Унифицированные вычисления : Блейд-серверы Cisco UCS серии B

Частный VLAN и Cisco конфигурация UCS

17 октября 2015 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает частный VLAN (PVLAN) поддержка в Объединенной вычислительной системе (UCS) Cisco, особенность, введенная в Выпуске 1.4 Cisco менеджер по UCS. Когда PVLANs используются в окружающей среде UCS, это также детализирует особенности, протесты, и конфигурацию.

Внесенный Томми Бирдом и Джозефом Ристэйно, Cisco инженеры TAC.

Предпосылки

Требования

Cisco рекомендует иметь знание этих тем:

  • UCS
  • Связь Cisco 1000 В (N1K)
  • VMware
  • Слой 2 (L2) переключение

Используемые компоненты


Этот документ не ограничен определенными версиями программного и аппаратного обеспечения.

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Справочная информация

Теория

Частный VLAN является VLAN, формируемым для изоляции L2 от других портов в пределах того же самого частного VLAN. Порты, которые принадлежат PVLAN, связаны с единым набором поддержки VLANs, которые используются для создания структуры PVLAN.

Существует три типа портов PVLAN:

  • Разнородный порт общается со всеми другими портами PVLAN и является портом, используемым для связи с устройствами за пределами PVLAN.
  • Изолированный порт имеет полное разделение L2 (включая передачи) от других портов в пределах того же самого PVLAN за исключением разнородного порта.
  • Порт сообщества может общаться с другими портами в том же самом PVLAN, а также разнородным портом. Порты сообщества изолированы в L2 от портов в других сообществах или изолированы порты PVLAN. Передачи только размножены к другим портам в сообществе и разнородному порту.

Обратитесь к RFC 5517, Частному VLANs Систем Cisco: Масштабируемая безопасность в Окружающей среде Мультиклиента для понимания теории, операции и понятия PVLANs.

Внедрение PVLAN в UCS

UCS близко напоминает Связь 5000/2000 архитектура, где Связь 5000 походит на UCS 6100 и Связь 2000 к расширителям UCS 2104 Ткани.

Много ограничений функциональности PVLAN в UCS вызваны ограничениями, найденными в Связи 5000/2000 внедрение.

Важные моменты для запоминания:

  • Только изолированные порты поддержаны в UCS. С включенным N1K можно использовать сообщество VLANs, но разнородный порт должен быть на N1K также.
  • Диспетчер интерфейса виртуальной сети (vNIC) сервера в UCS не может нести и постоянного клиента и изолированный VLAN если на Версии 2.2 (2c) и позже.
  • Нет никакой поддержки разнородных портов/стволов, портов/стволов сообщества или изолированных стволов.
  • Разнородные порты должны быть вне области UCS, такой как восходящий выключатель/маршрутизатор или нефтепереработка N1K.

Цель

Этот документ касается нескольких различных конфигураций, доступных для PVLAN с UCS:

  1. Изолированный PVLAN с разнородным портом на восходящем устройстве.
  2. Изолированный PVLAN на N1K с разнородным портом на восходящем устройстве.
  3. Изолированный PVLAN на N1K с разнородным портом на профиле порта N1K uplink
  4. Сообщество PVLAN на N1K с разнородным портом на профиле порта N1K uplink.
  5. Изолированный PVLAN на Распределенном действительном выключателе (DVS) VMware разнородный порт на DVS.
  6. Сообщество PVLAN на VMware DVS переключает разнородный порт на DVS.

Формировать

Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о командах, используемых в этой секции.

Сетевые диаграммы

Топология для всех примеров с распределенным выключателем:

Топология для всех примеров без распределенного выключателя:

PVLAN на vSwitch: Изолированный PVLAN с Разнородным Портом на Устройстве сектора Upstream

В этой конфигурации вы передаете движение PVLAN через UCS к разнородному порту, который является вверх по течению. Поскольку вы не можете послать и основной и вторичный VLANs на том же самом vNIC, вы нуждаетесь в одном vNIC для каждого лезвия для каждого PVLAN для переноса движения PVLAN.

Версия 2.2 (2c) и более позднее Сообщество поддержки VLANs и способность нести многократные отображения PVLAN на единственном vNIC.

Конфигурация в UCS

Эта процедура описывает, как создать и предварительные выборы, и любой изолировал VLANS.

Примечание: Этот пример использует 266 в качестве предварительных выборов и 166 как изолированное; IDs VLAN будет определен местом.

  1. Для создания основного VLAN нажмите Primary как Разделение Типа и введите идентификатор VLAN 266:



  2. Для создания изолированного VLAN нажмите Isolated как Разделение Типа, введите идентификатор VLAN 166 и выберите VLAN 266 (266) в качестве Основного VLAN:



  3. Для добавления VLAN к vNIC щелкните флажком Select для VLAN 166 и щелкните связанной родной радио-кнопкой VLAN.



    Только изолированный VLAN добавлен, он должен быть установлен как основной, и может только быть один для каждого vNIC. Поскольку родной VLAN определен здесь, не формируйте VLAN наклеивающий групп порта VMware.

Конфигурация устройств сектора Upstream

Эти процедуры описывают, как формировать Связь 5K для прохождения PVLAN через к восходящим 4900 выключателям, где разнородный порт. В то время как это может не быть необходимо во всей окружающей среде, используйте эту конфигурацию, если необходимо передать PVLAN через другой выключатель.

На Связи 5K, войдите в эти команды и проверьте uplink конфигурацию:

  1. Включите особенность PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Добавьте VLANs как основной и изолированный:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Объединенный VLAN 266 с изолированным VLAN 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Удостоверьтесь, что все uplinks формируются чтобы к стволу VLANs:

    1. интерфейс Ethernet1/1
    2. Связь описания с 4900
    3. ствол способа switchport
    4. скорость 1000
    5. интерфейс Ethernet1/3
    6. Связь описания с Портом FIB 5
    7. ствол способа switchport
    8. скорость 1000
    9. интерфейс Ethernet1/4
    10. Связь описания с портом FIA 5
    11. ствол способа switchport
    12. скорость 1000

На этих 4900 выключателях сделайте эти шаги и настройте разнородный порт. PVLAN заканчивается в разнородном порту.

  1. Включите особенность PVLAN при необходимости.
  2. Создайте и свяжите VLANs, как сделано на Связи 5K.
  3. Создайте разнородный порт на порту выхода этих 4900 выключателей. С этого момента пакеты от VLAN 166 замечены на VLAN 266 в этом случае.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

На восходящем маршрутизаторе создайте подынтерфейс для VLAN 266 только. На этом уровне требования зависят от конфигурации сети, которую вы используете:

  1. интерфейс GigabitEthernet0/1.1
  2. герметизация dot1Q 266
  3. IP-адрес 209.165.200.225 255.255.255.224

Поиск неисправностей

Эта процедура описывает, как проверить конфигурацию.

  1. Формируйте выключатель действительный интерфейс (SVI) на каждом выключателе, который позволяет вам свистеть SVI от PVLAN:

    (config)# interface vlan 266
    (config-if)# ip address 209.165.200.225 255.255.255.224
    (config-if)# private-vlan mapping 166
    (config-if)# no shut
  2. Проверьте столы Мак адреса для наблюдения, где изучается MAC. На всех выключателях MAC должен быть в изолированном VLAN за исключением выключателя с разнородным портом. На разнородном выключателе обратите внимание на то, что MAC находится в основном VLAN.

    1. На Межсоединении Ткани Мак адрес 0050.56bd.7bef изучен на Veth1491:



    2. На Связи 5K, Мак адрес 0050.56bd.7bef изучен на Eth1/4:

    3. На этих 4900 выключателях Мак адрес 0050.56bd.7bef изучен на GigabitEthernet1/1:

В этой конфигурации системы в этом изолировали VLAN, не может общаться друг с другом, но может общаться с другими системами через разнородный порт на этих 4900 выключателях. Одна проблема - то, как формировать downsteam устройства. В этом случае вы используете VMware и двух хозяев.

Помните, что необходимо использовать один vNIC для каждого PVLAN при использовании версии до Версии 2.2 (2c). Эти vNICs представлены VMware vSphere ESXi, и можно тогда создать группы порта и иметь гостей этим группам порта.

Если две системы добавлены к той же самой группе порта на том же самом выключателе, они могут общаться друг с другом, потому что их коммуникации переключены в местном масштабе на vSwitch. В этой системе существует два лезвия с двумя хозяевами каждый.

На первой системе были созданы две различных группы порта - каждый звонил 166, и названный 166 А. Каждый связан с единственным NIC, который формируется в изолированном VLAN на UCS. Существует в настоящее время только один гость для каждой группы порта. В этом случае, потому что они отделены на ESXi, они не могут говорить друг с другом.

На второй системе существует только одна группа порта, названная 166. В этой группе порта существует два гостя. В этой конфигурации VM3 и VM4 могут общаться друг с другом даже при том, что вы не хотите, чтобы это произошло. Для исправления этого необходимо формировать единственный NIC для каждой виртуальной машины (VM), которая находится в изолированном VLAN, и затем создайте группу порта, приложенную к этому vNIC. Как только это формируется, поместите только одного гостя в группу порта. Это не проблема с голым металлическим Windows, устанавливают, потому что у вас нет их лежащих в основе vSwitches.

Изолированный PVLAN на N1K с разнородным портом на устройстве сектора Upstream

В этой конфигурации вы передаете движение PVLAN через N1K тогда UCS к разнородному порту, который является вверх по течению. Поскольку вы не можете послать и основной и вторичный VLANs на том же самом vNIC, вы нуждаетесь в одном vNIC для каждого PVLAN uplink для переноса движения PVLAN.

Версия 2.2 (2c) и более позднее Сообщество поддержки VLANs и способность нести многократные отображения PVLAN на единственном vNIC.

Конфигурация в UCS

Эта процедура описывает, как создать и предварительные выборы, и любой изолировал VLANS.

Примечание: Этот пример использует 266 в качестве предварительных выборов и 166 как изолированное; IDs VLAN будет определен местом.

  1. Для создания основного VLAN нажмите Primary как Разделение Типа:



  2. Для создания изолированного VLAN нажмите Isolated как Разделение Типа:



  3. Для добавления VLAN к vNIC щелкните флажком Select для VLAN 166. VLAN 166 не имеет родного VLAN отобранным.



    Только изолированный VLAN добавлен, он не должен быть установлен как местный житель, и может только быть один для каждого vNIC. Поскольку родной VLAN не определен здесь, пометьте родной VLAN на N1K. Выбор пометить родной VLAN не доступен в VMware DVS, таким образом, это не поддержано на DVS.

Конфигурация устройств сектора Upstream

Эти процедуры описывают, как формировать Связь 5K для прохождения PVLAN через к восходящим 4900 выключателям, где разнородный порт. В то время как это может не быть необходимо во всей окружающей среде, используйте эту конфигурацию, если необходимо передать PVLAN через другой выключатель.

На Связи 5K, войдите в эти команды и проверьте uplink конфигурацию:

  1. Включите особенность PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Добавьте VLANs как основной и изолированный:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Объединенный VLAN 266 с изолированным VLAN 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Удостоверьтесь, что все uplinks формируются чтобы к стволу VLANs:

    1. интерфейс Ethernet1/1
    2. Связь описания с 4900
    3. ствол способа switchport
    4. скорость 1000
    5. интерфейс Ethernet1/3
    6. Связь описания с Портом FIB 5
    7. ствол способа switchport
    8. скорость 1000
    9. интерфейс Ethernet1/4
    10. Связь описания с портом FIA 5
    11. ствол способа switchport
    12. скорость 1000

На этих 4900 выключателях сделайте эти шаги и настройте разнородный порт. PVLAN заканчивается в разнородном порту.

  1. Включите особенность PVLAN при необходимости.
  2. Создайте и свяжите VLANs, как сделано на Связи 5K.
  3. Создайте разнородный порт на порту выхода этих 4900 выключателей. С этого момента пакеты от VLAN 166 замечены на VLAN 266 в этом случае.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

На восходящем маршрутизаторе создайте подынтерфейс для VLAN 266 только. На этом уровне требования зависят от конфигурации сети, которую вы используете:

  1. интерфейс GigabitEthernet0/1.1
  2. герметизация dot1Q 266
  3. IP-адрес 209.165.200.225 255.255.255.224

Конфигурация N1K

Эта процедура описывает, как формировать N1K как стандартный ствол, не ствол PVLAN.

  1. Создайте и свяжите VLANs, как сделано на Связи 5K. Обратитесь к Конфигурации секции Устройств сектора Upstream для получения дополнительной информации.
  2. Создайте uplink профиль порта для движения PVLAN:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode trunk
    Switch(config-port-prof)# switchport trunk allowed vlan 166,266
    Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle
    traffic coming back from the promiscuous port.
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Создайте группу порта для изолированного VLAN; создайте порт хозяина PVLAN с ассоциацией хозяина для основного и изолированного VLANs:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. В vCenter добавьте надлежащий vNIC к PVLAN uplink. Это - vNIC, к которому вы добавили Изолированный VLAN под Конфигурацией в параметрах настройки UCS.



  5. Добавьте VM к правильной группе порта:

    1. Во вкладке Hardware щелкните Сетевым адаптером 1.
    2. Выберите pvlan_guest (pvlan) для этикетки Network при Сетевой Связи:

Поиск неисправностей

Эта процедура описывает, как проверить конфигурацию.

  1. Управляемый свистит к другим системам, формируемым в группе порта, а также маршрутизаторе или другом устройстве в разнородном порту. Свистит к устройству мимо разнородного порта, должен работать, в то время как те к другим устройствам в изолированном VLAN должны потерпеть неудачу.



  2. На N1K VMs перечислены на основном VLAN; это происходит, потому что вы находитесь в портах хозяина PVLAN, которые связаны с PVLAN. Из-за того, как VMs изучены, гарантируют, чтобы вы не устанавливали PVLAN как местный житель на системе UCS. Также отметьте приобретение знаний восходящего устройства из канала порта и что восходящее устройство изучено на основном VLAN также. Это должно быть изучено в этом методе, который является, почему у вас есть основной VLAN как родной VLAN на PVLAN uplink.

    В этом скрин-шоте эти два устройства на Veth3 и Veth 4 являются VMs. Устройство на Po1 является восходящим маршрутизатором, который проходит разнородный порт.



  3. На системе UCS необходимо изучать весь MACs, для этой коммуникации, в изолированном VLAN. Вы не должны видеть разведку и добычу нефти и газа здесь:



  4. В то время как восходящее устройство находится на основном VLAN, на Связи 5K, два VMs находятся на изолированном VLAN:



  5. На этих 4900 выключателях, где разнородный порт, все находится на основном VLAN:

Изолированный PVLAN на N1K с разнородным портом на профиле порта N1K Uplink

В этой конфигурации вы содержите движение PVLAN к N1K с только основным VLAN, используемым вверх по течению.

Конфигурация в UCS

Эта процедура описывает, как добавить основной VLAN к vNIC. Нет никакой потребности в конфигурации PVLAN, потому что вы только нуждаетесь в основном VLAN. 

Примечание: Этот пример использует 266 в качестве предварительных выборов и 166 как изолированное; IDs VLAN будет определен местом.

  1. Обратите внимание на то, что Разделение Типа не является Ни одним.



  2. Щелкните флажком Select для VLAN 266 для добавления основного VLAN к vNIC. Не устанавливайте его как местного жителя.

Конфигурация устройств сектора Upstream

Эти процедуры описывают, как формировать восходящие устройства. В этом случае восходящие выключатели только нуждаются в портах ствола, и они только нуждаются к стволу VLAN 266, потому что это - единственный VLAN, который видят восходящие выключатели.

На Связи 5K, войдите в эти команды и проверьте uplink конфигурацию:

  1. Добавьте VLAN как основной:

    Nexus5000-5(config-vlan)# vlan 266
  2. Удостоверьтесь, что все uplinks формируются чтобы к стволу VLANs:

    1. интерфейс Ethernet1/1
    2. Связь описания с 4900
    3. ствол способа switchport
    4. скорость 1000
    5. интерфейс Ethernet1/3
    6. Связь описания с Портом FIB 5
    7. ствол способа switchport
    8. скорость 1000
    9. интерфейс Ethernet1/4
    10. Связь описания с портом FIA 5
    11. ствол способа switchport
    12. скорость 1000

На этих 4900 выключателях сделайте эти шаги:

  1. Создайте VLANs, используемый в качестве основного на N1K.
  2. Ствол все интерфейсы к и от этих 4900 выключателей так, чтобы был передан VLAN.

На восходящем маршрутизаторе создайте подынтерфейс для VLAN 266 только. На этом уровне требования зависят от конфигурации сети, которую вы используете.

  1. интерфейс GigabitEthernet0/1.1
  2. герметизация dot1Q 266
  3. IP-адрес 209.165.200.225 255.255.255.224

Конфигурация N1K

Эта процедура описывает, как формировать N1K.

  1. Создайте и свяжите VLANs:

    Switch(config)# vlan 166
    Switch(config-vlan)# private-vlan isolated
    Switch(config-vlan)# vlan 266
    Switch(config-vlan)# private-vlan primary
    Switch(config-vlan)# private-vlan association 166
  2. Создайте uplink профиль порта для движения PVLAN с разнородным отмеченным портом:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
    Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to
    allow the primary VLAN
    Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must
    be mapped at this point
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Создайте группу порта для изолированного VLAN; создайте порт хозяина PVLAN с ассоциацией хозяина для основного и изолированного VLANs:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. В vCenter добавьте надлежащий vNIC к PVLAN uplink. Это - vNIC, к которому вы добавили Изолированный VLAN под Конфигурацией в параметрах настройки UCS.


  5. Добавьте VM к правильной группе порта.

    1. Во вкладке Hardware щелкните Сетевым адаптером 1.
    2. Выберите pvlan_guest (pvlan) для этикетки Network при Сетевой Связи.

Поиск неисправностей

Эта процедура описывает, как проверить конфигурацию.

  1. Управляемый свистит к другим системам, формируемым в группе порта, а также маршрутизаторе или другом устройстве в разнородном порту. Свистит к устройству мимо разнородного порта, должен работать, в то время как те к другим устройствам в изолированном VLAN должны потерпеть неудачу.



  2. На N1K VMs перечислены на основном VLAN; это происходит, потому что вы находитесь в портах хозяина PVLAN, которые связаны с PVLAN. Также отметьте приобретение знаний восходящего устройства из канала порта и что восходящее устройство изучено на основном VLAN также.

    В этом скрин-шоте эти два устройства на Veth3 и Veth 4 являются VMs. Устройство на Po1 является восходящим устройством, которое проходит разнородный порт.



  3. На системе UCS необходимо изучать весь MACs, для этой коммуникации, в основном VLAN, который вы используете на N1K. Вы не должны изучать разведку и добычу нефти и газа здесь:



  4. На Связи 5K, все MACs находятся в основном VLAN, который вы выбрали:



  5. На этих 4900 выключателях все находится на основном VLAN, который вы выбрали:

Сообщество PVLAN на N1K с разнородным портом на профиле порта N1K Uplink

Это - единственная поддержанная конфигурация для сообщества VLAN с UCS.

Эта конфигурация совпадает с, которые настраивают в Изолированном PVLAN на N1K с Разнородным Портом на секции N1K Uplink Профиля порта. Единственной разницей между сообществом и изолированный является конфигурация PVLAN.

Для формирования N1K создайте и свяжите VLANs, как вы сделали на Связи 5K:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

Вся другая конфигурация совпадает с изолированным PVLAN на N1K с разнородным портом на профиле порта N1K uplink.

Как только это формируется, можно общаться со всем VMs, связанным с vEthernet профилем порта, используемым для PVLAN.

Поиск неисправностей

Эта процедура описывает, как проверить конфигурацию.

  1. Управляемый свистит к другим системам, формируемым в группе порта, а также маршрутизаторе или другом устройстве в разнородном порту. Свистит мимо разнородного порта, и к другим системам в сообществе должен работать.



  2. Весь другой поиск неисправностей совпадает с изолированным PVLAN.

Изолированный PVLAN и сообщество PVLAN на VMware DVS разнородный порт на DVS

Из-за проблем конфигурации и о DVS и о системе UCS, PVLANs с DVS и UCS в настоящее время не поддерживаются.

Проверить

В настоящее время нет никаких процедур проверки, доступных для этих конфигураций.

Расследовать

Предыдущие секции предоставили информацию, которую можно использовать для поиска неисправностей конфигураций.

Переводчик Продукции Тул (только зарегистрированные клиенты) поддерживает определенные выставочные команды. Используйте переводчика Продукции Тула для просмотра анализа выставочной продукции команды.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Document ID: 116310