Cisco VMPS


Tagek: Linux, Cisco,
Írta: toshy
Publikálva: 2008-09-04 16:13:28

Egy előző írásban tárgyaltuk, hogy mi is az a trunk. Egy switch-nek a portja lehet trunk módban, vagy access módban. Most arról szeretnék írni egy kicsit, hogy ha access módban van, akkor meg kell adni neki egy VLAN-t amiben kommunikál, vagy éppenséggel pont nem. Erről a “pont nem”-ről akarok pár szót e-papírra vetni.

Nézzünk egy konfigot, vagy legalább is egy konfig részletet:


interface FastEthernet0/1
  switchport access vlan 3
  switchport mode access
!
interface FastEthernet0/2
  switchport access vlan 2
  switchport mode access
!
interface FastEthernet0/3
  switchport mode trunk
  switchport trunk encapsulation dot1q

Azt látszik, hogy az 1-es, és a 2-es interface access módban van, a 3-as pedig trunk módban. A példánkban az 1-es interface a 3-as VLAN-ban, a 2-es pedig a 2-es VLAN-ban működik.

Tegyük fel, hogy van egy cég ami egy olyan irodaházban van ahol a pénzügy az első emeleten, a hr a második emeleten, a mérnökség pedig a a harmadik emeleten van. A negyedik emeleten legyenek az előadó termek, és a meeting termek. Ha jól csináltuk meg a hálózatot akkor a hálózat szegmentálva van. Én úgy szegmentálnám, hogy külön VLAN ba a HR-t, Mérnökséget, Pénzügyet, IT-t…. stb. Ennek ugye megvannak az előnyei, és a hátrányai is.

Vegyünk egy olyan helyzet képet, hogy a HR -es fel kell vegyen egy mérnököt, de meg kell tanácskoznia a pénzüggyel, hogy milyen pénzügyi keret van erre a feladatra. Fogja a HR-es a laptopját és felmegy a pénzügyre, ott csatlakozik a hálózathoz, és elkezdik a megbeszélést. Ahoz hogy ugyanolyan hálózati környezetbe kerüljön a HR-es mint egy emelettel lejjebb a HR-n, ahoz megint a HR -es VLAN-ba kellene kerüljön.

Ez úgy van megoldva, hogy a switchek portjai, nicsenek VLAN-hoz hozzá adva, de attól még access módban vannak. A portokat egy “switchport access vlan dynamic” paranccsal dinamikusra állítunk. Ilyenkor a switch ha észleli, hogy fizikai “tehát Layer 2″-es kapcsolat van akkor megnézi, hogy az kliens MAC address-e benne van-e egy adatbázisban, és milyen VLAN-ba kell tegye a port-ot.

Röviden.

Ezeket az adatbázisokat, VMPS-nek(VLAN Management Policy Server) nevezet szerverről kérdezi le VQP(Vlan Query Protocol) protokollal. Ilyen szervert/szervizt lehet telepíteni Linuxra, Windowsra, AIX-r, Cisco eszközre…. stb.

Ha olvastad a többi írásomat akkor szerintem már ki is találhatod, hogy én Linux-ra tettem. A sourceforge-ról letölthető ilyen VMPS szerver, az adatbázis pedig egy sima text file, amiben benne van egy MAC address , és hogy milyen VLAN-ba kerüljön. Ennek az adatbázisnak a szerkesztésére vannak felületek, de én már csak meg maradtam a “vi” szerkesztőnél.

Így néz ki a vmps adatbázis:

~> head -10 /etc/vmps/vmps.db


vmps domain CEGEM
vmps mode open
vmps fallback nincsen
vmps no-domain-req deny
vmps-mac-addrs

address xxxx.xxxx.d240 vlan-name hrvlan

address xxxx.xxxx.f5fe vlan-name hrvlan

address xxxx.xxxx.A8B6 vlan-name mfgvlan

address xxxx.xxxx.ACF9 vlan-name mfgvlan


Az elejéről akarok ki emelni dolgokat, például “vmps fallback nincsen” ez azt jelenti, hogy ami nem volt benne a az adatbázisban azt ebbe a VLAN-ba teszi. Ezt a VLAN-t pedig a”shutdown”-ban tartjuk így, ha valaki nincs bejegyezve az adatbázisba, és csatlakozik a hálózathoz, akkor az eszköz lelövi a port-ot.

A CISCO eszközön meg kell adni a VMPS szerver ip címét, és más teendő nincs is. A redundanciát meg úgy lehet lerendezni, hogy megadunk még egy ip címet ami egy másik szerver , de ugyanazzal az adatbázissal. Arra hogy a két adatbázis egyforma legyen több módszer is van, úgy mint rsync, drbd,… stb. Én ezt úgy oldottam meg hogy mindkét file-t egyszerre szerkesztem , vagy legalábbis ugyanazt írom bele. Ezt egy “Cluster SSH” nevű kis csoda kütyüvel érem el , és már több éve sikeresen így működik.

Így néz ki a vmps bejegyzés a CISCO konfigban:

vmps server 10.1.10.1 primary

vmps server 10.1.20.1


Azt hiszem nem kell hozzá magyarázat.


Akkor most jöjjön a “fekete leves ” ez bizony már csak komolyabb switchek-el működik, Cisco Catalyst 4000-es szériától felfele. De ha ilyen komoly infrastruktúráról beszélünk mint például az előbbi példa, akkor a befektetés megéri. Na nem csak amiat, hogy ez menjen hanem, a többi funkciója miatt is.például hogy ezek már multilayer switchek, ami azt jelenti, hogy akár router-ként is használhatjuk.

Szólj hozzá

Hozzászólások(0)