统一计算 : Cisco UCS B???????

专用VLAN和思科UCS配置

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述在思科统一计算系统(UCS)的专用VLAN (PVLAN)支持,在Cisco UCS Manager的版本介绍的功能1.4。当PVLAN用于UCS环境时,它也详述功能、警告和配置。

贡献用汤米胡子和约瑟夫Ristaino, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • UCS
  • 思科连结1000个V (N1K)
  • VMware
  • Layer2 (L2)交换

使用的组件


本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

理论

专用VLAN是为L2从其他端口的隔离配置的VLAN在同样专用VLAN内。属于PVLAN的端口关联与共同的一套支持VLAN,用于为了创建PVLAN结构。

有三种类型的 PVLAN 端口:

  • 混合端口用其他PVLAN端口沟通并且是用于的端口为了用设备沟通在PVLAN外面。
  • 隔离端口有完整L2分离(包括广播)除混合端口外,从在同样PVLAN内的其他端口。
  • 社区端口能用其他端口沟通在同样PVLAN以及混合端口。公共端口隔离在L2从端口在其他社区或隔离的PVLAN端口。广播只被传播到其他端口在社区和混合端口。

参考的RFC 5517, Cisco系统的专用VLAN :在要了解PVLAN的理论、操作和概念的多客户端环境的可扩展安全

在UCS的PVLAN实施

UCS接近类似于连结5000/2000体系结构,其中连结5000是类似于UCS 6100和连结2000年对UCS 2104结构扩展器。

PVLAN功能的许多限制在UCS的是由被找到的限制造成的连结5000/2000实施。

记住的重点是:

  • UCS支持仅隔离端口。使用合并的N1K,您能使用团体VLAN,但是混合端口必须在N1K。
  • 一个服务器虚拟网络网络界面控制器(vNIC)在UCS不能运载正常和隔离VLAN,除非在版本2.2(2c)和以上。
  • 没有混合端口/中继、社区端口/中继或者隔离中继的支持。
  • 混合端口需要是UCS域的外部,例如一个上行交换机/路由器或者下行N1K。

目标

本文用UCS包括几不同的配置可用为PVLAN :

  1. 与混合端口的隔离PVLAN一个上行设备的。
  2. 在N1K的隔离PVLAN与一个上行设备的混合端口。
  3. 在N1K的隔离PVLAN与N1K上行链路波尔特配置文件的混合端口
  4. 在N1K的公共PVLAN与N1K上行链路波尔特配置文件的混合端口。
  5. 在VMware的隔离PVLAN分配了DVS的虚拟交换机(DVS)混合端口。
  6. 在VMware DVS交换机混合端口的公共PVLAN DVS的。

配置

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

所有示例的拓扑用一分布式交换机是:

所有示例的拓扑没有分布式交换机是:

在vSwitch的PVLAN :与混合端口的隔离PVLAN一个上行设备的

在此配置中,您通过UCS通过PVLAN流量到上行的混合端口。由于您不能发送在同一vNIC的主要的和辅助VLAN,您需要每刀片的一vNIC每PVLAN的,为了运载PVLAN流量。

版本2.2(2c)和以上支持团体VLAN和能力运载在单个vNIC的多个PVLAN映射。

在UCS的配置

此步骤描述如何创建主要的和所有隔离VLAN。

注意:此示例使用266作为主要的和166作为隔离;VLAN ID取决于将站点。

  1. 为了创建主VLAN,请单击主要的作为共享的类型,并且输入VLAN ID 266 :



  2. 为了创建隔离VLAN,请单击隔离作为共享的类型,输入VLAN ID 166,并且选择VLAN 266 (266)作为主VLAN :



  3. 为了添加VLAN到vNIC,请点击Select复选框VLAN的166,并且点击相关的本地VLAN单选按钮。



    仅隔离VLAN被添加,必须设置如主要的,并且可以只有一个每vNIC的。由于本地VLAN定义此处,请勿配置在VMware端口组的VLAN标记。

上行设备的配置

这些步骤描述如何配置连结5K通过通过PVLAN到混合端口的一上行4900交换机。当这可能不是必要的在所有环境时,请使用此配置,在必须通过PVLAN另一交换机情况下。

在连结5K,请输入这些命令和检查上行链路配置:

  1. 打开PVLAN功能:

    Nexus5000-5(config)# feature private-vlan
  2. 添加VLAN如主要的和隔离:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. 连结VLAN 266与隔离VLAN 166 :

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. 确保所有uplink端口配置为了建立中继VLAN :

    1. 建立接口Ethernet1/1
    2. 说明连接到4900
    3. switchport mode trunk
    4. 速度1000
    5. 接口Ethernet1/3
    6. 对FIB Port5的说明连接
    7. switchport mode trunk
    8. 速度1000
    9. 接口Ethernet1/4
    10. 对FIA端口5的说明连接
    11. switchport mode trunk
    12. 速度1000

在4900交换机上,请采取这些步骤,并且设置混合端口。在混合端口的PVLAN末端。

  1. 如果必须打开PVLAN功能。
  2. 创建并且关联VLAN如执行在连结5K。
  3. 创建4900交换机的输出端口的混合端口。从这时起,从VLAN 166的数据包在VLAN 266在这种情况下被看到。

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

在上游路由器上,仅请创建VLAN的266一子接口。在这个阶层,需求取决于您使用的网络配置:

  1. 接口GigabitEthernet0/1.1
  2. encapsulation dot1q 266
  3. IP ADDRESS 209.165.200.225 255.255.255.224

排除故障

此步骤描述如何测试配置。

  1. 配置在每交换机的Switch Virtual Interface (SVI),允许您ping从PVLAN的SVI :

    (config)# interface vlan 266
    (config-if)# ip address 209.165.200.225 255.255.255.224
    (config-if)# private-vlan mapping 166
    (config-if)# no shut
  2. 检查MAC地址表为了发现哪里了解您的MAC。在所有交换机上, MAC应该在除了在交换机的隔离VLAN有混合端口的。在混乱交换机上,请注意MAC在主VLAN。

    1. 在结构互连, MAC地址0050.56bd.7bef在Veth1491了解:



    2. 在连结5K, MAC地址0050.56bd.7bef在Eth1/4了解:

    3. 在4900交换机上, MAC地址0050.56bd.7bef在GigabitEthernet1/1了解:

在此配置中,在此隔离VLAN的系统不与彼此联络,然而能用其他系统通信通过4900交换机的混合端口。一个问题是如何配置downsteam设备。在这种情况下,您使用VMware和两台主机。

切记您必须使用一vNIC每PVLAN,如果使用在版本2.2(2c)之前的一个版本。这些vNICs被提交对VMware vSphere ESXi,并且您能然后创建端口组和有访客对这些端口组。

如果两个系统被添加到同一交换机的相同端口组,他们能与彼此联络,因为他们的通信交换本地在vSwitch。在此系统中,有有两的两个前端主机其中每一。

在第一个系统上,两个不同的端口组创建-一呼叫的166和一个人呼叫166A。其中每一连接对单个NIC,在UCS的隔离VLAN配置。只当前有每个端口组的一访客。在这种情况下,因为这些在ESXi被分离,他们不能彼此谈。

在第二个系统上,只有呼叫的一个端口组166。有两访客在此端口组中。在此配置中, VM3和VM4能与彼此联络,即使您不希望此发生。为了更正此,是在隔离VLAN的您需要配置每台虚拟机的单个NIC,然后创建端口组附加对该vNIC。一旦这配置,只请放一访客到端口组。因为您没有这些基础vSwitches,这不是与一个仅有的金属Windows安装的一问题。

在N1K的隔离PVLAN与上行设备的混合端口

在此配置中,您通过N1K通过PVLAN流量然后UCS到上行的混合端口。由于您不能发送在同一vNIC的主要的和辅助VLAN,您需要每PVLAN上行链路的一vNIC为了运载PVLAN流量。

版本2.2(2c)和以上支持团体VLAN和能力运载在单个vNIC的多个PVLAN映射。

在UCS的配置

此步骤描述如何创建主要的和所有隔离VLAN。

注意:此示例使用266作为主要的和166作为隔离;VLAN ID取决于将站点。

  1. 为了创建主VLAN,请单击主要的作为共享的类型:



  2. 为了创建隔离VLAN,请单击隔离作为共享的类型:



  3. 为了添加VLAN到vNIC,请点击Select复选框VLAN的166。VLAN 166没有选择的本地VLAN。



    仅隔离VLAN被添加,不能设置如本地,并且可以只有一个每vNIC的。由于本地VLAN没有定义此处,请标记在N1K的本地VLAN。选项标记本地VLAN不是可用的在VMware DVS,因此DVS不支持这。

上行设备的配置

这些步骤描述如何配置连结5K为了通过通过PVLAN到混合端口的一上行4900交换机。当这可能不是必要的在所有环境时,请使用此配置,在必须通过PVLAN另一交换机情况下。

在连结5K,请输入这些命令和检查上行链路配置:

  1. 打开PVLAN功能:

    Nexus5000-5(config)# feature private-vlan
  2. 添加VLAN如主要的和隔离:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. 连结VLAN 266与隔离VLAN 166 :

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. 确保所有uplink端口配置为了建立中继VLAN :

    1. 建立接口Ethernet1/1
    2. 说明连接到4900
    3. switchport mode trunk
    4. 速度1000
    5. 接口Ethernet1/3
    6. 对FIB Port5的说明连接
    7. switchport mode trunk
    8. 速度1000
    9. 接口Ethernet1/4
    10. 对FIA端口5的说明连接
    11. switchport mode trunk
    12. 速度1000

在4900交换机上,请采取这些步骤,并且设置混合端口。在混合端口的PVLAN末端。

  1. 如果必须打开PVLAN功能。
  2. 创建并且关联VLAN如执行在连结5K。
  3. 创建4900交换机的输出端口的混合端口。从这时起,从VLAN 166的数据包在VLAN 266在这种情况下被看到。

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

在上游路由器上,仅请创建VLAN的266一子接口。在这个阶层,需求取决于您使用的网络配置:

  1. 接口GigabitEthernet0/1.1
  2. encapsulation dot1q 266
  3. IP ADDRESS 209.165.200.225 255.255.255.224

N1K的配置

此步骤描述如何配置N1K作为一标准的中继,不是PVLAN中继。

  1. 创建并且关联VLAN如执行在连结5K。参考上行设备部分的配置欲知更多信息。
  2. 创建PVLAN流量的一上行链路波尔特配置文件:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode trunk
    Switch(config-port-prof)# switchport trunk allowed vlan 166,266
    Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle
    traffic coming back from the promiscuous port.
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. 创建隔离VLAN的端口组;创建有主机关联的一个PVLAN主机端口主要的和隔离VLAN的:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. 在vCenter,请添加适当的vNIC到PVLAN上行链路。这是您添加隔离VLAN在UCS设置的配置下的vNIC。



  5. 添加VM到正确端口组:

    1. 在Hardware选项,请点击网络适配器1。
    2. 选择pvlan_guest (pvlan)网络标签的在网络连接下:

排除故障

此步骤描述如何测试配置。

  1. 运行ping到在端口组中配置的其他系统以及路由器或者其它设备在混合端口。而那些对在隔离VLAN的其它设备应该发生故障,对设备的Ping通过混合端口应该工作。



  2. 在N1K, VMs在主VLAN列出;这发生,因为您在关联对PVLAN的PVLAN主机端口。由于如何了解VMs,请保证您不设置PVLAN如本地在UCS系统。并且请注意您学习从端口通道的上行设备,并且上行设备在主VLAN了解。在此方法必须了解这,是您为什么有主VLAN作为在PVLAN上行链路的本地VLAN。

    在此屏幕画面,在Veth3的两个设备和Veth 4是VMs。在Po1的设备是通过混合端口的上游路由器。



  3. 在UCS系统上,您应该学习所有MAC,此通信的,在隔离VLAN。您不应该看到上行此处:



  4. 在连结5K,两个VMs在隔离VLAN,而上行设备在主VLAN :



  5. 在4900交换机上,混合端口,一切在主VLAN :

在N1K的隔离PVLAN与N1K上行链路波尔特配置文件的混合端口

在此配置中,您包含PVLAN流量对与仅主VLAN使用的上行的N1K。

在UCS的配置

此步骤如何描述添加主VLAN对vNIC。因为您只需要主VLAN,没有对PVLAN配置的需要。 

注意:此示例使用266作为主要的和166作为隔离;VLAN ID取决于将站点。

  1. 注意共享的类型是



  2. 点击Select复选框VLAN的266为了添加主VLAN到vNIC。请勿设置它如本地。

上行设备的配置

这些步骤描述如何配置上行设备。在这种情况下,上行交换机只需要中继端口,并且他们只需要建立中继VLAN 266,因为它是上行交换机看到的唯一的VLAN。

在连结5K,请输入这些命令和检查上行链路配置:

  1. 添加VLAN如主要的:

    Nexus5000-5(config-vlan)# vlan 266
  2. 确保所有uplink端口配置为了建立中继VLAN :

    1. 建立接口Ethernet1/1
    2. 说明连接到4900
    3. switchport mode trunk
    4. 速度1000
    5. 接口Ethernet1/3
    6. 对FIB Port5的说明连接
    7. switchport mode trunk
    8. 速度1000
    9. 接口Ethernet1/4
    10. 对FIA端口5的说明连接
    11. switchport mode trunk
    12. 速度1000

在4900交换机上,请采取这些步骤:

  1. 创建如主要的使用的VLAN在N1K。
  2. 到/从4900交换机建立中继所有接口,以便VLAN通过。

在上游路由器上,仅请创建VLAN的266一子接口。在这个阶层,需求取决于您使用的网络配置。

  1. 接口GigabitEthernet0/1.1
  2. encapsulation dot1q 266
  3. IP ADDRESS 209.165.200.225 255.255.255.224

N1K的配置

此步骤描述如何配置N1K。

  1. 创建并且关联VLAN :

    Switch(config)# vlan 166
    Switch(config-vlan)# private-vlan isolated
    Switch(config-vlan)# vlan 266
    Switch(config-vlan)# private-vlan primary
    Switch(config-vlan)# private-vlan association 166
  2. 创建PVLAN流量的一上行链路波尔特配置文件与被表明的混合端口:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
    Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to
    allow the primary VLAN
    Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must
    be mapped at this point
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. 创建隔离VLAN的端口组;创建有主机关联的一个PVLAN主机端口主要的和隔离VLAN的:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. 在vCenter,请添加适当的vNIC到PVLAN上行链路。这是您添加隔离VLAN在UCS设置的配置下的vNIC。


  5. 添加VM到正确端口组。

    1. 在Hardware选项,请点击网络适配器1。
    2. 选择pvlan_guest (pvlan)网络标签的在网络连接下。

排除故障

此步骤描述如何测试配置。

  1. 运行ping到在端口组中配置的其他系统以及路由器或者其它设备在混合端口。而那些对在隔离VLAN的其它设备应该发生故障,对设备的Ping通过混合端口应该工作。



  2. 在N1K, VMs在主VLAN列出;这发生,因为您在关联对PVLAN的PVLAN主机端口。并且请注意您学习从端口通道的上行设备,并且上行设备在主VLAN了解。

    在此屏幕画面,在Veth3的两个设备和Veth 4是VMs。在Po1的设备是通过混合端口的上行设备。



  3. 在UCS系统上,您应该学习所有MAC,此通信的,在您在N1K使用的主VLAN。您不应该学习上行此处:



  4. 在连结5K,所有MAC在您选择的主VLAN :



  5. 在4900交换机,一切在您选择的主VLAN :

在N1K的公共PVLAN与N1K上行链路波尔特配置文件的混合端口

这是团体VLAN的唯一的支持的配置与UCS。

此配置是相同的象在隔离PVLAN的该设置在与混合端口的N1K N1K上行链路波尔特配置文件部分的。隔离唯一的差异社区之间和是PVLAN的配置。

要配置N1K,请创建并且关联VLAN,您在连结5K执行:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

其他配置是相同的象在N1K的隔离PVLAN与N1K上行链路波尔特配置文件的混合端口。

一旦这配置,您能通信与所有VMs连接对用于您的PVLAN的vEthernet波尔特配置文件。

排除故障

此步骤描述如何测试配置。

  1. 运行ping到在端口组中配置的其他系统以及路由器或者其它设备在混合端口。Ping通过混合端口和对其他系统在社区中应该工作。



  2. 其他故障排除是相同的象隔离PVLAN

隔离PVLAN和公共PVLAN在VMware DVS混合端口DVS的

由于在DVS和UCS系统的配置问题,当前不支持与DVS的PVLAN和UCS。

验证

当前没有验证程序可用为这些配置。

故障排除

您能使用为了排除故障您的配置的前面部分中提供的信息。

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116310