在Intersight管理模式下排除本徵VLAN問題
目錄
簡介
本檔案介紹Cisco Intersight管理模式環境中的本徵VLAN配置選項,突出顯示常見方案。
必要條件
需求
思科建議您瞭解以下主題:
- 對統一計算系統伺服器(UCS)的基本瞭解
- 對Intersight管理模式(IMM)的基本瞭解
- 對ESXi和Windows作業系統有基礎認識
- 網路基礎知識
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Intersight管理模式(IMM)
- UCSX-215C-M8
- UCSC-C240-M7SX
- 6536光纖互連
- 6454光纖互連
- 伺服器X系列韌體版本5.3(0.240016)
- 交換矩陣互聯6536韌體版本4.3(5.250004)
- 伺服器C系列韌體版本4.3(4.241063)
- 交換矩陣互聯6536韌體版本4.2(3m)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Cisco Intersight-Managed Mode環境中的本徵VLAN配置選項具有導致雙標籤的常見方案。本文還提供推薦的故障排除步驟。
在Cisco UCS中,網絡卡介面卡被虛擬化,並通過vNIC呈現給作業系統。這些虛擬介面卡連線到通常配置為中繼埠的虛擬乙太網介面(vEthernet)。本徵VLAN用於通過中繼埠傳輸未標籤的流量(或不使用802.1Q標籤的流量)。
根據已安裝的作業系統,它可以具有或不對自己的流量進行標籤的功能。例如,VMWare ESXi能夠標籤多個VLAN。對於無法或不需要VLAN標籤的作業系統,建議為要用於未標籤流量的預設VLAN選擇本徵VLAN。
疑難排解案例
VMware ESXi
vNIC、FI上行鏈路或上游網路裝置上沒有配置本徵VLAN
在本例中,環境中使用VLAN 470和72。以下是包含工作情景的範例。
- 上行鏈路中未配置本徵VLAN。
域配置檔案:
通過CLI:
FI-A:
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
pinning border
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
FI-B:
6536-B(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
pinning border
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470- vNIC中未配置本徵VLAN。
乙太網路組策略:
通過CLI:
附註:您可以通過Servers > Inventory > Network Adapters路徑檢視伺服器中的vEthernet,然後選擇VIC卡,然後按一下Interfaces。
FI-A:
6536-A(nx-os)# show running-config interface vethernet 800
interface Vethernet800
switchport mode trunk
switchport trunk allowed vlan 1,69,470
FI-B:
6536-B(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk allowed vlan 1,69,470- OS中配置的VLAN:
- Ping測試成功:
場景1.本徵VLAN配置在vNIC級別
如果在乙太網路組中將VLAN配置為Native,則可能會由於VLAN標籤問題而導致網路連線丟失。
- 乙太網路組中的配置:
通過CLI:
FI-A:
6536-A(nx-os)# show running-config interface vethernet 800
interface Vethernet800
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470
FI-B:
6536-B(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470
- Ping測試失敗。
附註:一旦從網路組中刪除本徵VLAN,連線就會恢復。
案例2.在FI上行鏈路中設定原生VLAN
- VIa CLI:
FI地址
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
FI-B
6536-B(nx-os)# show running-config interface ethernet 1/1
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470如果嘗試使用上行鏈路中配置的本徵VLAN對作業系統執行ping操作,ping測試會失敗。
要修復此情況,您需要從上行鏈路中刪除VLAN,並保留在ESXi(OS)級別配置的VLAN。
本徵VLAN配置在vNIC、FI上行鏈路和上游網路裝置
為了這一娛樂活動,使用了另一個VLAN。在此案例中,使用的VLAN為72。
注意事項:
- VLAN 72在Catalyst DG中配置為本徵。
- VLAN 72被配置為Nexus裝置中的本徵。
- VLAN 72在FI上行鏈路中配置為本徵。
- VLAN 72在vNIC中配置為Native。
- 作業系統中未標籤VLAN。
如果您使用這些注意事項,並嘗試執行ping測試,可以看到ping是否按預期工作:
作業系統級別的資料包捕獲:
檢視資料平面是否按預期工作的另一種方法是,您可以在作業系統級別執行資料包捕獲。對於本故障排除文章,您使用pktcap-uw工具來捕獲流經物理網路介面卡的流量,例如:
pktcap-uw --uplink vmnic0 --dir 2 -o /vmfs/volumes/datastore1/pcaps/nativeworking.pcap -i icmp:
ELAM捕獲:
ELAM捕獲在排除本徵VLAN問題時非常有用,該工具允許即時檢視在ASIC級別轉發的資料包。它不會中斷資料平面,出於故障排除目的,只關注源裝置和目的裝置的MAC和IP地址。
資料包工作時的示例:
root@IMM-SAAS-MXSVLAB-6536-A(nx-os)# attach module 1
root@module-1# debug platform internal tah elam asic 0
root@module-1(TAH-elam)# trigger init asic 0 slice 1 lu-a2d 1 in-select 6 out-select 0
Slot 1: param values: start asic 0, start slice 1, lu-a2d 1, in-select 6, out-select 0
root@module-1(TAH-elam-insel6)# set outer ipv4 src_ip 192.168.72.25 dst_ip 192.168.72.1
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 72
Outgoing Interface Info: dmod 1, dpid 72
Dst Idx : 0x601, Dst BD : 72
Packet Type: IPv4
Dst MAC address: B0:8B:CF:C8:A2:6B
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 72, cos = 0x0
Dst IPv4 address: 192.168.72.1
Src IPv4 address: 192.168.72.25
Ver = 4, DSCP = 0, Don't Fragment = 0
Proto = 1, TTL = 64, More Fragments = 0
Hdr len = 20, Pkt len = 84, Checksum = 0xc0a9
L4 Protocol : 1
ICMP type : 8
ICMP code : 0
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
在獲得的輸出中,很顯然src和dst在VLAN 72上。這是預期的,因為您知道您在所有路徑中都使用VLAN 72作為本徵,它到達了埠ethernet 1/10(指定了dpid 72介面),dpid是ASIC埠內部識別符號,可以使用show interface hardware-mappings找到對映:
6536-A(nx-os)# show interface hardware-mappings
-------------------------------------------------------------------------------------------------------
Name Ifindex Smod Unit HPort FPort NPort VPort Slice SPort SrcId MacId MacSP VIF Block BlkSrcID
-------------------------------------------------------------------------------------------------------
Eth1/1 1a000000 1 0 72 255 0 -1 1 0 0 18 0 1537 0 0
6536-A(nx-os)# show hardware internal tah interface ethernet 1/1
#########################################
IfIndex: 0x1a000000
DstIndex: 6144
IfType: 26
Asic: 0
Asic: 0
AsicPort: 72
SrcId: 0
Slice: 1
PortOnSlice: 0
Table entries for interface Ethernet1/1
根據show interface hardware-mappings命令中獲得的資訊,目的地連線埠是連線埠Ethernet 1/1,它是UCS網域中的上行鏈路之一。
案例1.本徵VLAN在FI上行鏈路中配置,未在vNIC上配置上游裝置
這次,ICMP請求顯然停止工作,這是預期的結果,因為本徵VLAN已從vNIC中刪除:
ELAM捕獲。
在這種情況下,無法對其執行ping操作,並且如果您嘗試使用源和目標的IP地址,則由於無連線,該操作不起作用。在此特定情況下,將MAC位址設定為篩選條件以取得詳細資訊:
root@module-1(TAH-elam-insel6)# set outer l2 src_mac 00:25:B5:01:00:34 dst_mac ff:ff:ff:ff:ff:ff
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 1
Outgoing Interface Info: dmod 1, dpid 72
Dst Idx : 0x601, Dst BD : 72
Packet Type: ARP
Dst MAC address: FF:FF:FF:FF:FF:FF
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 1, cos = 0x0
Target Hardware address: 00:00:00:00:00:00
Sender Hardware address: 00:25:B5:01:00:34
Target Protocol address: 192.168.72.1
Sender Protocol address: 192.168.72.25
ARP opcode: 1
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
6536-A(nx-os)# show interface hardware-mappings
-------------------------------------------------------------------------------------------------------
Name Ifindex Smod Unit HPort FPort NPort VPort Slice SPort SrcId MacId MacSP VIF Block BlkSrcID
-------------------------------------------------------------------------------------------------------
Eth1/1 1a000000 1 0 72 255 0 -1 1 0 0 18 0 1537 0 0
您可以看到MAC地址00:25:B5:01:00:34(vNIC-A)使用的VLAN是VLAN 1,這是不正確的,因為您需要使用VLAN 72。
案例2.本徵VLAN是在vNIC上配置的,但上游裝置未在FI上行鏈路中配置
ELAM捕獲:
root@module-1(TAH-elam-insel6)# set outer l2 src_mac 00:25:B5:01:00:34 dst_mac ff:ff:ff:ff:ff:ff
root@module-1(TAH-elam-insel6)# start
root@module-1(TAH-elam-insel6)# report
HEAVENLY ELAM REPORT SUMMARY
slot - 1, asic - 0, slice - 1
============================
Incoming Interface: Eth1/10
Src Idx : 0x1001, Src BD : 72
Outgoing Interface Info: met_ptr 0
Packet Type: ARP
Dst MAC address: FF:FF:FF:FF:FF:FF
Src MAC address: 00:25:B5:01:00:34
.1q Tag0 VLAN: 72, cos = 0x0
Target Hardware address: 00:00:00:00:00:00
Sender Hardware address: 00:25:B5:01:00:34
Target Protocol address: 192.168.72.1
Sender Protocol address: 192.168.72.25
ARP opcode: 1
Drop Info:
----------
LUA:
LUB:
LUC:
LUD:
Final Drops:
vntag:
vntag_valid : 1
vntag_vir : 195
vntag_svif : 195
在輸出中,顯然使用了正確的VLAN 72。但是,如果您檢查上行鏈路中的配置,可以看到本地VLAN未配置:
6536-A(nx-os)# show running-config interface ethernet 1/1
description Uplink PC Member
switchport mode trunk
switchport trunk allowed vlan 1,50,55,60,69-70,72,201,470
Windows Server作業系統
本徵VLAN問題也可能在Windows作業系統中存在,通常由於本徵VLAN未在vNIC上標籤,因此可能會發生此問題。
在此案例中,使用原生VLAN 470:
vNIC在Windows中連線:
封包捕獲
如果嘗試ping網路,可以看到封包擷取如預期般運作,因為原生VLAN已在vNIC中標籤:
案例1.本徵VLAN在FI上行鏈路中配置,但未在vNIC中配置
- vNIC級別:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk allowed vlan 1,69,470- FI-A級別:
6454-A(nx-os)# show running-config interface ethernet 1/15-16
interface Ethernet1/15
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
interface Ethernet1/16
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
在Windows中未連線使用的vNIC:
如果嘗試執行ping,則預期此操作無法正常工作。
案例2.在FI上行鏈路和vNIC上配置本徵VLAN
- vNIC級別:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470- FI-A級別:
IMM-SAAS-MXSVLAB-6454-A(nx-os)# show running-config interface ethernet
interface Ethernet1/15
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470
interface Ethernet1/16
description Uplink PC Member
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69-70,72,470此配置不允許連線,所以您執行ping測試時應該不會收到響應。
場景3.本地VLAN在作業系統和vNIC級別配置
- 作業系統端:
- vNIC級別:
6454-A(nx-os)# show running-config interface vethernet 801
interface Vethernet801
switchport mode trunk
switchport trunk native vlan 470 <<<<<<<<<<
switchport trunk allowed vlan 1,69,470- ping測試不起作用,並且您沒有連線。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
01-Jul-2025
|
已更新的影象和格式。 |
1.0 |
27-Mar-2025
|
初始版本 |
意見