IntersightマネージドモードでのネイティブVLANの問題のトラブルシューティング
内容
はじめに
このドキュメントでは、Cisco Intersight Managed Mode(IME)環境のネイティブVLAN設定オプションについて説明し、一般的なシナリオを取り上げています。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Unified Computing Systems(UCS)サーバに関する基本知識
- Intersight Managed Mode(IMM)に関する基本的な知識
- ESXiおよびWindowsオペレーティングシステムの基本知識
- ネットワーキングの基本知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Intersightマネージドモード(IMM)
- UCSX-215C-M8
- UCSC-C240-M7SX
- 6536ファブリックインターコネクト
- 6454ファブリックインターコネクト
- サーバXシリーズファームウェアバージョン5.3(0.240016)
- Fabric Interconnect 6536ファームウェアバージョン4.3(5.250004)
- サーバCシリーズファームウェアバージョン4.3(4.241063)
- Fabric Interconnect 6536ファームウェアバージョン4.2(3m)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Cisco Intersight Managed Mode環境のネイティブVLAN設定オプションには、二重タギングの原因となる一般的なシナリオがあります。また、この記事では、推奨されるトラブルシューティングの手順についても説明します。
Cisco UCSでは、NICアダプタが仮想化され、vNICを介してOSに提供されます。これらの仮想アダプタは、通常はトランクポートとして設定される仮想イーサネットインターフェイス(vEthernet)に接続されます。ネイティブVLANは、タグなしのトラフィック(または802.1Qタグを使用しないトラフィック)をトランクポート経由で伝送するために使用されます。
インストールされているOSによっては、それ自体のトラフィックのタギングを行う機能がある場合と行わない場合があります。たとえば、VMWare ESXiには、複数のVLANにタグを付ける機能があります。VLANタギングが使用できないか不要であるオペレーティングシステムでは、タグなしトラフィックに使用するデフォルトVLANにネイティブVLANを選択することをお勧めします。
トラブルシューティングのシナリオ
VMware ESXi
vNIC、FIアップリンク、およびアップストリームネットワークデバイスにネイティブVLANが設定されていない
この例では、VLAN 470および72が環境内で使用されます。次に、稼働シナリオの例を示します。
- アップリンクにネイティブVLANが設定されていない。
ドメインプロファイル:
CLIの場合:
FI-A:
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
pinning border
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
FI-B:
6536-B(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
pinning border
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470- vNICでネイティブVLANが設定されていない
イーサネットネットワークグループポリシー:
CLIの場合:
注:サーバ内のvEthernetは、Servers > Inventory > Network Adaptersの順に選択してから、VIC カードを選択し、Interfacesをクリックすると表示されます。
FI-A:
6536-A(nx-os)# show running-config interface vethernet 800
interface Vethernet800
switchport mode trunk
switchport trunk allowed vlan 1,69,470
FI-B:
6536-B(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk allowed vlan 1,69,470- OSで設定されているVLAN:
- pingテストが成功しました。
シナリオ 1.ネイティブVLANがvNICレベルで設定されている
イーサネットネットワークグループでVLANをネイティブとして設定すると、VLANタギングの問題が原因でネットワーク接続が失われる可能性があります。
- イーサネットネットワークグループの設定:
CLIの場合:
FI-A:
6536-A(nx-os)# show running-config interface vethernet 800
interface Vethernet800
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470
FI-B:
6536-B(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470
- pingテストは失敗します。
注:NetworkグループからネイティブVLANを削除すると、接続は回復します。
シナリオ 2.FIアップリンクにネイティブVLANが設定されている
- VIa CLI:
FI A
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
FI-B
6536-B(nx-os)# show running-config interface ethernet 1/1
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470アップリンクに設定されているネイティブVLANを使用してOSにpingを実行しようとすると、pingテストは失敗します。
この状態を修正するには、アップリンクからVLANを削除し、VLANをESXi(OS)レベルで設定したままにする必要があります。
vNIC、FIアップリンク、およびアップストリームネットワークデバイスでネイティブVLANが設定されている
この再現のために、別のVLANが使用されました。このシナリオでは、使用されるVLANは72です。
考慮事項:
- VLAN 72は、Catalyst DGでネイティブとして設定されています。
- VLAN 72は、Nexusデバイスにネイティブとして設定されています。
- VLAN 72は、FIアップリンクでネイティブとして設定されています。
- VLAN 72は、vNICでネイティブとして設定されています。
- VLANはOSでタグ付けされません。
次の考慮事項を使用して、pingテストを実行すると、pingが期待どおりに動作していることを確認できます。
OSレベルでのパケットキャプチャ:
データプレーンが期待どおりに動作しているかどうかを確認するもう1つの方法では、OSレベルでパケットキャプチャを実行できます。このトラブルシューティング記事では、pktcap-uwツールを使用して、物理ネットワークアダプタを通過するトラフィックをキャプチャしました。次に例を示します。
pktcap-uw --uplink vmnic0 --dir 2 -o /vmfs/volumes/datastore1/pcaps/nativeworking.pcap -i icmp:
ELAMキャプチャ:
ELAMキャプチャは、ネイティブVLANの問題をトラブルシューティングするときに役立ちます。このツールでは、ASICレベルで転送されているパケットのリアルタイムビューが可能です。トラブルシューティングの目的で、データプレーンを中断することなく、送信元デバイスと宛先デバイスのMACアドレスとIPアドレスだけに焦点を当てます。
パケットが動作している場合の例:
root@IMM-SAAS-MXSVLAB-6536-A(nx-os)# attach module 1
root@module-1# debug platform internal tah elam asic 0
root@module-1(TAH-elam)# trigger init asic 0 slice 1 lu-a2d 1 in-select 6 out-select 0
Slot 1: param values: start asic 0, start slice 1, lu-a2d 1, in-select 6, out-select 0
root@module-1(TAH-elam-insel6)# set outer ipv4 src_ip 192.168.72.25 dst_ip 192.168.72.1
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 72
Outgoing Interface Info: dmod 1, dpid 72
Dst Idx : 0x601, Dst BD : 72
Packet Type: IPv4
Dst MAC address: B0:8B:CF:C8:A2:6B
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 72, cos = 0x0
Dst IPv4 address: 192.168.72.1
Src IPv4 address: 192.168.72.25
Ver = 4, DSCP = 0, Don't Fragment = 0
Proto = 1, TTL = 64, More Fragments = 0
Hdr len = 20, Pkt len = 84, Checksum = 0xc0a9
L4 Protocol : 1
ICMP type : 8
ICMP code : 0
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
得られた出力から、srcとdstがVLAN 72にあることがわかります。これは、すべてのパスでネイティブとしてVLAN 72を使用しており、dpid 72インターフェイスに指定されたポートethernet 1/10に到達していること、dpidがASICポートの内部識別子(internal identifier)であり、マッピングはshow interface hardware-mappingsを使用して確認できるためです。
6536-A(nx-os)# show interface hardware-mappings
-------------------------------------------------------------------------------------------------------
Name Ifindex Smod Unit HPort FPort NPort VPort Slice SPort SrcId MacId MacSP VIF Block BlkSrcID
-------------------------------------------------------------------------------------------------------
Eth1/1 1a000000 1 0 72 255 0 -1 1 0 0 18 0 1537 0 0
6536-A(nx-os)# show hardware internal tah interface ethernet 1/1
#########################################
IfIndex: 0x1a000000
DstIndex: 6144
IfType: 26
Asic: 0
Asic: 0
AsicPort: 72
SrcId: 0
Slice: 1
PortOnSlice: 0
Table entries for interface Ethernet1/1
show interface hardware-mappingsコマンドで取得された情報に基づくと、宛先ポートはUCSドメインのアップリンクの1つであるEthernet 1/1ポートです。
シナリオ 1.ネイティブVLANがFIアップリンクに設定されているが、アップストリームデバイスがvNICに設定されていない
今回は、ネイティブVLANがvNICから削除されているため、ICMP要求が機能しなくなることが明らかです。
ELAMキャプチャ。
この場合、pingを実行できません。送信元と宛先のIPアドレスを使用しようとしても、接続がないため機能しません。この特定のケースでは、MACアドレスをフィルタとして設定し、詳細な情報を取得します。
root@module-1(TAH-elam-insel6)# set outer l2 src_mac 00:25:B5:01:00:34 dst_mac ff:ff:ff:ff:ff:ff
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 1
Outgoing Interface Info: dmod 1, dpid 72
Dst Idx : 0x601, Dst BD : 72
Packet Type: ARP
Dst MAC address: FF:FF:FF:FF:FF:FF
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 1, cos = 0x0
Target Hardware address: 00:00:00:00:00:00
Sender Hardware address: 00:25:B5:01:00:34
Target Protocol address: 192.168.72.1
Sender Protocol address: 192.168.72.25
ARP opcode: 1
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
6536-A(nx-os)# show interface hardware-mappings
-------------------------------------------------------------------------------------------------------
Name Ifindex Smod Unit HPort FPort NPort VPort Slice SPort SrcId MacId MacSP VIF Block BlkSrcID
-------------------------------------------------------------------------------------------------------
Eth1/1 1a000000 1 0 72 255 0 -1 1 0 0 18 0 1537 0 0
MACアドレス00:25:B5:01:00:34(vNIC-A)のVLANがVLAN 1を使用していることがわかります。これはVLAN 72を使用する必要があるため正しくありません。
シナリオ 2.ネイティブVLANはvNICで設定されているが、アップストリームデバイスがFIアップリンクで設定されていない
ELAMキャプチャ:
root@module-1(TAH-elam-insel6)# set outer l2 src_mac 00:25:B5:01:00:34 dst_mac ff:ff:ff:ff:ff:ff
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 72
Outgoing Interface Info: met_ptr 0
Packet Type: ARP
Dst MAC address: FF:FF:FF:FF:FF:FF
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 72, cos = 0x0
Target Hardware address: 00:00:00:00:00:00
Sender Hardware address: 00:25:B5:01:00:34
Target Protocol address: 192.168.72.1
Sender Protocol address: 192.168.72.25
ARP opcode: 1
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
出力から、正しいVLAN 72が使用されていることがわかります。ただし、アップリンクの設定を確認すると、ネイティブVLANが設定されていないことがわかります。
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
Windows ServerのOS
ネイティブVLANの問題は、Windows OSにも存在する可能性があります。通常、この問題は、ネイティブVLANがvNICでタグ付けされていないために発生する可能性があります。
このシナリオでは、ネイティブVLAN 470が使用されました。
使用されるvNICはWindowsで接続されます。
パケット キャプチャ
ネットワークにpingを実行すると、ネイティブVLANがvNICでタグ付けされているため、パケットキャプチャが期待どおりに動作していることがわかります。
シナリオ 1.ネイティブVLANはFIアップリンクで設定されるが、vNICでは設定されない
- vNICレベル:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk allowed vlan 1,69,470- FI-Aレベル:
6454-A(nx-os)# show running-config interface ethernet 1/15-16
interface Ethernet1/15
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
interface Ethernet1/16
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
使用されるvNICがWindowsに接続されていない:
pingを実行しようとしても、これは機能しないはずです。
シナリオ 2.ネイティブVLANはFIアップリンクとvNICで設定される
- vNICレベル:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470- FI-Aレベル:
IMM-SAAS-MXSVLAB-6454-A(nx-os)# show running-config interface ethernet
interface Ethernet1/15
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
interface Ethernet1/16
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470この設定では接続が許可されません。pingテストを実行しても応答がないことが予想されます。
シナリオ 3.ネイティブVLANがOSおよびvNICレベルで設定されている
- OS側:
- vNICレベル:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470- pingテストが機能せず、接続できない。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
01-Jul-2025
|
イメージとフォーマットを更新。 |
1.0 |
27-Mar-2025
|
初版 |
フィードバック