在生产环境中,我们经常会配置VLAN,但是,随着设备的增多,人手一台台去配置,这样不仅工作量大,而且效率低。华为设备中给我们提供一个VLAN集中管理协议(VLAN Central Management Protocol),VCMP是华为的私有协议。类似于思科的VTP。今天,我们来看看华为私有协议VCMP。
定义
VLAN集中管理协议VCMP(VLAN Central Management Protocol)可以实现VLAN的集中维护和管理。VCMP是华为的私有协议,工作于链路层,提供了一种在二层网络中传播VLAN配置信息,从而保证整个二层网络中VLAN配置信息一致。相较于手工配置,VCMP具有维护工作量小、VLAN配置一致的优点。
基本概念
VCMP使用域来管理交换机,这个域就称为VCMP管理域;并通过角色定义来确定设备的属性,称为VCMP的角色,VCMP共定义了Server、Client、Transparent和Silent四种角色。
VCMP管理域
VCMP管理域由一组域名相同的交换机通过Trunk或Hybrid链路类型的接口互连构成。同一域内的每台交换机都必须使用相同的域名,且一台交换机只能加入一个VCMP管理域,不同域的交换机间不能同步VLAN信息。
VCMP管理域确定了VCMP管理设备的范围,凡是加入域的交换机,均会受到域内管理设备的管理。域中只能有一台管理设备,但可以有多台被管理设备。
VCMP的角色
1. Server
作为VCMP管理域的管理角色,负责将VLAN信息通过VCMP报文同步给同域的其它设备。
Server上创建、删除VLAN和修改VLAN名称、描述的信息会在全域内传播。
2. Client
作为VCMP管理域的被管理角色,属于某特定VCMP管理域,根据Server发过来的VCMP报文将VLAN信息同步到本地。
Client上创建、删除VLAN和修改VLAN名称、描述的信息不会在域内传播,但会被Server发送的VLAN信息覆盖。
3. Transparent
作为透传角色,不受VCMP的管理行为影响,也不影响VCMP管理域中的其他设备。
Transparent直接转发VCMP报文(仅向Trunk或Hybrid类型链路转发)。
Transparent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响,也不会在域内传播。
这样可满足某些设备不希望受VCMP管理,但需要转发VCMP报文的需求。
4. Silent
部署在VCMP管理域的边缘,不受VCMP的管理行为影响,也不影响VCMP管理域中的其他设备,可用来隔离VCMP管理域。
Silent收到VCMP报文后直接丢弃,而不转发该报文。
Silent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响,也不会在域内传播。
配置举例
某企业分支网络为二层网络,SW1为其汇聚交换机,SW2~SW3为接入交换机,其中SW2用来接入外来访客。企业分支规模越来越大,网络管理员需要在各交换机上配置和维护大量的VLAN信息,工作量大而且容易出错。因此,管理员希望减少VLAN配置和维护的工作量,但外来访客接入分支网络的权限需要限制,管理员希望SW2上的VLAN能独立配置和维护。
配置思路
可在此企业分支网络中部署VCMP,将汇聚交换机AGG设置为Server,接入交换机ACC2~ACC3设置为Client,为使ACC1不受VCMP管理,将其设置为Silent。这样,只需在AGG上修改VLAN信息,该信息将自动发送到企业分支网络中的ACC1~ACC3上。ACC2~ACC3会自动同步AGG上的VLAN信息,而ACC1不受VCMP的影响,从而既减少了在多台交换机上修改同一个VLAN信息的工作量,也保证了ACC1的VLAN独立性。
同时,为免去手工设置链路类型的麻烦,配置通过LNP自动协商链路类型。
采用如下的思路配置VCMP:
- 配置LNP,实现链路类型自动协商,简化用户配置。
- 指定各设备的角色,以确定VCMP管理范围、管理与被管理对象。
- 在角色为Server和Client的设备上分别配置VCMP相关参数,包括认证密码、设备ID等,以保证Server和Client间能安全通信和身份识别。
- 使能VCMP,使VCMP功能生效。
操作步骤
1. 配置通过LNP自动协商链路类型。
接口下使能链路类型自协商功能。ACC1、ACC2和ACC3的配置与AGG类似,不再赘述。
- [AGG] interface GigabitEthernet 1/0/1
- [AGG-GigabitEthernet1/0/1] undo port negotiation disable
- [AGG-GigabitEthernet1/0/1] port link-type negotiation-desirable
- [AGG-GigabitEthernet1/0/1] quit
- [AGG] interface GigabitEthernet 1/0/2
- [AGG-GigabitEthernet1/0/2] undo port negotiation disable
- [AGG-GigabitEthernet1/0/2] port link-type negotiation-desirable
- [AGG-GigabitEthernet1/0/2] quit
- [AGG] interface GigabitEthernet 1/0/3
- [AGG-GigabitEthernet1/0/3] undo port negotiation disable
- [AGG-GigabitEthernet1/0/3] port link-type negotiation-desirable
- [AGG-GigabitEthernet1/0/3] quit
2. 指定各设备的角色
# 配置AGG的角色为Server。
- [AGG] vcmp role server
# 配置ACC1的角色为Silent。
- [ACC1] vcmp role silent
# 配置ACC2的角色为Client。
- [ACC2] vcmp role client
# 配置ACC3的角色为Client。
- [ACC3] vcmp role client
3. 在Server和Client上配置VCMP相关参数
# 在AGG上配置VCMP管理域、设备ID和认证密码。
- [AGG] vcmp domain vd1
- [AGG] vcmp device-id server
- [AGG] vcmp authentication sha2-256 password Hello
# 在ACC2上配置VCMP管理域和认证密码。
- [ACC2] vcmp domain vd1
- [ACC2] vcmp authentication sha2-256 password Hello
# 在ACC3上配置VCMP管理域和认证密码。
- [ACC3] vcmp domain vd1
- [ACC3] vcmp authentication sha2-256 password Hello
4. 使能VCMP功能
缺省情况下,接口上的VCMP功能已使能,无需再使能。但为避免VCMP报文影响PC终端,可在Client连接PC终端的接口上去使能VCMP功能。
- [ACC2] interface GigabitEthernet 1/0/2
- [ACC2-GigabitEthernet1/0/2] vcmp disable
- [ACC2-GigabitEthernet1/0/2] quit
- [ACC3] interface GigabitEthernet 1/0/2
- [ACC3-GigabitEthernet1/0/2] vcmp disable
- [ACC3-GigabitEthernet1/0/2] quit
5. 验证配置结果
上述配置完成后,执行display vcmp status命令可以查看VCMP配置信息,包括VCMP管理域域名、设备角色、设备ID、配置序列号和域密码。
以AGG显示为例:
- [AGG] display vcmp status
- VCMP information:
- Domain : vd1
- Role : Server
- Server ID : server
- Configuration Revision : 0x239c0000
- Password : ******
在AGG上通过命令vlanvlan-id创建VLAN10,分别在ACC1~ACC3上执行命令display vlansummary可以看到ACC2和ACC3同步了AGG上VLAN信息,而ACC1上没有同步AGG上的VLAN信息。
- [AGG] vlan 10
- [AGG-vlan10] quit
- [AGG] display vlan summary
- Static vlan:
- Total 2 static vlan.
- 1 10
- Dynamic vlan:
- Total 0 dynamic vlan.
- Reserved vlan:
- Total 0 reserved vlan.
在ACC1上查看
- [ACC1] display vlan summary
- Static vlan:
- Total 1 static vlan.
- 1
- Dynamic vlan:
- Total 0 dynamic vlan.
- Reserved vlan:
- Total 0 reserved vlan
在ACC2上查看
- [ACC2] display vlan summary
- Static vlan:
- Total 2 static vlan.
- 1 10
- Dynamic vlan:
- Total 0 dynamic vlan.
- Reserved vlan:
- Total 0 reserved vlan.
在ACC3上查看
- [ACC3] display vlan summary
- Static vlan:
- Total 2 static vlan.
- 1 10
- Dynamic vlan:
- Total 0 dynamic vlan.
- Reserved vlan:
- Total 0 reserved vlan.
