什么是VLAN？

VLAN，也就是虛擬局域網，是通過為子網提供數據鏈路連接來抽象出局域網的概念。在企業網中，一個企業級交換機一般是24口或者是48口，連接這些接口的終端在物理上形成一個廣播域。廣播域過大，就會導致大量的廣播報文泛濫，減少了可利用的網絡帶寬，同時也減少了廣播域的安全性。

這個時候，就可以在交換機上使用VLAN技術，劃分出多個邏輯上的廣播域。

各個廣播域之間二層隔離，不同VLAN之間的終端不能二層訪問。一個或多個網絡交換機，可支持多個獨立的VLAN，從而創建子網的第2層數據鏈路，通常由一個或多個以太網交換機組成。VLAN可以使網工可以輕松劃分單個交換網絡，以滿足其系統的功能和安全要求，而無需運行新電纜或對其當前網絡基礎架構進行重大更改。

02

咋實現VLAN的集中管理？

我來教你

為了解決上述問題，可通過VCMP實現VLAN的集中管理。這樣，只需在一臺交換機上進行創建、刪除VLAN等操作，這些變更會自動通知到指定范圍內的所有交換機，從而使這些交換機無需手工操作即可實現VLAN的創建、刪除等動作的同步。這樣，就減少了在多臺交換機上修改同一個數據的工作量，也保證了修改的一致性。

?01??什么是VCMP？

VCMP使用域來管理交換機，這個域就稱為VCMP管理域。通過角色定義來確定設備的屬性，稱為VCMP的角色，VCMP共定義了Server、Client、Transparent和Silent四種角色。

1. VCMP管理域

VCMP管理域由一組域名相同的交換機通過Trunk或Hybrid鏈路類型的接口互連構成。

同一域內的每臺交換機都必須使用相同的域名，且一臺交換機只能加入一個VCMP管理域，不同域的交換機間不能同步VLAN信息。

VCMP管理域確定了VCMP管理設備的范圍，凡是加入域的交換機，均會受到域內的管理設備管理。域中只能有一臺管理設備，但可以有多臺被管理設備。

2. VCMP的角色

（1）Server

作為VCMP管理域的管理角色，負責將VLAN信息通過VCMP報文同步給同域的其它設備。

Server上創建、刪除VLAN和修改VLAN名稱、描述的信息會在全域內傳播。

（2）Client

作為VCMP管理域的被管理角色，屬于某特定VCMP管理域，根據Server發過來的VCMP報文將VLAN信息同步到本地。

Client上創建、刪除VLAN和修改VLAN名稱、描述的信息不會在域內傳播，但會被Server發送的VLAN信息覆蓋。

• Transparent

作為透傳角色，不受VCMP的管理行為影響，也不影響VCMP管理域中的其他設備。Transparent直接轉發VCMP報文（僅向Trunk或Hybrid類型鏈路轉發）Transparent上創建、刪除VLAN和修改VLAN名稱、描述的信息不受Server影響，也不會在域內傳播。這樣可滿足某些設備不希望受VCMP管理，但需要轉發VCMP報文的需求。

• Silent

部署在VCMP管理域的邊緣，不受VCMP的管理行為影響，也不影響VCMP管理域中的其他設備，可用來隔離VCMP管理域。Silent收到VCMP報文后直接丟棄，而不轉發該報文。Silent上創建、刪除VLAN和修改VLAN名稱、描述的信息不受Server影響，也不會在域內傳播。

?02??VCMP到底怎么用？

隨著企業網絡規模的不斷擴大，網絡內交換機的數量越來越多，而這些交換機的VLAN配置需要同步，以保證正確的數據轉發。在這些交換機上進行重復創建、刪除VLAN等操作，既浪費時間，也容易出錯。

為此，可以在企業網中部署VCMP，并根據要管理的范圍確定VCMP管理域，然后選擇匯聚交換機或核心交換機作為VCMP的Server。

這樣，只需在匯聚或核心交換機上創建、刪除VLAN或修改VLAN的名稱、描述，同域內的接入交換機會同步修改，進而實現VLAN的集中管理，降低配置和維護的工作量。

同時，如果VCMP管理域沒有設置認證密碼，插入一臺空配置的交換機時，Server會通知其同步VLAN配置，實現即插即用。

某企業有部門A和部門B兩個部門，分別屬于不同二層網絡，各部門規模較大，需要配置和維護的VLAN信息很多。

為了方便VLAN的配置和維護，可在部門A和部門B內分別部署VCMP，管理域分別為VCMP1和VCMP2，并選擇匯聚交換機AGG1作為VCMP1的Sever，接入交換機ACC1～ACC2作為VCMP1的Client，匯聚交換機AGG2作為VCMP2的Server，接入交換機ACC3～ACC4作為VCMP2的Client。

這樣，網絡管理員只需分別在AGG1和AGG2上創建、刪除VLAN或修改VLAN的名稱、描述，ACC1～ACC2和ACC3～ACC4會分別同步AGG1和AGG2上的VLAN信息，實現了VLAN的統一配置和管理。

某企業有部門A和部門B兩個部門，分別屬于不同二層網絡，各部門規模較大，需要配置和維護的VLAN信息很多。

為了方便VLAN的配置和維護，可在部門A和部門B內分別部署VCMP，管理域分別為VCMP1和VCMP2，并選擇匯聚交換機AGG1作為VCMP1的Sever，接入交換機ACC1～ACC2作為VCMP1的Client，匯聚交換機AGG2作為VCMP2的Server，接入交換機ACC3～ACC4作為VCMP2的Client。

這樣，網絡管理員只需分別在AGG1和AGG2上創建、刪除VLAN或修改VLAN的名稱、描述，ACC1～ACC2和ACC3～ACC4會分別同步AGG1和AGG2上的VLAN信息，實現了VLAN的統一配置和管理。

?03??教你配置VCMP，實現VLAN集中管理

1. 組網需求

某企業分支網絡為二層網絡，AGG為其匯聚交換機，ACC1～ACC3為接入交換機，其中ACC1用來接入外來訪客。

企業分支規模越來越大，網絡管理員需要在各交換機上配置和維護大量的VLAN信息，工作量大而且容易出錯。

因此，管理員希望減少VLAN配置和維護的工作量，但外來訪客接入分支網絡的權限需要限制，管理員希望ACC1上的VLAN能獨立配置和維護。

2. 配置思路

可在此企業分支網絡中部署VCMP，將匯聚交換機AGG設置為Server，接入交換機ACC2～ACC3設置為Client，為使ACC1不受VCMP管理，將其設置為Silent。

這樣，只需在AGG上修改VLAN信息，該信息將自動發送到企業分支網絡中的ACC1～ACC3上。

ACC2～ACC3會自動同步AGG上的VLAN信息，而ACC1不受VCMP的影響，從而既減少了在多臺交換機上修改同一個VLAN信息的工作量，也保證了ACC1的VLAN獨立性。

同時，為免去手工設置鏈路類型的麻煩，配置通過LNP自動協商鏈路類型。

采用如下的思路配置VCMP：

（1）配置LNP，實現鏈路類型自動協商，簡化用戶配置。

（2）指定各設備的角色，以確定VCMP管理范圍、管理與被管理對象。

（3）在角色為Server和Client的設備上分別配置VCMP相關參數，包括認證密碼、設備ID等，以保證Server和Client間能安全通信和身份識別。

（4）使能VCMP，使VCMP功能生效。

3. 操作步驟

（1）配置通過LNP自動協商鏈路類型?

缺省情況下，全局和接口上的LNP處于使能狀態，此時所有接口通過LNP自協商鏈路類型。

可以使用命令display lnp summary查看交換機全局和接口上是否使能鏈路類型自協商功能（分別關注顯示信息的“Global LNP”和“link-type(C)”字段），并檢查接口的鏈路類型（關注顯示信息的“link-type(N)”字段）：

如果全局或接口上沒有使能鏈路類型自協商功能，可執行如下步驟進行配置：

# 全局使能鏈路類型自協商功能。ACC1、ACC2和ACC3的配置與AGG類似，不再贅述。

<HUAWEI> system-view

[HUAWEI] sysname AGG

[AGG] undo lnp disable?

# 接口下使能鏈路類型自協商功能。ACC1、ACC2和ACC3的配置與AGG類似，不再贅述。

[AGG] interface GigabitEthernet 0/0/1

[AGG-GigabitEthernet0/0/1] undo port negotiation disable

[AGG-GigabitEthernet0/0/1] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/1] quit

[AGG] interface GigabitEthernet 0/0/2

[AGG-GigabitEthernet0/0/2] undo port negotiation disable

[AGG-GigabitEthernet0/0/2] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/2] quit

[AGG] interface GigabitEthernet 0/0/3

[AGG-GigabitEthernet0/0/3] undo port negotiation disable

[AGG-GigabitEthernet0/0/3] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/3] quit?

如果全局和接口上已使能鏈路類型自協商功能，但交換機間連接接口的鏈路類型為Access，為保證VCMP正常運行，可以執行命令port link-type { trunk | hybrid }手工指定接口的鏈路類型。

（2）指定各設備的角色?

# 配置AGG的角色為Server。

[AGG] vcmp role server?

# 配置ACC1的角色為Silent。

[ACC1] vcmp role silent?

# 配置ACC2的角色為Client。

[ACC2] vcmp role client?

# 配置ACC3的角色為Client。

?[ACC3] vcmp role client

3. 在Server和Client上配置VCMP相關參數?

# 在AGG上配置VCMP管理域、設備ID和認證密碼。

[AGG] vcmp domain vd1

[AGG] vcmp device-id server

[AGG] vcmp authentication sha2-256 password Hello?

# 在ACC2上配置VCMP管理域和認證密碼。

[ACC2] vcmp domain vd1

[ACC2] vcmp authentication sha2-256 password Hello?

# 在ACC3上配置VCMP管理域和認證密碼。

[ACC3] vcmp domain vd1

[ACC3] vcmp authentication sha2-256 password Hello?

4. 使能VCMP功能?

缺省情況下，接口上的VCMP功能已使能，無需再使能。但為避免VCMP報文影響PC終端，可在Client連接PC終端的接口上去使能VCMP功能。

[ACC2] interface GigabitEthernet 0/0/2

[ACC2-GigabitEthernet0/0/2] vcmp disable

[ACC2-GigabitEthernet0/0/2] quit [ACC3] interface GigabitEthernet 0/0/2

[ACC3-GigabitEthernet0/0/2] vcmp disable

[ACC3-GigabitEthernet0/0/2] quit?

5. 驗證配置結果?

上述配置完成后，執行display vcmp status命令可以查看VCMP配置信息，包括VCMP管理域域名、設備角色、設備ID、配置序列號和域密碼。