所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

了解VLAN集中管理协议(VCMP)

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
了解VLAN集中管理协议(VCMP)

了解VLAN集中管理协议(VCMP)

简介

本文从定义、基本概念、应用场景、协议报文和实现机制等方面,简要介绍了S系列交换机的VLAN集中管理协议(VCMP)。

定义

VLAN集中管理协议VCMP(VLAN Central Management Protocol)可以实现VLAN的集中维护和管理。VCMP是华为的私有协议,工作于链路层,提供了一种在二层网络中传播VLAN配置信息,从而保证整个二层网络中VLAN配置信息一致。相较于手工配置,VCMP具有维护工作量小、VLAN配置一致的优点。

基本概念

VCMP使用域来管理交换机,这个域就称为VCMP管理域;并通过角色定义来确定设备的属性,称为VCMP的角色,VCMP共定义了Server、Client、Transparent和Silent四种角色。VCMP管理域及角色如图1-1所示。

图1-1 VCMP管理域及角色示意图

VCMP管理域

VCMP管理域由一组域名相同的交换机通过Trunk或Hybrid链路类型的接口互连构成。同一域内的每台交换机都必须使用相同的域名,且一台交换机只能加入一个VCMP管理域,不同域的交换机间不能同步VLAN信息。

VCMP管理域确定了VCMP管理设备的范围,凡是加入域的交换机,均会受到域内管理设备的管理。域中只能有一台管理设备,但可以有多台被管理设备。

VCMP的角色

VCMP通过角色定义确定设备的属性,VCMP角色定义如表1-1所示。其中:

表1-1 VCMP的角色

VCMP的角色

定义及作用

说明

Server

作为VCMP管理域的管理角色,负责将VLAN信息通过VCMP报文同步给同域的其它设备。

Server上创建、删除VLAN和修改VLAN名称、描述的信息会在全域内传播。

Client

作为VCMP管理域的被管理角色,属于某特定VCMP管理域,根据Server发过来的VCMP报文将VLAN信息同步到本地。

Client上创建、删除VLAN和修改VLAN名称、描述的信息不会在域内传播,但会被Server发送的VLAN信息覆盖。

Transparent

作为透传角色,不受VCMP的管理行为影响,也不影响VCMP管理域中的其他设备。

Transparent直接转发VCMP报文(仅向Trunk或Hybrid类型链路转发)。

Transparent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响,也不会在域内传播。

这样可满足某些设备不希望受VCMP管理,但需要转发VCMP报文的需求。

Silent

部署在VCMP管理域的边缘,不受VCMP的管理行为影响,也不影响VCMP管理域中的其他设备,可用来隔离VCMP管理域。

Silent收到VCMP报文后直接丢弃,而不转发该报文。

Silent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响,也不会在域内传播。

说明:
  • Transparent和Silent不属于任何VCMP管理域。
  • VCMP管理域的边缘设备如果希望受VCMP的管理,也可设置为Client角色,但为防止本域的VCMP报文传输到其他域中,需要将连接其他域的接口去使能VCMP功能。

应用场景

小型企业网中,网络管理员可登录到每台交换机上进行VLAN的配置和维护。但大型企业网中,交换机很多,会有大量的VLAN信息需要配置和维护。如果仅靠网络管理员手工操作,工作量很大,也不能保证配置的一致性。

为了解决上述问题,可通过VCMP实现VLAN的集中管理。这样,只需在一台交换机上进行创建、删除VLAN等操作,这些变更会自动通知到指定范围内的所有交换机,从而使这些交换机无需手工操作即可实现VLAN的创建、删除等动作的同步,即减少了在多台交换机上修改同一个数据的工作量,也保证了修改的一致性。

说明:
  • VCMP只能帮助网络管理员同步VLAN配置,但不能帮助其动态地划分端口到VLAN。因此,VCMP一般需要与LNP结合使用,以最大程度简化用户配置。

  • GVRP也可减少VLAN配置,且可将端口动态地划分到VLAN,但GVRP创建的VLAN是动态VLAN,而VCMP创建的VLAN是静态VLAN。

图1-2 VCMP应用场景组网图

图1-2所示,某企业有部门A和部门B两个部门,分别属于不同二层网络,各部门规模较大,需要配置和维护的VLAN信息很多。为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,网络管理员只需分别在AGG1和AGG2上创建、删除VLAN或修改VLAN的名称、描述,ACC1~ACC2和ACC3~ACC4会分别同步AGG1和AGG2上的VLAN信息,实现了VLAN的统一配置和管理。

VCMP协议报文

VCMP通过在各角色设备间交互VCMP报文实现VLAN的集中管理,VCMP报文只能在Trunk或Hybrid类型接口的VLAN 1上传输。为确保在各种场景下Server与Client的VLAN信息保持一致,VCMP协议定义了Summary-Advert、Subset-Advert和Advert-Request三种组播方式的报文。三种报文的作用及触发场景如表1-2所示。

表1-2 VCMP协议报文

报文类型

作用

触发场景

发送报文的角色

Summary-Advert

Server通过该报文向VCMP管理域内的其他设备通告域名、设备ID、配置修订号以及VLAN信息。

  • Server每5分钟发一次Summary-Advert报文,以确保Server与Client上的VLAN信息的实时同步,防止因传输丢包等原因导致的同步遗漏。

  • Server上的配置变更(包括创建/删除VLAN、VCMP管理域名修改、设备ID修改、认证密码修改、Server设备重启等情况)。

  • 收到同域的Client的Advert-Request报文。

Server

Subset-Advert

Server通过该报文向VCMP管理域内的其他设备通告非默认配置的VLAN名称或VLAN描述。

Server上存在非默认配置的VLAN名称或VLAN描述,且满足以下任一条件:
  • Server上的配置变更(包括创建/删除VLAN、VLAN名称/VLAN描述修改、VCMP管理域名修改、设备ID修改、认证密码修改等情况)。

  • 收到同域的Client的Advert-Request报文。

Server发送Subset-Advert报文,以确保Server与Client上的VLAN信息实时同步,防止因传输丢包等原因导致的同步遗漏。

Server

Advert-Request

Client通过该报文主动请求同步VLAN信息,以便及时同步,避免不必要的等待。

  • 新加入一台Client设备。

  • Client设备发生重启或接口Up。

Client

其中,由Server发送的Summary-Advert和Subset-Advert报文会携带配置修订号。配置修订号用来确定Server发送的VLAN信息是否比当前的更新,Client使用它来判断是否需要同步Server的VLAN信息。它以8位十六进制数体现,高四位用来标识VCMP管理域或设备ID的变更,低四位用来标识VLAN的变更。只要Server有VLAN变更,配置修订号就会自动递增。而当VCMP管理域名或设备ID变更时,配置修订号的高四位会重新计算,低四位会清零。

实现机制

Server上配置变更的VLAN同步机制

当Server上的配置变更(包括创建、删除VLAN,修改VLAN的名称、描述,VCMP管理域名、设备ID修改,以及Server重启等情况)时,Server会发送携带变更信息的Summary-Advert和Subset-Advert报文,以通告VCMP管理域内的Client进行同步。

新增Client的VLAN同步机制

为确保Server与Client上的VLAN信息的同步,Server每5分钟发送一次Summary-Advert报文,向全域通告VCMP管理域名、设备ID和配置修订号,Server还会发送Subset-Advert报文来通告发生变更的VLAN名称和VLAN描述。当新加入一台Client或Client重启时,为了及时获取Server上的VLAN配置信息,新Client和重启的Client会发送Advert-Request组播报文,请求Server的VLAN配置信息。

多Server告警机制

VCMP管理域内只能有一台Server。为防止用户假冒Server攻击网络,Server在收到Summary-Advert报文后,会将报文中的VCMP管理域名、设备ID、源MAC地址与本地的进行匹配。如果VCMP管理域名和设备ID匹配,但报文中的源MAC地址与本地的系统MAC地址不同,则会向网管发送“多Server”事件告警。

为了防止告警太多影响Server性能,VCMP抑制告警的发送次数,每30分钟向网管发送一次告警。

VCMP认证机制

未知交换机加入VCMP管理域,可能会将其设备上的VLAN信息同步到域内,进而影响域内网络的稳定。为防止未知交换机加入,使VCMP管理域更安全,可以为域中的Server和Client配置域认证密码。

如果Server或Client配置了域认证密码,则用该密码字符串(默认使用空字符串)作为Key值,对报文中的VCMP管理域名、设备ID等字段进行SHA-256摘要计算,并把得到的摘要信息随Summary-Advert报文、Subset-Advert报文或Advert-Request报文发送。域内每台Client在收到的Server的Summary-Advert或Subset-Advert报文时,则用本地配置的认证密码对报文中的VCMP管理域名、设备ID和配置修订号等字段进行SHA-256摘要计算,并把得到的摘要信息与报文中携带的摘要信息进行比较。如果匹配,则认证通过,进行后续VCMP处理;否则,丢弃该Summary-Advert或Subset-Advert报文。Server收到Client的Advert-Request报文时进行同样的认证处理。

如果未配置域密码,则直接认证通过。

说明:
  • 同一VCMP管理域中的Server和每台Client上配置的域密码必须相同。

  • 为充分保证设备安全,请用户定期修改密码。

相关信息

S1720, S2700, S5700, S6720 V200R011C10 配置指南-以太网交换-VCMP配置

翻译
下载文档
更新时间:2019-06-29

文档编号:EDOC1100088148

浏览量:819

下载量:194

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页