Guest

VLAN privado e configuração de Cisco UCS antes de 2.2(2C)

Opções de download

  • PDF     (1.8 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.4 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:3 de Março de 2016
ID do documento:1457021185547915
Sobre a tradução

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve o apoio do VLAN privado (PVLAN) no Cisco Unified Computing System (UCS), uma característica introduzida na liberação 1.4 do Cisco UCS Manager (UCSM). Igualmente detalha as características, as advertências, e a configuração quando os PVLAN são usados em um ambiente UCS.

ESTE DOCUMENTO É PARA O USO COM VERSÕES DA VERSÃO 2.2(2C) E ANTERIOR UCSM. Nas versões mais tarde do que a versão 2.2(2C), as mudanças foram feitas a UCSM e a ESXi DV são apoiadas. Há igualmente umas mudanças em como etiquetar trabalha para o PVLAN NIC.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • UCS
  • Nexo de Cisco 1000 V (N1K)
  • VMware
  • Interruptor da camada 2 (L2)

Componentes Utilizados


Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Informações de Apoio

Teoria

Um VLAN privado é um VLAN configurado para o isolamento L2 de outras portas dentro do mesmo VLAN privado. As portas que pertencem a um PVLAN são associadas com um grupo comum do apoio VLAN, que são usados a fim criar a estrutura PVLAN.

Há três tipos de portas PVLAN:

  • Uma porta misturada comunica-se com todas portas restantes PVLAN e é-se a porta usada a fim comunicar-se com os dispositivos fora do PVLAN.
  • Uma porta isolada tem a separação L2 completa (que inclui transmissões) de outras portas dentro do mesmo PVLAN à excecpção da porta misturada.
  • Uma porta da comunidade pode comunicar-se com outras portas no mesmo PVLAN assim como na porta misturada. As portas da comunidade são isoladas no L2 das portas em outras comunidades ou portas isoladas PVLAN. As transmissões são propagadas somente a outras portas na comunidade e na porta misturada.

Refira o RFC 5517, os VLAN privados dos Cisco Systems: Segurança escalável em um ambiente do Multi-cliente a fim compreender a teoria, a operação, e os conceitos dos PVLAN.

Aplicação PVLAN no UCS

O UCS assemelha-se proximamente ao nexo 5000/2000 de arquitetura, onde o nexo 5000 é análogo ao UCS 6100 e ao nexo 2000 aos prolongamentos da tela UCS 2104.

Muitas limitações da funcionalidade PVLAN no UCS são causadas pelas limitações encontradas no nexo 5000/2000 de aplicação.

Os pontos importantes a recordar são:

  • Somente as portas isoladas são apoiadas no UCS. Com o N1K incorporado, você pode usar VLAN de comunidade, mas a porta misturada deve estar no N1K também.
  • Não há nenhum apoio para portas misturadas/troncos, a comunidade move/tronco, ou troncos isolados.
  • As portas misturadas precisam de ser fora do domínio UCS, tal como um interruptor/roteador ascendente ou um N1K a jusante.

Objetivo

Este capas de documento diversas configurações diferentes disponíveis para o PVLAN com o UCS:

  1. PVLAN isolado com porta misturada em um dispositivo ascendente.
  2. PVLAN isolado em N1K com porta misturada em um dispositivo ascendente.
  3. PVLAN isolado em N1K com porta misturada no porta-perfil do uplink N1K
  4. A comunidade PVLAN em N1K com porta misturada no porta-perfil do uplink N1K.
  5. O PVLAN isolado em VMware distribuiu a porta misturada do virtual switch (DV) nos DV.
  6. A comunidade PVLAN em VMware DV comuta a porta misturada nos DV.

Configurar

Diagramas da rede

A topologia para todos os exemplos com um interruptor distribuído é:

A topologia para todos os exemplos sem o interruptor distribuído é:

PVLAN no vSwitch: PVLAN isolado com porta misturada em um dispositivo ascendente

Nesta configuração, você está passando o tráfego PVLAN com o UCS a uma porta misturada que seja ascendente. Porque você não pode enviar preliminar e VLAN secundários no mesmo vNIC, você precisa um vNIC para cada lâmina para cada PVLAN, a fim levar o tráfego PVLAN.

Configuração no UCS

Este procedimento descreve como criar o preliminar e todos os vlan isolada.

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. A fim criar o VLAN principal, clique preliminar como o tipo de partilha, e incorpore um ID de VLAN de 266:



  2. A fim criar o vlan isolada, clique isolado como o tipo de partilha, incorpora um ID de VLAN de 166, e escolha VLAN 266 (266) como o VLAN principal:



  3. A fim adicionar o VLAN ao vNIC, clique a caixa de seleção seleta para VLAN 166, e clique o botão de rádio associado do VLAN nativo.



    Somente o vlan isolada é adicionado, deve ser ajustado como preliminar, e pode somente haver um para cada vNIC. Porque o VLAN nativo é definido aqui, não configurar o VLAN que etiqueta nos grupos de porta de VMware.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar um nexo 5K para passar completamente o PVLAN a um 4900 Switch ascendente onde a porta misturada esteja. Quando isto não pôde ser necessário em todos os ambientes, use esta configuração caso você dever passar o PVLAN através de um outro interruptor.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Gire sobre os recursos de PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Adicionar os VLAN como preliminar e isolados:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Associe VLAN 266 com o vlan isolada 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas, e estabelece a porta misturada. As extremidades PVLAN na porta misturada.

  1. Gire sobre recursos de PVLAN se for necessário.
  2. Crie e associe os VLAN como feitos no nexo 5K.
  3. Crie a porta misturada na porta de saída do 4900 Switch. A partir daqui, os pacotes de VLAN 166 são vistos em VLAN 266 neste caso.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você se está usando:

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Configurar a interface virtual do interruptor (SVI) em cada interruptor, que permite que você sibile o SVI do PVLAN:

    (config)# interface vlan 266
    (config-if)# ip address 209.165.200.225 255.255.255.224
    (config-if)# private-vlan mapping 166
    (config-if)# no shut
  2. Verifique as tabelas de endereços MAC a fim ver onde seu MAC está sendo instruído. Em todo o Switches, o MAC deve estar no vlan isolada exceto no interruptor com a porta misturada. No interruptor promíscuo, note que o MAC está no VLAN principal.

    1. Na interconexão da tela, o MAC address 0050.56bd.7bef é aprendido em Veth1491:



    2. No nexo 5K, o MAC address 0050.56bd.7bef é aprendido em Eth1/4:

    3. No 4900 Switch, o MAC address 0050.56bd.7bef é aprendido em GigabitEthernet1/1:

Nesta configuração, os sistemas neste vlan isolada não podem comunicar-se um com o otro, mas podem comunicar-se com outros sistemas através da porta misturada no 4900 Switch. Uma edição é como configurar dispositivos do downsteam. Neste caso, você está usando VMware e dois anfitriões.

Recorde que você deve usar um vNIC para cada PVLAN. Estes vNICs são apresentados ao vSphere ESXi de VMware, e você pode então criar grupos de porta e ter convidados a estes grupos de porta.

Se dois sistemas são adicionados ao grupo da mesma porta no mesmo interruptor, podem comunicar-se um com o otro porque suas comunicações são ligadas localmente o vSwitch. Neste sistema, há duas lâminas com dois hospeda cada um.

No primeiro sistema, dois grupos de porta diferentes foram criados - um 166 chamado, e se chamaram 166A. Cada um é conectado a um único NIC, que seja configurado no vlan isolada no UCS. Há atualmente somente um convidado para cada grupo de porta. Neste caso, porque estes são separados em ESXi, não podem falar entre si.

No segundo sistema, há somente um grupo de porta chamado 166. Há dois convidados neste grupo de porta. Nesta configuração, VM3 e VM4 podem comunicar-se um com o otro mesmo que você não queira este acontecer. A fim corrigir isto, você precisa de configurar um único NIC para cada máquina virtual (VM) que está no vlan isolada, e de criar então um grupo de porta anexado a esse vNIC. Uma vez que isto é configurado, põe somente um convidado no grupo de porta. Este não é um problema com um metal desencapado Windows instala porque você não tem estes vSwitches subjacentes.

PVLAN isolado em N1K com porta misturada em um dispositivo ascendente

Nesta configuração, você está passando a tráfego PVLAN com um N1K então o UCS a uma porta misturada que seja ascendente. Porque você não pode enviar preliminar e VLAN secundários no mesmo vNIC, você precisa um vNIC para cada uplink PVLAN a fim levar o tráfego PVLAN.

Configuração no UCS

Este procedimento descreve como criar o preliminar e todos os vlan isolada.

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. A fim criar o VLAN principal, clique preliminar como o tipo de partilha:



  2. A fim criar o vlan isolada, clique isolado como o tipo de partilha:



  3. A fim adicionar o VLAN ao vNIC, clique a caixa de seleção seleta para VLAN 166. O VLAN 166 não tem o VLAN nativo selecionado.



    Somente o vlan isolada é adicionado, não deve ser ajustado como o nativo, e pode somente haver um para cada vNIC. Porque o VLAN nativo não é definido aqui, etiquete o VLAN nativo no N1K. A opção para etiquetar um VLAN nativo não está disponível em VMware DV, assim que esta não é apoiada em DV.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar um nexo 5K a fim passar completamente o PVLAN a um 4900 Switch ascendente onde a porta misturada esteja. Quando isto não pôde ser necessário em todos os ambientes, use esta configuração caso você dever passar o PVLAN através de um outro interruptor.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Gire sobre os recursos de PVLAN:

    Nexus5000-5(config)# feature private-vlan
  2. Adicionar os VLAN como preliminar e isolados:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
  3. Associe VLAN 266 com o vlan isolada 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
  4. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas, e estabelece a porta misturada. As extremidades PVLAN na porta misturada.

  1. Gire sobre recursos de PVLAN se for necessário.
  2. Crie e associe os VLAN como feitos no nexo 5K.
  3. Crie a porta misturada na porta de saída do 4900 Switch. A partir daqui, os pacotes de VLAN 166 são vistos em VLAN 266 neste caso.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você usa:

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Configuração de N1K

Este procedimento descreve como configurar o N1K como um tronco padrão, não um tronco PVLAN.

  1. Crie e associe os VLAN como feitos no nexo 5K. Refira a configuração da seção ascendente dos dispositivos para mais informação.
  2. Crie um porta-perfil do uplink para o tráfego PVLAN:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode trunk
    Switch(config-port-prof)# switchport trunk allowed vlan 166,266
    Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle 
       traffic coming back from the promiscuous port.
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Crie o grupo de porta para o vlan isolada; crie uma porta de host PVLAN com a associação do host para o preliminar e os vlan isolada:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host  
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. No vCenter, adicionar o vNIC apropriado ao uplink PVLAN. Este é o vNIC a que você adicionou o vlan isolada sob a configuração em ajustes UCS.



  5. Adicionar o VM ao grupo de porta correto:

    1. Na aba do hardware, clique o adaptador de rede 1.
    2. Escolha mais pvlan_guest (pvlan) para a etiqueta da rede sob a conexão de rede:

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos ao dispositivo após a porta misturada devem trabalhar, quando aqueles aos outros dispositivos no vlan isolada deverem falhar.



  2. No N1K, os VM são alistados no VLAN principal; isto ocorre porque você está nas portas de host PVLAN que são associadas ao PVLAN. Devido a como os VM são instruídos, assegure-se de que você não ajuste o PVLAN como o nativo no sistema UCS. Igualmente note que você aprende o dispositivo ascendente do Canal de porta e que o dispositivo ascendente está aprendido no VLAN principal também. Isto deve ser aprendido neste método, que é porque você tem o VLAN principal como o VLAN nativo no uplink PVLAN.

    Neste screen shot, os dois dispositivos em Veth3 e Veth 4 são os VM. O dispositivo em Po1 é o roteador fluxo acima que é após a porta misturada.



  3. No sistema UCS, você deve aprender todos os MAC, para esta comunicação, no vlan isolada. Você não deve ver o ascendente aqui:



  4. No nexo 5K, os dois VM estão no vlan isolada, quando o dispositivo ascendente estiver no VLAN principal:



  5. No 4900 Switch, onde a porta misturada está, tudo está no VLAN principal:

PVLAN isolado em N1K com porta misturada no Porta-perfil do uplink N1K

Nesta configuração, você contém o tráfego PVLAN ao N1K com somente o VLAN principal usado rio acima.

Configuração no UCS

Este procedimento descreve como adicionar o VLAN principal ao vNIC. Não há nenhuma necessidade para a configuração de PVLAN porque você precisa somente o VLAN principal. 

Nota: Este exemplo usa 266 como o preliminar e 166 como isolado; o VLAN ID será determinado pelo local.

  1. Note que o tipo de partilha não é nenhum.



  2. Clique a caixa de seleção seleta para VLAN 266 a fim adicionar o VLAN principal ao vNIC. Não o ajuste como o nativo.

Configuração de dispositivos ascendentes

Estes procedimentos descrevem como configurar os dispositivos ascendentes. Neste caso, o Switches ascendente precisa somente portas de tronco, e precisa somente o tronco VLAN 266 porque é o único VLAN que o Switches ascendente considera.

No nexo 5K, incorpore estes comandos, e configuração do uplink da verificação:

  1. Adicionar o VLAN como preliminar:

    Nexus5000-5(config-vlan)# vlan 266
  2. Certifique-se de que todos os uplinks são tronco configurado os VLAN:

    1. interface Ethernet1/1
    2. conexão da descrição a 4900
    3. tronco de modo de porta de comutação
    4. velocidade 1000
    5. relação Ethernet1/3
    6. conexão da descrição PARA MENTIR a porta 5
    7. tronco de modo de porta de comutação
    8. velocidade 1000
    9. relação Ethernet1/4
    10. conexão da descrição à porta 5 FIA
    11. tronco de modo de porta de comutação
    12. velocidade 1000

No 4900 Switch, tome estas etapas:

  1. Crie os VLAN usados como preliminares no N1K.
  2. Tronco todas as relações a e do 4900 Switch de modo que o VLAN seja passado.

No roteador fluxo acima, crie uma subinterface para o VLAN 266 somente. Neste nível, as exigências dependem em cima da configuração de rede que você usa.

  1. relação GigabitEthernet0/1.1
  2. dot1q 266 do encapsulamento
  3. Endereço IP 209.165.200.225 255.255.255.224

Configuração de N1K

Este procedimento descreve como configurar o N1K.

  1. Crie e associe os VLAN:

    Switch(config)# vlan 166
    Switch(config-vlan)# private-vlan isolated
    Switch(config-vlan)# vlan 266
    Switch(config-vlan)# private-vlan primary
    Switch(config-vlan)# private-vlan association 166
  2. Crie um porta-perfil do uplink para o tráfego PVLAN com a porta misturada notável:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
    Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to 
       allow the primary VLAN
    Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must 
       be mapped at this point
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  3. Crie o grupo de porta para o vlan isolada; crie uma porta de host PVLAN com a associação do host para o preliminar e os vlan isolada:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
  4. No vCenter, adicionar o vNIC apropriado ao uplink PVLAN. Este é o vNIC a que você adicionou o vlan isolada sob a configuração em ajustes UCS.


  5. Adicionar o VM ao grupo de porta correto.

    1. Na aba do hardware, clique o adaptador de rede 1.
    2. Escolha mais pvlan_guest (pvlan) para a etiqueta da rede sob a conexão de rede.

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos ao dispositivo após a porta misturada devem trabalhar, quando aqueles aos outros dispositivos no vlan isolada deverem falhar.



  2. No N1K, os VM são alistados no VLAN principal; isto ocorre porque você está nas portas de host PVLAN que são associadas ao PVLAN. Igualmente note que você aprende o dispositivo ascendente do Canal de porta e que o dispositivo ascendente está aprendido no VLAN principal também.

    Neste screen shot, os dois dispositivos em Veth3 e Veth 4 são os VM. O dispositivo em Po1 é o dispositivo ascendente que é após a porta misturada.



  3. No sistema UCS, você deve aprender todos os MAC, para esta comunicação, no VLAN principal que você se usa no N1K. Você não deve aprender o ascendente aqui:



  4. No nexo 5K, todos os MAC estão no VLAN principal que você selecionou:



  5. No 4900 Switch, tudo está no VLAN principal que você selecionou:

A comunidade PVLAN em N1K com porta misturada no Porta-perfil do uplink N1K

Esta é a única configuração suportada para o VLAN de comunidade com UCS.

Esta configuração é a mesma que aquela estabelecida no PVLAN isolado em N1K com porta misturada na seção do Porta-perfil do uplink N1K. A única diferença entre a comunidade e isolada é a configuração do PVLAN.

A fim configurar o N1K, crie e associe os VLAN como você fez no nexo 5K:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

Toda configuração restante é a mesma que o PVLAN isolado em N1K com porta misturada no porta-perfil do uplink N1K.

Uma vez que isto é configurado, você pode comunicar-se com todos os VM conectados ao porta-perfil do vEthernet usado para seu PVLAN.

Troubleshooting

Este procedimento descreve como testar a configuração.

  1. Execute sibilos a outros sistemas configurados no grupo de porta assim como o roteador ou o outro dispositivo na porta misturada. Os sibilos após a porta misturada e a outros sistemas na comunidade devem trabalhar.



  2. Todo Troubleshooting restante é o mesmo que o PVLAN isolado.

PVLAN isolado e comunidade PVLAN na porta misturada de VMware DV nos DV

Devido aos problemas de configuração nos DV e no sistema UCS, os PVLAN com DV e o UCS não são apoiados antes da versão 2.2(2c).

Verificar

Não há atualmente nenhum procedimento de verificação disponível para estas configurações.

Troubleshooting

As seções anterior forneceram a informação que você pode se usar a fim pesquisar defeitos suas configurações.

A ferramenta Output Interpreter (clientes registrados somente) apoia determinados comandos de exibição. Use a ferramenta Output Interpreter a fim ver uma análise do emissor de comando de execução.

TAC Authored

Colaborado por engenheiros da Cisco

  • Tommy Beard and Joseph Ristaino
    Cisco TAC Engineers.

Este documento lhe foi útil?

Feedback

Deixe-nos ajudar

Este documento se refere a estes produtos