Unified Computing : Servidores blade Cisco UCS B-Series

VLAN privado e configuração de Cisco UCS

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o apoio do VLAN privado (PVLAN) no Cisco Unified Computing System (UCS), uma característica introduzida na liberação 1.4 do Cisco UCS Manager. Igualmente detalha as características, as advertências, e a configuração quando os PVLAN são usados em um ambiente UCS.

Contribuído pela barba de Tommy e pelo Joseph Ristaino, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • UCS
  • Nexo de Cisco 1000 V (N1K)
  • VMware
  • Interruptor da camada 2 (L2)

Componentes Utilizados


Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Teoria

Um VLAN privado é um VLAN configurado para o isolamento L2 de outras portas dentro do mesmo VLAN privado. As portas que pertencem a um PVLAN são associadas com um grupo comum do apoio VLAN, que são usados a fim criar a estrutura PVLAN.

Há três tipos de portas PVLAN:

  • Uma porta misturada comunica-se com todas portas restantes PVLAN e é-se a porta usada a fim comunicar-se com os dispositivos fora do PVLAN.
  • Uma porta isolada tem a separação L2 completa (que inclui transmissões) de outras portas dentro do mesmo PVLAN à excecpção da porta misturada.
  • Uma porta da comunidade pode comunicar-se com outras portas no mesmo PVLAN assim como na porta misturada. As portas da comunidade são isoladas no L2 das portas em outras comunidades ou portas isoladas PVLAN. As transmissões são propagadas somente a outras portas na comunidade e na porta misturada.

Refira o RFC 5517, os VLAN privados dos Cisco Systems: Segurança escalável em um ambiente do Multi-cliente para compreender a teoria, a operação, e os conceitos dos PVLAN.

Aplicação PVLAN no UCS

O UCS assemelha-se proximamente ao nexo 5000/2000 de arquitetura, onde o nexo 5000 é análogo ao UCS 6100 e ao nexo 2000 aos prolongamentos da tela UCS 2104.

Muitas limitações da funcionalidade PVLAN no UCS são causadas pelas limitações encontradas no nexo 5000/2000 de aplicação.

Os pontos importantes a recordar são:

  • Somente as portas isoladas são apoiadas no UCS. Com o N1K incorporado, você pode usar VLAN de comunidade, mas a porta misturada deve estar no N1K também.
  • Um controlador da relação de rede virtual do server (vNIC) no UCS não pode levar um regular e um vlan isolada a menos que na versão 2.2(2c) e mais recente.
  • Não há nenhum apoio para portas misturadas/troncos, a comunidade move/tronco, ou troncos isolados.
  • As portas misturadas precisam de ser fora do domínio UCS, tal como um interruptor/roteador ascendente ou um N1K a jusante.

Objetivo

Este capas de documento diversas configurações diferentes disponíveis para o PVLAN com o UCS:

  1. PVLAN isolado com porta misturada em um dispositivo ascendente.
  2. PVLAN isolado em N1K com porta misturada em um dispositivo ascendente.
  3. PVLAN isolado em N1K com porta misturada no porta-perfil do uplink N1K
  4. A comunidade PVLAN em N1K com porta misturada no porta-perfil do uplink N1K.
  5. O PVLAN isolado em VMware distribuiu a porta misturada do virtual switch (DV) nos DV.
  6. A comunidade PVLAN em VMware DV comuta a porta misturada nos DV.

Configurar

Nota: Use a Command Lookup Tool ( somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagramas da rede

A topologia para todos os exemplos com um interruptor distribuído é:

A topologia para todos os exemplos sem o interruptor distribuído é:

PVLAN no vSwitch: PVLAN isolado com porta misturada em um dispositivo ascendente

Nesta configuração, você está passando o tráfego PVLAN com o UCS a uma porta misturada que seja ascendente. Porque você não pode enviar preliminar e VLAN secundários no mesmo vNIC, você precisa um vNIC para cada lâmina para cada PVLAN, a fim levar o tráfego PVLAN.

VLAN de comunidade do apoio da versão 2.2(2c) e mais recente e a capacidade levar mapeamentos PVLAN múltiplos em um único vNIC.

Configuração no UCS

Este procedimento descreve como criar o preliminar e todos os vlan isolada.

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. A fim criar o VLAN principal, clique preliminar como o tipo de partilha, e incorpore um ID de VLAN de 266:



  2. A fim criar o vlan isolada, clique isolado como o tipo de partilha, incorpora um ID de VLAN de 166, e escolha VLAN 266 (266) como o VLAN principal:



  3. A fim adicionar o VLAN ao vNIC, clique a caixa de seleção seleta para VLAN 166, e clique o botão de rádio associado do VLAN nativo.



    Somente o vlan isolada é adicionado, deve ser ajustado como preliminar, e pode somente haver um para cada vNIC. Porque o VLAN nativo é definido aqui, não configurar o VLAN que etiqueta nos grupos de porta de VMware.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar um nexo 5K para passar completamente o PVLAN a um 4900 Switch ascendente onde a porta misturada esteja. Quando isto não puder ser necessário em todos os ambientes, use esta configuração caso você dever passar o PVLAN através de um outro interruptor.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Gire sobre os recursos de PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Adicionar os VLAN como preliminar e isolados:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Associe VLAN 266 com o vlan isolada 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas, e estabelece a porta misturada. As extremidades PVLAN na porta misturada.

  1. Gire sobre recursos de PVLAN se for necessário.
  2. Crie e associe os VLAN como feitos no nexo 5K.
  3. Crie a porta misturada na porta de saída do 4900 Switch. A partir daqui, os pacotes de VLAN 166 são vistos em VLAN 266 neste caso.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você se está usando:

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Configurar a interface virtual do interruptor (SVI) em cada interruptor, que permite que você sibile o SVI do PVLAN:

    (config)# interface vlan 266
    (config-if)# ip address 209.165.200.225 255.255.255.224
    (config-if)# private-vlan mapping 166
    (config-if)# no shut
  2. Verifique as tabelas de endereços MAC a fim ver onde seu MAC está sendo instruído. Em todo o Switches, o MAC deve estar no vlan isolada exceto no interruptor com a porta misturada. No interruptor promíscuo, note que o MAC está no VLAN principal.

    1. Na interconexão da tela, o MAC address 0050.56bd.7bef é aprendido em Veth1491:



    2. No nexo 5K, o MAC address 0050.56bd.7bef é aprendido em Eth1/4:

    3. No 4900 Switch, o MAC address 0050.56bd.7bef é aprendido em GigabitEthernet1/1:

Nesta configuração, os sistemas neste vlan isolada não podem comunicar-se um com o otro, mas podem comunicar-se com outros sistemas através da porta misturada no 4900 Switch. Uma edição é como configurar dispositivos do downsteam. Neste caso, você está usando VMware e dois anfitriões.

Recorde que você deve usar um vNIC para cada PVLAN se você usa uma versão antes da versão 2.2(2c). Estes vNICs são apresentados ao vSphere ESXi de VMware, e você pode então criar grupos de porta e ter convidados a estes grupos de porta.

Se dois sistemas são adicionados ao grupo da mesma porta no mesmo interruptor, podem comunicar-se um com o otro porque suas comunicações são ligadas localmente o vSwitch. Neste sistema, há duas lâminas com dois hospeda cada um.

No primeiro sistema, dois grupos de porta diferentes foram criados - um 166 chamado, e se chamaram 166A. Cada um é conectado a um único NIC, que seja configurado no vlan isolada no UCS. Há atualmente somente um convidado para cada grupo de porta. Neste caso, porque estes são separados em ESXi, não podem falar entre si.

No segundo sistema, há somente um grupo de porta chamado 166. Há dois convidados neste grupo de porta. Nesta configuração, VM3 e VM4 podem comunicar-se um com o otro mesmo que você não queira este acontecer. A fim corrigir isto, você precisa de configurar um único NIC para cada máquina virtual (VM) que está no vlan isolada, e de criar então um grupo de porta anexado a esse vNIC. Uma vez que isto é configurado, põe somente um convidado no grupo de porta. Este não é um problema com um metal desencapado Windows instala porque você não tem estes vSwitches subjacentes.

PVLAN isolado em N1K com porta misturada em um dispositivo ascendente

Nesta configuração, você está passando a tráfego PVLAN com um N1K então o UCS a uma porta misturada que seja ascendente. Porque você não pode enviar preliminar e VLAN secundários no mesmo vNIC, você precisa um vNIC para cada uplink PVLAN a fim levar o tráfego PVLAN.

VLAN de comunidade do apoio da versão 2.2(2c) e mais recente e a capacidade levar mapeamentos PVLAN múltiplos em um único vNIC.

Configuração no UCS

Este procedimento descreve como criar o preliminar e todos os vlan isolada.

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. A fim criar o VLAN principal, clique preliminar como o tipo de partilha:



  2. A fim criar o vlan isolada, clique isolado como o tipo de partilha:



  3. A fim adicionar o VLAN ao vNIC, clique a caixa de seleção seleta para VLAN 166. O VLAN 166 não tem o VLAN nativo selecionado.



    Somente o vlan isolada é adicionado, não deve ser ajustado como o nativo, e pode somente haver um para cada vNIC. Porque o VLAN nativo não é definido aqui, etiquete o VLAN nativo no N1K. A opção para etiquetar um VLAN nativo não está disponível em VMware DV, assim que esta não é apoiada em DV.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar um nexo 5K a fim passar completamente o PVLAN a um 4900 Switch ascendente onde a porta misturada esteja. Quando isto não puder ser necessário em todos os ambientes, use esta configuração caso você dever passar o PVLAN através de um outro interruptor.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Gire sobre os recursos de PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Adicionar os VLAN como preliminar e isolados:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Associe VLAN 266 com o vlan isolada 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas, e estabelece a porta misturada. As extremidades PVLAN na porta misturada.

  1. Gire sobre recursos de PVLAN se for necessário.
  2. Crie e associe os VLAN como feitos no nexo 5K.
  3. Crie a porta misturada na porta de saída do 4900 Switch. A partir daqui, os pacotes de VLAN 166 são vistos em VLAN 266 neste caso.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você se está usando:

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Configuração de N1K

Este procedimento descreve como configurar o N1K como um tronco padrão, não um tronco PVLAN.

  1. Crie e associe os VLAN como feitos no nexo 5K. Refira a configuração da seção ascendente dos dispositivos para mais informação.
  2. Crie um porta-perfil do uplink para o tráfego PVLAN:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode trunk
    Switch(config-port-prof)# switchport trunk allowed vlan 166,266
    Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle
    traffic coming back from the promiscuous port.
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Crie o grupo de porta para o vlan isolada; crie uma porta de host PVLAN com a associação do host para o preliminar e os vlan isolada:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. No vCenter, adicionar o vNIC apropriado ao uplink PVLAN. Este é o vNIC a que você adicionou o vlan isolada sob a configuração em ajustes UCS.



  5. Adicionar o VM ao grupo de porta correto:

    1. Na aba do hardware, clique o adaptador de rede 1.
    2. Escolha mais pvlan_guest (pvlan) para a etiqueta da rede sob a conexão de rede:

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos ao dispositivo após a porta misturada devem trabalhar, quando aqueles aos outros dispositivos no vlan isolada deverem falhar.



  2. No N1K, os VM são alistados no VLAN principal; isto ocorre porque você está nas portas de host PVLAN que são associadas ao PVLAN. Devido a como os VM são instruídos, assegure-se de que você não ajuste o PVLAN como o nativo no sistema UCS. Igualmente note que você aprende o dispositivo ascendente do Canal de porta e que o dispositivo ascendente está aprendido no VLAN principal também. Isto deve ser aprendido neste método, que é porque você tem o VLAN principal como o VLAN nativo no uplink PVLAN.

    Neste screen shot, os dois dispositivos em Veth3 e Veth 4 são os VM. O dispositivo em Po1 é o roteador fluxo acima que é após a porta misturada.



  3. No sistema UCS, você deve aprender todos os MAC, para esta comunicação, no vlan isolada. Você não deve ver o ascendente aqui:



  4. No nexo 5K, os dois VM estão no vlan isolada, quando o dispositivo ascendente estiver no VLAN principal:



  5. No 4900 Switch, onde a porta misturada está, tudo está no VLAN principal:

PVLAN isolado em N1K com porta misturada no Porta-perfil do uplink N1K

Nesta configuração, você está contendo o tráfego PVLAN ao N1K com somente o VLAN principal usado rio acima.

Configuração no UCS

Este procedimento descreve como adicionar o VLAN principal ao vNIC. Não há nenhuma necessidade para a configuração de PVLAN porque você precisa somente o VLAN principal. 

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. Note que o tipo de partilha não é nenhum.



  2. Clique a caixa de seleção seleta para VLAN 266 a fim adicionar o VLAN principal ao vNIC. Não o ajuste como o nativo.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar os dispositivos ascendentes. Neste caso, o Switches ascendente precisa somente portas de tronco, e precisa somente o tronco VLAN 266 porque é o único VLAN que o Switches ascendente considera.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Adicionar o VLAN como preliminar:

    Nexus5000-5(config-vlan)# vlan 266
  2. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas:

  1. Crie os VLAN usados como preliminares no N1K.
  2. Tronco todas as relações a e do 4900 Switch de modo que o VLAN seja passado.

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você se está usando.

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Configuração de N1K

Este procedimento descreve como configurar o N1K.

  1. Crie e associe os VLAN:

    Switch(config)# vlan 166
    Switch(config-vlan)# private-vlan isolated
    Switch(config-vlan)# vlan 266
    Switch(config-vlan)# private-vlan primary
    Switch(config-vlan)# private-vlan association 166
  2. Crie um porta-perfil do uplink para o tráfego PVLAN com a porta misturada notável:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
    Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to
    allow the primary VLAN
    Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must
    be mapped at this point
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Crie o grupo de porta para o vlan isolada; crie uma porta de host PVLAN com a associação do host para o preliminar e os vlan isolada:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. No vCenter, adicionar o vNIC apropriado ao uplink PVLAN. Este é o vNIC a que você adicionou o vlan isolada sob a configuração em ajustes UCS.


  5. Adicionar o VM ao grupo de porta correto.

    1. Na aba do hardware, clique o adaptador de rede 1.
    2. Escolha mais pvlan_guest (pvlan) para a etiqueta da rede sob a conexão de rede.

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos ao dispositivo após a porta misturada devem trabalhar, quando aqueles aos outros dispositivos no vlan isolada deverem falhar.



  2. No N1K, os VM são alistados no VLAN principal; isto ocorre porque você está nas portas de host PVLAN que são associadas ao PVLAN. Igualmente note que você aprende o dispositivo ascendente do Canal de porta e que o dispositivo ascendente está aprendido no VLAN principal também.

    Neste screen shot, os dois dispositivos em Veth3 e Veth 4 são os VM. O dispositivo em Po1 é o dispositivo ascendente que é após a porta misturada.



  3. No sistema UCS, você deve aprender todos os MAC, para esta comunicação, no VLAN principal que você se usa no N1K. Você não deve aprender o ascendente aqui:



  4. No nexo 5K, todos os MAC estão no VLAN principal que você selecionou:



  5. No 4900 Switch, tudo está no VLAN principal que você selecionou:

A comunidade PVLAN em N1K com porta misturada no Porta-perfil do uplink N1K

Esta é a única configuração suportada para o VLAN de comunidade com UCS.

Esta configuração é a mesma que aquela estabelecida no PVLAN isolado em N1K com porta misturada na seção do Porta-perfil do uplink N1K. A única diferença entre a comunidade e isolada é a configuração do PVLAN.

Para configurar o N1K, crie e associe os VLAN como você fez no nexo 5K:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

Toda configuração restante é a mesma que o PVLAN isolado em N1K com porta misturada no porta-perfil do uplink N1K.

Uma vez que isto é configurado, você pode comunicar-se com todos os VM conectados ao porta-perfil do vEthernet usado para seu PVLAN.

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos após a porta misturada e a outros sistemas na comunidade devem trabalhar.



  2. Todo Troubleshooting restante é o mesmo que o PVLAN isolado.

PVLAN isolado e comunidade PVLAN na porta misturada de VMware DV nos DV

Devido aos problemas de configuração nos DV e no sistema UCS, os PVLAN com DV e o UCS não são apoiados atualmente.

Verificar

Não há atualmente nenhum procedimento de verificação disponível para estas configurações.

Troubleshooting

As seções anterior forneceram a informação que você pode se usar a fim pesquisar defeitos suas configurações.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116310