资料下载

动态VLAN

由管理员撰写。发表于 设计VLAN

4.3846153846154 1 1 1 1 1 评分4.38(13投票)
压住他

 

介绍

引入了动态VLAN,以赋予静态VLAN无法提供的灵活性和复杂性(!)。由于动态VLAN的要求和初始管理开销,因此非常罕见。因此,大多数管理员和网络工程师都倾向于使用静态VLAN。


动态VLAN

与静态VLAN相反,动态VLAN不需要管理员单独配置每个端口,而是需要一个称为VMPS(VLAN成员策略服务器)的中央服务器。 VMPS用于处理参与VLAN网络的每个交换机的现场端口配置。

VMPS服务器包含所有工作站MAC地址以及该MAC地址所属的关联VLAN的数据库。这样,我们实际上有了一个VLAN到MAC地址的映射:

vlans-designing-vlans-dynamic-1

上图旨在帮助我们了解VMPS服务器中存在的映射关系。如图所示,每个转换为网络上主机的MAC地址都映射到VLAN,从而使该主机可以在网络内移动,连接到属于VMPS网络的任何交换机并维护其VLAN配置。

现在,您可以开始想象为300多个工作站的网络配置VMPS服务器时涉及的初始工作负载:)

正如人们所期望的那样,以上模型运行良好,并且还要求交换机与VMPS服务器保持持续联系,每次主机连接到参与VLAN网络的交换机时都要求配置信息。当然,我们可以使用更多信息来配置VMPS数据库,但我们暂时不会涉及。

像提供的所有网络服务一样,思科巧妙地设计了这种模型,使其可以像我们的网络所要求的那样灵活。例如,您可以在一个动态配置的端口上连接多个主机,只要所有主机都属于同一VLAN:

 

 vlans-designing-vlans-dynamic-2

上图显示了具有VLAN功能的交换机,该交换机已配置为支持动态VLAN。在端口5上,我们连接了一个简单的交换机(不识别VLAN),从中连接了另外4个工作站。

如前所述,这种类型的配置是有效的,因此受支持,但是它也有其限制和局限性。

限制之一(顺便说一句也可以视为半安全功能)是,所有连接到同一端口的工作站都必须在VMPS服务器中配置为同一VLAN的一部分,否则该端口是

作为安全预防措施最有可能关闭。

要考虑此配置的局限性:如果交换机在端口上检测到超过20个活动主机(20个MAC地址),它将再次关闭它,从而使工作站无法建立任何网络连接。发生这种情况时,关闭的端口将返回隔离状态,不属于任何VLAN。

事实是,即使动态VLAN具有很大的灵活性和安全性,它实际上也不适合每个网络。如果您考虑了动态VLAN的一项功能可以为您提供的优势,那么实现这些功能可能就是您所需要的。

由于在激活端口并将端口分配给VLAN之前,已针对VMPS数据库检查了连接到交换机的每个主机的VLAN成员资格,因此网络管理员可以确保没有任何外部主机能够走到墙上插座,并且如果其MAC地址未存储在VMPS数据库中,则只需插入其工作站即可访问网络。对于大型网络,可以将其视为袖子下的ACE卡。

 

选择正确的开关

我们尚未提到的一个重要因素是您不能在Cisco Catalyst 2900或3500系列上运行VMPS服务器。 Catalyst 4500及更高版本可以充当VMPS,在撰写本文时,此开关已达到其使用寿命。对于过去曾经处理过Cisco Catalyst交换机的用户,您会知道Catalyst 4500不是您将在20或50节点网络中使用的交换机类型!

Catalyst 4500、6500系列是为企业网络设计的交换机,因此,它们构建为模块化的,可以根据您的需求轻松扩展,最后是完全冗余的,因为当其他所有核心骨干交换机都不会出现故障时交换机和网络设备直接连接到它。

我们添加了Catalyst 6500系列的几张照片供您欣赏:)

vlans-designing-vlans-dynamic-3

您可以清楚地看到可用的插槽,这些插槽允许Catalyst交换机随着网络的扩展和增长。在网络扩展时可能需要更多端口的情况下,您只需购买Fastethernet刀片(有人称其为“切片”)并将其插入可用插槽中即可!

 

动态VLAN& FallBack VLANs

动态VLAN支持的另一个非常有趣且精巧的功能是后备VLAN。使用此功能,您可以自动将端口配置为专门为其MAC地址不在VMPS服务器中的工作站创建的VLAN。考虑需要对您的网络进行特定或受限访问的公司访问者或客户,他们可以自由连接到网络并可以访问Internet,同时拥有对公共目录的有限权限。

如果尚未配置回退VLAN,并且连接到交换机端口的MAC地址未知,则VMPS服务器将发送“拒绝访问”响应,阻止对网络的访问,但是该端口将保持活动状态。如果VMPS服务器以“安全模式”运行,它将继续运行并关闭端口,以作为其他安全措施。

vlans-designing-vlans-dynamic-4

上图表示使用Cisco 6500 Catalyst作为核心交换机的大规模网络的一部分。交换机已配置为支持动态VLAN,因此已在交换机内部配置了VMPS服务器以及每个创建的VLAN的DHCP服务器。管理员已经将3个工作站的MAC地址分配给了所示的VLAN,并且还为数据库中不存在的任何MAC地址创建了后备VLAN。

现在考虑一下这种有趣的情况:某天早上,一位访客到达办公室并需要Internet连接,以便他可以向管理层演示新产品。作为管理员,您已经配置了一个后备VLAN,该VLAN已为该VLAN激活了一个DHCP服务器,并将必需的设置推送给客户端,以便它们可以获得Internet访问服务。

访客在墙上找到一个免费的RJ-45插座,该插座连接到附近的Catalyst 3550交换机,然后插入笔记本电脑。在允许用户访问网络之前,Cisco 3550交换机会检查便携式计算机的MAC地址并读取4B:63:3F:A2:3E:F9。在这一点上,该端口被阻止,不允许便携式计算机发送或接收数据。 思科公司 3550交换机将MAC地址发送到充当VMPS服务器的6500 Catalyst交换机,并检查是否存在与指定的MAC地址匹配但找不到的条目。

自然地,它确定此访客为访客,因此它将为该MAC地址创建一个条目到后备VLAN,并将信息发送回Cisco 3550交换机。然后,该交换机将通过配置回退VLAN的端口来访问我们的访客所连接的端口。

如果将访问者的计算机配置为自动获取IP地址,则在操作系统启动后它将自动获取IP地址。发生这种情况时,访问者的DHCP请求将到达6500 Catalyst交换机,其DHCP服务器将发送所请求的信息,从而使客户端(我们的访问者)能够使用访问VLAN所需的所有参数来配置自身。这也意味着我们的访客现在可以访问Internet!

最后,如果未将计算机配置为使用DHCP,则必须告知客户端正确的网络设置或要求客户端在其网络属性中启用自动IP配置。

 

概要

对于刚刚接触VLAN概念的人们,过去的页面可以被认为是“大开眼界”,而对于那些已经意识到它们的存在的人们来说,过去的页面可以被视为“快速概述”!我们希望您到目前为止的所有问题都已得到回答,如果没有,那么它们很可能太高级了,一定会在随后的页面中得到回答。

 

上一个- 静态VLAN                                                                                开始- 比较旧的平面网络& VLAN网络

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置