c+ [% ~. l# V2 U& n% \+ J/ l
  2 r: o" A- g; J' O2 m

! N- p. Q: Q# r$ K  此时管理员可以采用动态vlan的方法,将这些笔记本的mac地址记录下来,通过mac地址划分vlan。不论他们在那个办公环境中,都可以被分配到正确的vlan里面。本文将介绍vmps,即vlan management policy server是如何解决此类应用的配置难题。
- z0 H6 e- L2 R, P; [# k" t- w( e1 Y+ {5 ~7 T
一.动态vlan凭什么能解决问题?
' ~. C; R# o8 n5 q/ Z
; W! k) D2 n, \$ r4 \$ Z- W& }  动态的vlan形成很简单,由交换机端口自己决定它属于哪个vlan时,就形成了动态的vlan。其实,动态的vlan就是一个简单的映射,这个映射取决于工程师创建的mac数据库文件。分配给动态vlan的端口被激活后,交换机就缓存初始帧的源m a c地址。随后,交换机便向一个称为vmps (vlan管理策略服务器)的外部服务器发出请求,vmps中包含一个文本文件,文件中存有进行vlan映射的m a c地址。交换机对这个文件进行下载,然后对文件中的m a c地址进行校验。如果在文件列表中找到m a c地址,交换机就将端口分配给列表中的vlan。5 K$ @2 s$ {, l' k/ u+ ^

6 N: u, S. `9 \4 ^8 A  
* Z* @6 ?9 t* s+ `# w5 g( L8 V# |( b, v
  如果列表中没有m a c地址,交换机就将端口分配给默认的vlan(假设已经定义默认了vlan)。在动态vlan中,如果在列表中没有m a c地址,而且也没有定义默认的vlan,端口不会被激活,这是维护网络安全一种非常好的的方法。
7 a  I8 V/ r9 C3 @$ {7 c9 b7 d
' p/ Y% v: K- g  " d/ ]1 f5 }  L- y1 Q% h8 z# R

) y! m# Q/ K' q" P9 r/ {7 L  vmps即vlan management policy server,是一种基于源mac地址动态的、在交换机端口上划分vlan的方法。当某个端口的主机移动到另一个端口后,vmps动态的为其指定vlan。不过基于cisco ios系列中低端交换不支持一般不支持vmps的功能,它只能成为vlan查询协议(vlan query protocol)的客户机。
& A$ e9 ]0 ~. Y# z0 ~, o2 i" w' C7 `9 E/ ?( F0 d" j- w9 A1 l1 ~
  一旦启动了vmps,包含mac地址到vlan映射的数据库就会从tftp服务器下载到vmps服务器。然后,vmps使用udp端口监听来自vqp客户机的请求。当vmps服务器收到来自vmps客户机的请求后,它将在本地数据库里查找mac地址到vlan的映射条目信息。vmps将对请求进行响应,如果被指定的vlan局限于一组端口,vmps将验证对发出请求的端口进行验证:
+ t9 H+ i3 m, r& Q
& U" ]) u1 @# c3 P# {* 如果请求端口的vlan被允许的,vmps向客户发送vlan的名称;. \' |7 S5 ^. q, q# i6 n5 h3 Q

# _: l! n( D5 I4 O+ `" ~0 H; b* 如果请求端口的vlan不与允许的,并且vmps不是处于安全模式,vmps将发送“access-denied”访问被拒绝的信息;
/ `- [: d6 I* n) k9 ~: J
! I) H9 [- V- P* 如果请求端口的vlan不与允许的,但vmps处于安全模式,vmps将发送“port-shutdown”端口关闭的信息。7 D# q# H/ U) k! A9 j

$ i2 G+ m7 Y+ F2 p  另外,如果数据库里的vlan信息和端口的当前vlan信息不匹配,并4 |6 L$ A) d4 g: d8 F

) j' r# V: Z" E8 b5 f且该端口连接的有活动主机,vmps将发送“access-denied”、“fallback vlan name”或者“port-shutdown”、“new vlan name”信息。如果交换机从vmps那里收到“access-denied”的信息,交换机将堵塞来自该mac地址,前往或从该端口返回的流量,交换机将继续监视去往该端口的数据包,并且当交换机识别到一个新的地址后,它会向vmps发出查询信息.如果交换机从vmps那里收到“port-shutdown”信息。) `  R3 s! k" _" B

9 y/ o; t- f; {7 p7 E/ t  注意:交换机将禁用该端口,必须手工的将该端口启用才能正式使用。

评分

参与人数 1技术 +1 金币 +80 收起 理由
admin + 1 + 80 不用怀疑,楼主就是活雷锋, 资深网络技术大.

查看全部评分

回复 支持 反对

使用道具 举报

xiaocuo [VIP@钻石] 发表于 2018-3-24 09:56:33 | 显示全部楼层
Rockyw 发表于 2018-3-23 13:35! D9 n, s( ^* p# L5 x+ }3 `: S' s
open模式:
$ U8 l  E6 d5 f0 n9 M) {当端口未指定VLAN: ! C' G+ Y! ^  l1 r# z! d0 `
◆如果该端口的MAC地址与之相关联的VLAN信息被许可,VMPS将向客户返回VLA ...

, S* V& a. a0 G1 h大神啊,我知道动态VLAN的工作原理,可我就是弄不明白这个问题。+ ?8 w3 d9 U% u5 B( \1 _" u
就是假设在VMPS的数据库中已经配置了MAC地址1属于VLAN2,MAC地址2属于VLAN3,并且客户端交换机上所有的动态端口都是允许VLAN2和VLAN3的,也就是没有端口限制哪个VLAN不允许在此端口上运行。假设端口1现在所分配的VLAN是2,那么我现在想把MAC地址2的设备连接到端口1上那么这个端口的VLAN会被VMPS服务器分配为VLAN3吗?

评分

参与人数 1金币 +30 收起 理由
admin + 30 不用怀疑,楼主就是活雷锋, 资深网络技术大.

查看全部评分

回复 支持 反对

使用道具 举报

xiaocuo [VIP@钻石] 发表于 2018-3-24 09:56:59 | 显示全部楼层
laozibi 发表于 2018-3-23 16:206 P, Y! J$ Z" j
在一些规模适中的公司里面,员工可能在不同的写字楼的楼层里面抱着笔记本频繁奔波于不同部门或会议室,当他 ...

; s: I% S1 w/ E大神啊,我知道动态VLAN的工作原理,可我就是弄不明白这个问题。) L# v. P" I" W; Z3 W$ O
就是假设在VMPS的数据库中已经配置了MAC地址1属于VLAN2,MAC地址2属于VLAN3,并且客户端交换机上所有的动态端口都是允许VLAN2和VLAN3的,也就是没有端口限制哪个VLAN不允许在此端口上运行。假设端口1现在所分配的VLAN是2,那么我现在想把MAC地址2的设备连接到端口1上那么这个端口的VLAN会被VMPS服务器分配为VLAN3吗?
回复 支持 反对

使用道具 举报

kao1981089 [Lv9 无所不能] 发表于 2018-3-24 10:04:02 | 显示全部楼层
看帖看完了至少要顶一下!
回复 支持 反对

使用道具 举报

seloveljy [Lv6 略有所成] 发表于 2018-3-24 10:12:17 | 显示全部楼层
膜拜神贴,后面的请保持队形~
回复 支持 反对

使用道具 举报

Rockyw [Lv10 举世无双] 发表于 2018-3-24 13:01:35 | 显示全部楼层
xiaocuo 发表于 2018-3-24 09:56
! a6 S, }5 f& ~% S大神啊,我知道动态VLAN的工作原理,可我就是弄不明白这个问题。
! c9 y  m8 ?( F1 A就是假设在VMPS的数据库中已经配置了MA ...
) A7 F, b  W" V! A9 H4 [6 s
别想了,动手做实验吧
回复 支持 反对

使用道具 举报

kao1981089 [Lv9 无所不能] 发表于 2018-3-25 15:12:31 | 显示全部楼层
看了LZ的帖子,我只想说一句很好很强大!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2018-4-24 04:54 , Processed in 0.210530 second(s), 18 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn