大家好，我是老杨。

很多网工在工作中，经常会遇到企业网的交换机上需要保持VLAN信息同步的情况。

因为只有这样，才可以以保证所有交换机都能进行正确的数据转发。

小型企业网中，你可以直接登录到每台交换机上进行VLAN的配置和维护。

但大型企业网中，交换机很多，会有大量的VLAN信息需要配置和维护。如果仅靠你的手工操作，工作量很大，也不能保证配置的一致性……

怎么解决这个问题？是我今天想和你聊的内容。

今日文章阅读福利：《 高级网络技术 》

私信老杨，发送暗号“高级技术”，这份华为最新教材精华版，直接送你。

01 什么是VLAN？

VLAN，也就是虚拟局域网，是通过为子网提供数据链路连接来抽象出局域网的概念。

在企业网中，一个企业级交换机一般是24口或者是48口，连接这些接口的终端在物理上形成一个广播域。

广播域过大，就会导致大量的广播报文泛滥，减少了可利用的网络带宽，同时也减少了广播域的安全性。

这个时候，就可以在交换机上使用VLAN技术，划分出多个逻辑上的广播域。

各个广播域之间二层隔离，不同VLAN之间的终端不能二层访问。

一个或多个网络交换机，可支持多个独立的VLAN，从而创建子网的第2层数据链路，通常由一个或多个以太网交换机组成。

VLAN可以使网工可以轻松划分单个交换网络，以满足其系统的功能和安全要求，而无需运行新电缆或对其当前网络基础架构进行重大更改。

02 咋实现VLAN的集中管理？我来教你

为了解决上述问题，可通过VCMP实现VLAN的集中管理。

这样，只需在一台交换机上进行创建、删除VLAN等操作，这些变更会自动通知到指定范围内的所有交换机，从而使这些交换机无需手工操作即可实现VLAN的创建、删除等动作的同步。

这样，就减少了在多台交换机上修改同一个数据的工作量，也保证了修改的一致性。

01 什么是VCMP？

VCMP使用域来管理交换机，这个域就称为VCMP管理域。

通过角色定义来确定设备的属性，称为VCMP的角色，VCMP共定义了Server、Client、Transparent和Silent四种角色。

1. VCMP管理域

VCMP管理域由一组域名相同的交换机通过Trunk或Hybrid链路类型的接口互连构成。

同一域内的每台交换机都必须使用相同的域名，且一台交换机只能加入一个VCMP管理域，不同域的交换机间不能同步VLAN信息。

VCMP管理域确定了VCMP管理设备的范围，凡是加入域的交换机，均会受到域内的管理设备管理。域中只能有一台管理设备，但可以有多台被管理设备。

2. VCMP的角色

（1）Server

作为VCMP管理域的管理角色，负责将VLAN信息通过VCMP报文同步给同域的其它设备。

Server上创建、删除VLAN和修改VLAN名称、描述的信息会在全域内传播。

（2）Client

作为VCMP管理域的被管理角色，属于某特定VCMP管理域，根据Server发过来的VCMP报文将VLAN信息同步到本地。

Client上创建、删除VLAN和修改VLAN名称、描述的信息不会在域内传播，但会被Server发送的VLAN信息覆盖。

• Transparent

作为透传角色，不受VCMP的管理行为影响，也不影响VCMP管理域中的其他设备。

Transparent直接转发VCMP报文（仅向Trunk或Hybrid类型链路转发）

Transparent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响，也不会在域内传播。

这样可满足某些设备不希望受VCMP管理，但需要转发VCMP报文的需求。

• Silent

部署在VCMP管理域的边缘，不受VCMP的管理行为影响，也不影响VCMP管理域中的其他设备，可用来隔离VCMP管理域。

Silent收到VCMP报文后直接丢弃，而不转发该报文。

Silent上创建、删除VLAN和修改VLAN名称、描述的信息不受Server影响，也不会在域内传播。

02 VCMP到底怎么用？

随着企业网络规模的不断扩大，网络内交换机的数量越来越多，而这些交换机的VLAN配置需要同步，以保证正确的数据转发。

在这些交换机上进行重复创建、删除VLAN等操作，既浪费时间，也容易出错。

为此，可以在企业网中部署VCMP，并根据要管理的范围确定VCMP管理域，然后选择汇聚交换机或核心交换机作为VCMP的Server。

这样，只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述，同域内的接入交换机会同步修改，进而实现VLAN的集中管理，降低配置和维护的工作量。

同时，如果VCMP管理域没有设置认证密码，插入一台空配置的交换机时，Server会通知其同步VLAN配置，实现即插即用。

某企业有部门A和部门B两个部门，分别属于不同二层网络，各部门规模较大，需要配置和维护的VLAN信息很多。

为了方便VLAN的配置和维护，可在部门A和部门B内分别部署VCMP，管理域分别为VCMP1和VCMP2，并选择汇聚交换机AGG1作为VCMP1的Sever，接入交换机ACC1～ACC2作为VCMP1的Client，汇聚交换机AGG2作为VCMP2的Server，接入交换机ACC3～ACC4作为VCMP2的Client。

这样，网络管理员只需分别在AGG1和AGG2上创建、删除VLAN或修改VLAN的名称、描述，ACC1～ACC2和ACC3～ACC4会分别同步AGG1和AGG2上的VLAN信息，实现了VLAN的统一配置和管理。

某企业有部门A和部门B两个部门，分别属于不同二层网络，各部门规模较大，需要配置和维护的VLAN信息很多。

为了方便VLAN的配置和维护，可在部门A和部门B内分别部署VCMP，管理域分别为VCMP1和VCMP2，并选择汇聚交换机AGG1作为VCMP1的Sever，接入交换机ACC1～ACC2作为VCMP1的Client，汇聚交换机AGG2作为VCMP2的Server，接入交换机ACC3～ACC4作为VCMP2的Client。

这样，网络管理员只需分别在AGG1和AGG2上创建、删除VLAN或修改VLAN的名称、描述，ACC1～ACC2和ACC3～ACC4会分别同步AGG1和AGG2上的VLAN信息，实现了VLAN的统一配置和管理。

03 教你配置VCMP，实现VLAN集中管理

1. 组网需求

某企业分支网络为二层网络，AGG为其汇聚交换机，ACC1～ACC3为接入交换机，其中ACC1用来接入外来访客。

企业分支规模越来越大，网络管理员需要在各交换机上配置和维护大量的VLAN信息，工作量大而且容易出错。

因此，管理员希望减少VLAN配置和维护的工作量，但外来访客接入分支网络的权限需要限制，管理员希望ACC1上的VLAN能独立配置和维护。

2. 配置思路

可在此企业分支网络中部署VCMP，将汇聚交换机AGG设置为Server，接入交换机ACC2～ACC3设置为Client，为使ACC1不受VCMP管理，将其设置为Silent。

这样，只需在AGG上修改VLAN信息，该信息将自动发送到企业分支网络中的ACC1～ACC3上。

ACC2～ACC3会自动同步AGG上的VLAN信息，而ACC1不受VCMP的影响，从而既减少了在多台交换机上修改同一个VLAN信息的工作量，也保证了ACC1的VLAN独立性。

同时，为免去手工设置链路类型的麻烦，配置通过LNP自动协商链路类型。

采用如下的思路配置VCMP：

（1）配置LNP，实现链路类型自动协商，简化用户配置。

（2）指定各设备的角色，以确定VCMP管理范围、管理与被管理对象。

（3）在角色为Server和Client的设备上分别配置VCMP相关参数，包括认证密码、设备ID等，以保证Server和Client间能安全通信和身份识别。

（4）使能VCMP，使VCMP功能生效。

3. 操作步骤

（1）配置通过LNP自动协商链路类型

缺省情况下，全局和接口上的LNP处于使能状态，此时所有接口通过LNP自协商链路类型。

可以使用命令display lnp summary查看交换机全局和接口上是否使能链路类型自协商功能（分别关注显示信息的“Global LNP”和“link-type(C)”字段），并检查接口的链路类型（关注显示信息的“link-type(N)”字段）：

如果全局或接口上没有使能链路类型自协商功能，可执行如下步骤进行配置：

# 全局使能链路类型自协商功能。ACC1、ACC2和ACC3的配置与AGG类似，不再赘述。

<HUAWEI> system-view

[HUAWEI] sysname AGG

[AGG] undo lnp disable

# 接口下使能链路类型自协商功能。ACC1、ACC2和ACC3的配置与AGG类似，不再赘述。

[AGG] interface GigabitEthernet 0/0/1

[AGG-GigabitEthernet0/0/1] undo port negotiation disable

[AGG-GigabitEthernet0/0/1] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/1] quit

[AGG] interface GigabitEthernet 0/0/2

[AGG-GigabitEthernet0/0/2] undo port negotiation disable

[AGG-GigabitEthernet0/0/2] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/2] quit

[AGG] interface GigabitEthernet 0/0/3

[AGG-GigabitEthernet0/0/3] undo port negotiation disable

[AGG-GigabitEthernet0/0/3] port link-type negotiation-desirable

[AGG-GigabitEthernet0/0/3] quit

如果全局和接口上已使能链路类型自协商功能，但交换机间连接接口的链路类型为Access，为保证VCMP正常运行，可以执行命令port link-type { trunk | hybrid }手工指定接口的链路类型。

（2）指定各设备的角色

# 配置AGG的角色为Server。

[AGG] vcmp role server

# 配置ACC1的角色为Silent。

[ACC1] vcmp role silent

# 配置ACC2的角色为Client。

[ACC2] vcmp role client

# 配置ACC3的角色为Client。

[ACC3] vcmp role client

（3）在Server和Client上配置VCMP相关参数

# 在AGG上配置VCMP管理域、设备ID和认证密码。

[AGG] vcmp domain vd1

[AGG] vcmp device-id server

[AGG] vcmp authentication sha2-256 password Hello

# 在ACC2上配置VCMP管理域和认证密码。

[ACC2] vcmp domain vd1

[ACC2] vcmp authentication sha2-256 password Hello

# 在ACC3上配置VCMP管理域和认证密码。

[ACC3] vcmp domain vd1

[ACC3] vcmp authentication sha2-256 password Hello

（4）使能VCMP功能

缺省情况下，接口上的VCMP功能已使能，无需再使能。但为避免VCMP报文影响PC终端，可在Client连接PC终端的接口上去使能VCMP功能。

[ACC2] interface GigabitEthernet 0/0/2

[ACC2-GigabitEthernet0/0/2] vcmp disable

[ACC2-GigabitEthernet0/0/2] quit [ACC3] interface GigabitEthernet 0/0/2

[ACC3-GigabitEthernet0/0/2] vcmp disable

[ACC3-GigabitEthernet0/0/2] quit

（5）验证配置结果

上述配置完成后，执行display vcmp status命令可以查看VCMP配置信息，包括VCMP管理域域名、设备角色、设备ID、配置序列号和域密码。

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部