تكوين شبكة VLAN الخاصة و UCS مع DVS من VMware أو Cisco Nexus 1000v

المقدمة

يصف هذا المستند دعم شبكة VLAN الخاصة (PVLAN) لنظام الحوسبة الموحدة (UCS) من Cisco في الإصدار 2.2(2c) والإصدارات الأحدث.

تحذير: هناك تغيير في السلوك بدءا من الإصدار 3.1(3a) من البرنامج الثابت UCS كما هو موضح في تغيير السلوك باستخدام الإصدار 3.1(3) من UCS والقسم الأحدث.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• UCS
• المحول Cisco Nexus 1000V (N1K) أو المحول الظاهري الموزع (DVS) من VMware
• VMware
• التحويل من المستوى الثاني (المستوى الثاني)

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ال VLAN خاص VLAN يشكل ل L2 عملية عزل من آخر ميناء ضمن ال نفسه VLAN خاص. تقترن المنافذ التي تنتمي إلى شبكة VLAN الخاصة بمجموعة مشتركة من شبكات VLAN الداعمة، والتي يتم إستخدامها لإنشاء بنية شبكة VLAN الخاصة.

هناك ثلاثة أنواع من منافذ PVLAN:

• يتصل المنفذ المختلطة مع جميع منافذ PVLAN الأخرى وهو المنفذ المستخدم للاتصال بالأجهزة خارج شبكة VLAN الخاصة.
• يتمتع المنفذ المعزول بفصل كامل L2 (والذي يتضمن عمليات بث) من المنافذ الأخرى داخل شبكة VLAN نفسها باستثناء المنفذ المختلطة.
• يمكن لمنفذ المجتمع الاتصال بالمنافذ الأخرى في شبكة VLAN نفسها وكذلك المنفذ المختلطة. يتم عزل منافذ المجتمع عند L2 من المنافذ في المجتمعات الأخرى أو منافذ PVLAN المعزولة. يتم نشر عمليات البث فقط إلى المنافذ الأخرى في المجتمع والمنفذ المختلطة.

ارجع إلى RFC 5517، شبكات VLAN الخاصة من Cisco Systems: الأمان القابل للتطوير في بيئة متعددة العملاء لفهم نظرية شبكات VLAN وتشغيلها ومفاهيمها.

التكوين

الرسم التخطيطي للشبكة

باستخدام أجهزة DVS من Nexus 1000v أو VMware

ملاحظة: يستخدم هذا المثال شبكة VLAN 1750 كشبكة أساسية، و 1785 كشبكة معزولة و 1786 كشبكة VLAN مجتمعية.

UCS مع DVS من VMware

1. طقطقت in order to خلقت ال VLAN أساسي، أساسي لاسلكي زر بما أن ال يشارك نوع، وأدخل VLAN id 1750 كما هو موضح في الصورة.

2. قم بإنشاء شبكات VLAN المعزولة والمجتمعية وفقا لذلك كما هو موضح في الصور. ما من هذا ينبغي كنت VLAN أهلي طبيعي.

3. تحمل بطاقة واجهة الشبكة الظاهرية (vNIC) على ملف تعريف الخدمة شبكات VLAN العادية بالإضافة إلى شبكات VLAN الخاصة، كما هو موضح في الصورة.

4. تحمل وصلة قناة الميناء على UCS شبكات VLAN العادية بالإضافة إلى شبكات VLAN الخاصة:

interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

VMware DVS

محول N5k للتدفق

feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

تغيير السلوك باستخدام UCS الإصدار 3.1(3)

قبل UCS الإصدار 3.1(3)، يمكنك الحصول على VM في شبكة VLAN المجتمعية للتواصل مع VM في شبكة VLAN الأساسية على VMware DVS حيث يتواجد جهاز VLAN الأساسي داخل UCS. كان هذا السلوك غير صحيح لأنه يجب أن يكون VM الأساسي متجها نحو الشمال أو خارج UCS. وثقت هذا تصرف عبر خلل id CSCvh87378 .

من UCS الإصدار 2.2(2) وما بعده، ونظرا لوجود عيب في الرمز، كانت شبكة VLAN المجتمعية قادرة على الاتصال بشبكة VLAN الأساسية التي كانت موجودة خلف شبكة FI. لكن العزل لا يمكنه أبدا التواصل مع الأساسي وراء الخدمة المالية. لا تزال كل من الأجهزة الافتراضية (المعزولة والمجتمعية) قادرة على الاتصال بالجهاز الأساسي خارج المؤسسة المالية.

ومن 3.1(3) فصاعدا، يسمح هذا العيب للمجتمع بالاتصال بالأساس وراء الشبكة المالية (FI)، وقد تم تصحيحه، وبالتالي لن تتمكن الأجهزة الظاهرية في المجتمع من الاتصال بشبكة VM أساسية موجودة داخل شبكة UCS.

لحل هذه الحالة، سيحتاج الجهاز الظاهري الرئيسي إما إلى نقله (إلى الشمال) خارج UCS. إذا لم يكن هذا خيارا، فسيحتاج حينئذ إلى نقل جهاز VM الأساسي إلى شبكة VLAN أخرى هي شبكة VLAN عادية وليست شبكة VLAN خاصة.

على سبيل المثال، قبل البرنامج الثابت 3.1(3)، يمكن أن يتصل جهاز VM في شبكة VLAN المجتمعية 1786 بجهاز VM في شبكة VLAN الأساسية 1750 الموجودة ضمن UCS، ومع ذلك، قد ينقطع هذا الاتصال في البرنامج الثابت 3.1(3) والإصدارات اللاحقة، كما هو موضح في الصورة.

ملاحظة:

—

تمت معالجة CSCvh87378 في 3.2(3l) و 4.0.4e وأعلى حتى يمكننا الحصول على شبكة VLAN الأساسية خلف UCS. ومع ذلك، يرجى ملاحظة أن شبكة VLAN المعزولة داخل UCS لن تتمكن من التحدث إلى شبكة VLAN الأساسية داخل UCS. يمكن فقط لشبكة VLAN المجتمعية وشبكة VLAN الأساسية التحدث إلى بعضها البعض عندما يكون كلا منهما خلف UCS.

محول 4900 للتدفق

ملاحظة: في هذا المثال، يمثل رقم 4900 واجهة L3 للشبكة الخارجية. إذا كانت طبقتك للمستوى 3 مختلفة، فيرجى إجراء التغييرات وفقا لذلك

في محول 4900، اتبع هذه الخطوات، وأعد المنفذ المختلطة. تنتهي شبكة VLAN الخاصة في المنفذ المختلطة.

1. قم بتشغيل ميزة شبكة VLAN الخاصة إذا لزم الأمر.
2. قم بإنشاء وإقران شبكات VLAN كما هو الحال على Nexus 5K.
3. قم بإنشاء المنفذ المختلطة على منفذ مخرج المحول 4900. من هذه النقطة، يرى الربط من VLAN 1785 و 1786 على VLAN 1750 في هذه الحالة.

Switch(config-if)#switchport mode trunk
switchport private-vlan mapping 1785-1786
switchport mode private-vlan promiscuous

على موجه البث، قم بإنشاء واجهة فرعية لشبكة VLAN 1750 فقط. في هذا المستوى، تعتمد المتطلبات على تكوين الشبكة التي تستخدمها:

interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

يوضح هذا الإجراء كيفية إختبار تكوين DVS من VMware باستخدام شبكة VLAN الخاصة.

1. قم بتشغيل إختبارات الاتصال للأنظمة الأخرى التي تم تكوينها في مجموعة المنافذ بالإضافة إلى الموجه أو الجهاز الآخر في المنفذ المختلطة. يجب أن تعمل إختبارات الاتصال بالجهاز الذي يمر عبر المنفذ المختلطة، بينما يجب فشل إختبارات الاتصال بالأجهزة الأخرى في شبكة VLAN المعزولة كما هو موضح في الصور.

تحقق من جداول عناوين MAC لترى أين يتم التعرف على MAC. على جميع المحولات، يجب أن يكون MAC في شبكة VLAN المعزولة باستثناء المحول مع المنفذ المختلطة. على المحول المختلطة، يجب أن يكون MAC في شبكة VLAN الأساسية.

2. UCS كما هو موضح في الصورة.

3. تحقق من الخادم n5k بحثا عن نفس MAC، ويجب أن يكون الناتج المماثل للإخراج السابق موجودا على N5k كما هو موضح في الصورة.

التكوين مع Nexus 1000v مع المنفذ المختلطة على UpStream N5k

تكوين UCS

وتظل عملية تكوين UCS (التي تتضمن تكوين بطاقة واجهة الشبكة (NIC) لملف تعريف الخدمة) هي نفسها كما هو موضح في المثال الخاص بأجهزة DVS من VMware.

تشكيل N1k

feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

يوضح هذا الإجراء كيفية إختبار التكوين.

1. قم بتشغيل إختبارات الاتصال للأنظمة الأخرى التي تم تكوينها في مجموعة المنافذ بالإضافة إلى الموجه أو الجهاز الآخر في المنفذ المختلطة. يجب أن تعمل إختبارات الاتصال بالجهاز الذي يتجاوز المنفذ المختلطة، بينما يجب أن يفشل إختبارات الاتصال بالأجهزة الأخرى في شبكة VLAN المعزولة، كما هو موضح في القسم السابق وفي الصور.

2. في N1K، يتم إدراج VMs على شبكة VLAN الأساسية، وهذا يحدث لأنك في منافذ مضيف شبكة VLAN الخاصة التي ترتبط بشبكة VLAN PVLAN كما هو موضح في الصورة.

تحقق من جداول عناوين MAC لترى أين يتم التعرف على MAC. على جميع المحولات، يجب أن يكون MAC في شبكة VLAN المعزولة باستثناء المحول مع المنفذ المختلطة. على المحول المختلطة، يجب أن يكون MAC في شبكة VLAN الأساسية.

3. على نظام UCS، يجب عليك معرفة كل MACs في شبكات VLAN الخاصة الخاصة الخاصة بكل منها كما هو موضح في الصورة.

4. تحقق من الخادم n5k بحثا عن نفس MAC، يجب أن يكون الإخراج المشابه للإخراج السابق موجودا على N5k كما هو موضح في الصورة.

  

التكوين مع Nexus 1000v مع المنفذ المختلطة على ملف تعريف منفذ وصلات N1k

بما أن PVLAN تنتهي في المنفذ المختلطة، في هذا التكوين، فأنت تحتوي على حركة مرور PVLAN إلى N1K مع إستخدام شبكة VLAN الأساسية فقط للتدفق. وبالتالي فإن UCS وأجهزة تدفق البيانات لا تعرف أي شبكات VLAN الخاصة.

تكوين UCS

يصف هذا الإجراء كيفية إضافة شبكة VLAN الأساسية إلى بطاقة واجهة الشبكة (NIC). لا حاجة إلى تكوين شبكة VLAN الخاصة لأنك تحتاج فقط إلى شبكة VLAN الأساسية.

ملاحظة: يستخدم هذا المثال 1750 كشبكة أساسية و 1785 كشبكة معزولة و 1786 كشبكة VLAN مجتمعية كما هو موضح أيضا في الصورة.

تكوين أجهزة البث

تصف هذه الإجراءات كيفية تكوين أجهزة البث. في هذه الحالة، ال upstream يحتاج مفتاح فقط شنطة ميناء، وهم يحتاجون فقط أن شنطة VLAN 1750 لأن هو ال VLAN وحيد ال up stream مفتاح يرى.

على Nexus 5K، قم بتشغيل هذه الأوامر، وفحص تكوين الوصلات:

1. أضفت ال VLAN كأساسي:

   Nexus5000-5(config-vlan)# vlan 1750

2. ضمنت أن شكلت كل uplinks in order to شنطة VLANs.

تكوين N1K

يصف هذا الإجراء كيفية تكوين N1K:

feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

يجب إنهاء شبكة VLAN الخاصة في المنفذ المختلطة على ملف تعريف منفذ الوصلة ل n1k و UCS وبعد ذلك يجب أن ترى جميع أجهزة الخادم هذه شبكات VM في شبكات VLAN الأساسية. هنا اللقطة من المنبع N5k و UCS.

أشياء قليلة يجب تذكرها:

لا يقرر أمر خط اتصال تعيين شبكة Private-VLAN أو يتجاوز تكوين خط الاتصال لمنفذ ما.

• تم تكوين المنفذ بالفعل في وضع خط اتصال عادي قبل إضافة تكوينات خط اتصال PVLAN
• يجب إضافة شبكات VLAN الأساسية إلى قائمة شبكات VLAN المسموح بها لمنفذ خط الاتصال المختلطة
• لم يتم تكوين شبكات VLAN الثانوية في قائمة شبكات VLAN المسموح بها
• يمكن لمنفذ خط الاتصال حمل شبكات VLAN العادية بالإضافة إلى شبكات VLAN الأساسية