C’est un serveur qui gére les vlans dynamiquemt basé sur les adresses mac .
Lorsqu'on se connecte à un
port, le commutateur client se connecte au serveur VMPS pour savoir si cette
@MAC a le droit de se connecter à ce port ou non.
·
Si l'adresse MAC
du client est dans la BD-VMPS, le serveur répond positivement en envoyant le
numéro de vlan au client, si non…non
·
Si le VMPS est en
mode « open », donc non sécurisé, le VMPS envoie une réponse «
access-denied » au client et continues à
bloquer le trafic de l'adresse MAC a partir du port .
·
Si le VMPS est en
mode « secure », il envoie au client «
port-shutdown », et ferme le port client.
·
VLAN par défaut :
si on ne trouve aucune correspondance adresse MAC – VLAN dans la base, On
affecte ce VLAN au port client.
Un serveur principale et de 0
à 3 VMPS secondaire et plusieur clients
Le serveur a une base de
donnée contenant des association (@mac-vlan)
Si un commutateur
redémarre , le VMPS sera réactiver
et sa base de donnée
Sera télécharger
automatiquement a partir d’un serveur TFTP
Si on se connecte via un port
dynamique, le commutateur ne acheminera aucun trafic, jusqu’au qui’il sera
identifier par le VMPS (switch catalyst 4000 ou +)
Ou un serveur openvmps sous
linux ou unix /etc/vmpsd.conf
La communication entre client
et serveur c’est par le protocole VQP (vlan query protocol) +
domaine
Création
de la BD dans le TFTP :
!VMPS
vmps domain
vmps mode {open | secure}
vmps fallback vlan99
vmps-mac-addrs
address @mac vlan-name vlanx
address @mac vlan-name
--NONE--
commutateur VMPS serveur :
set vmps tftpserver @ip [nom de fichier]
set vmps state enable (telecharger la BD apartir de tftp)
commutateur VMPS client :
vmps server @ip
int f
switchport mode access
switchport access vlan dynamic
show vmps
Sécurité liée à
VMPS :
On peut créer des groupes de
ports et de VLAN auxquels on pourra
appliquer une
« vmps-port-policies ».
Groupe de ports :
vmps-port-group nom
device @ip port f0/* | all-ports
Groupe de Vlan’s :
vmps-vlan-group nom
vlan-name nom-vlan
sécurité :
vmps-port-policies (nom de
groupe)
port-group portgroup1
vmps-port-policies vlan-name
nom
device @ip port f0/* | all-ports
Port Mirorring
analyser toutes les trames
des ports en utilisant un logiciel comme « wireshark ».
Switch(config)# monitor session 1 source interface range fa0/1
- 20
Ou source remote vlan 2
Switch(config)# monitor
session 1 destination interface fa0/24
Bonne Chance