1.组网需求
如下图所示,某企业分支网络为二层网络,AGG
为其汇聚交换机,ACC1~ACC3
为接入交换机,其中ACC1
用来接入外来访客。企业分支规模越来越大,网络管理员需要在各交换机上配置和维护大量的VLAN
信息,工作量大而且容易出错。因此,管理员希望减少VLAN
配置和维护的工作量,但外来访客接入分支网络的权限需要限制,管理员希望ACC1
上的VLAN
能独立配置和维护。
2.配置思路
可在此企业分支网络中部署VCMP
,将汇聚交换机AGG
设置为Server
,接入交换机ACC2~ACC3
设置为Client
,为使ACC1
不受VCMP
管理,将其设置为Silent
。这样,只需在AGG上
修改VLAN
信息,该信息将自动发送到企业分支网络中的ACC1~ACC3
上。ACC2~ACC3
会自动同步AGG
上的VLAN
信息,而ACC1
不受VCMP
的影响,从而既减少了在多台交换机上修改同一个VLAN
信息的工作量,也保证了ACC1
的VLAN
独立性。
同时,为免去手工设置链路类型的麻烦,配置通过LNP
自动协商链路类型。
采用如下的思路配置VCMP
:
1)配置LNP
,实现链路类型自动协商,简化用户配置。
2)指定各设备的角色,以确定VCMP
管理范围、管理与被管理对象。
3)在角色为Server
和Client
的设备上分别配置VCMP
相关参数,包括认证密码、设备ID
等,以保证Server
和Client
间能安全通信和身份识别。
4)使能VCMP
,使VCMP
功能生效。
3.操作步骤
3.1配置通过LNP自动协商链路类型
缺省情况下,全局和接口上的LNP
处于使能状态,此时所有接口通过LNP
自协商链路类型。
可以使用命令display lnp summary
查看交换机全局和接口上是否使能链路类型自协商功能(分别关注显示信息的Global LNP
和link-type(C)
字段),并检查接口的链路类型(关注显示信息的link-type(N)
字段):
如果全局或接口上没有使能链路类型自协商功能,可执行如下步骤进行配置:
# 全局使能链路类型自协商功能。
ACC1
、ACC2
和ACC3
的配置与AGG
类似。
<HUAWEI> system-view
[HUAWEI] sysname AGG
[AGG] undo lnp disable
# 接口下使能链路类型自协商功能。
ACC1
、ACC2
和ACC3
的配置与AGG
类似。
[AGG] interface GigabitEthernet 0/0/1
[AGG-GigabitEthernet0/0/1] undo port negotiation disable
[AGG-GigabitEthernet0/0/1] port link-type negotiation-desirable
[AGG-GigabitEthernet0/0/1] quit
[AGG] interface GigabitEthernet 0/0/2
[AGG-GigabitEthernet0/0/2] undo port negotiation disable
[AGG-GigabitEthernet0/0/2] port link-type negotiation-desirable
[AGG-GigabitEthernet0/0/2] quit
[AGG] interface GigabitEthernet 0/0/3
[AGG-GigabitEthernet0/0/3] undo port negotiation disable
[AGG-GigabitEthernet0/0/3] port link-type negotiation-desirable
[AGG-GigabitEthernet0/0/3] quit
如果全局和接口上已使能链路类型自协商功能,但交换机间连接接口的链路类型为 Access
,为保证VCMP
正常运行,可以执行命令port link-type trunk 手工指定接口的链路类型。
3.2指定各设备的角色
# 配置AGG
的角色为Server
[AGG] vcmp role server
# 配置ACC1
的角色为Silent
[ACC1] vcmp role silent
# 配置ACC2
的角色为Client
[ACC2] vcmp role client
# 配置ACC3
的角色为Client
[ACC3] vcmp role client
3.3在Server和Client上配置VCMP相关参数
# 在AGG
上配置VCMP
管理域、设备ID
和认证密码。
[AGG] vcmp domain vd1
[AGG] vcmp device-id server
[AGG] vcmp authentication sha2-256 password YsHsjx_202411
# 在ACC2
上配置VCMP
管理域和认证密码
[ACC2] vcmp domain vd1
[ACC2] vcmp authentication sha2-256 password YsHsjx_202411
# 在ACC3
上配置VCMP
管理域和认证密码
[ACC3] vcmp domain vd1
[ACC3] vcmp authentication sha2-256 password YsHsjx_202411
3.4使能VCMP功能
缺省情况下,接口上的VCMP
功能已使能,无需再使能。但为避免VCMP
报文影响PC
终端,可在Client
连接PC
终端的接口上去使能VCMP
功能。
[ACC2] interface GigabitEthernet 0/0/2
[ACC2-GigabitEthernet0/0/2] vcmp disable
[ACC2-GigabitEthernet0/0/2] quit
[ACC3] interface GigabitEthernet 0/0/2
[ACC3-GigabitEthernet0/0/2] vcmp disable
[ACC3-GigabitEthernet0/0/2] quit
4.验证配置结果
上面配置完成后,执行display vcmp status
命令可以查看VCMP
配置信息,包括VCMP
管理域域名、设备角色、设备ID
、配置序列号和域密码。
以AGG
显示为例:
[AGG] display vcmp status
VCMP information:
Domain : vd1
Role : Server
Server ID : server
Configuration Revision : 0x239c0000
Password : ******
在AGG
上通过命令vlan vlan-id
创建VLAN10
,分别在ACC1~ACC3
上执行命令display vlan summary可以看到ACC2
和ACC3
同步了AGG
上VLAN
信息,而ACC1
上没有同步AGG
上的VLAN
信息。
[AGG] vlan 10
[AGG-vlan10] quit
[AGG] display vlan summary
Static VLAN:
Total 2 static VLAN.
1 10
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.
[ACC1] display vlan summary
Static VLAN:
Total 1 static VLAN.
1
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.
[ACC2] display vlan summary
Static VLAN:
Total 2 static VLAN.
1 10
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.
[ACC3] display vlan summary
Static VLAN:
Total 2 static VLAN.
1 10
Dynamic VLAN:
Total 0 dynamic VLAN.
Reserved VLAN:
Total 0 reserved VLAN.