Konfiguration von privatem VLAN und Cisco UCS vor 2.2(2C)

Einleitung

In diesem Dokument wird die Unterstützung von privaten VLANs (PVLANs) im Cisco Unified Computing System (UCS) beschrieben, einer Funktion, die in Version 1.4 von Cisco UCS Manager (UCSM) eingeführt wurde. Darüber hinaus werden die Funktionen, Vorbehalte und die Konfiguration bei der Verwendung von PVLANs in einer UCS-Umgebung beschrieben.

DIESES DOKUMENT IST FÜR DIE VERWENDUNG MIT UCSM VERSION 2.2(2C) UND FRÜHEREN VERSIONEN BESTIMMT. In Versionen nach Version 2.2(2C) wurden Änderungen an UCSM vorgenommen, und ESXi DVS wird unterstützt. Es gibt auch Änderungen in der Funktionsweise des Tagging für die PVLAN-Netzwerkkarte.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• UCS
• Cisco Nexus 1000 V (N1K)
• VMware
• Layer-2-Switching (L2)

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Hintergrundinformationen

Theorie

Ein privates VLAN ist ein VLAN, das für die L2-Isolierung von anderen Ports im gleichen privaten VLAN konfiguriert ist. Ports, die zu einem PVLAN gehören, sind einem gemeinsamen Satz von Support-VLANs zugeordnet, die zum Erstellen der PVLAN-Struktur verwendet werden.

Es gibt drei Arten von PVLAN-Ports:

• Ein Promiscuous Port kommuniziert mit allen anderen PVLAN-Ports und ist der Port, der für die Kommunikation mit Geräten außerhalb des PVLAN verwendet wird.
• Ein isolierter Port verfügt über eine vollständige L2-Trennung (einschließlich Broadcasts) von anderen Ports innerhalb desselben PVLAN, mit Ausnahme des Promiscuous-Ports.
• Ein Community-Port kann mit anderen Ports im selben PVLAN sowie mit dem Promiscuous-Port kommunizieren. Community-Ports sind auf L2 von Ports in anderen Communitys oder isolierten PVLAN-Ports isoliert. Broadcasts werden nur an andere Ports in der Community und den Promiscuous-Port weitergeleitet.

Siehe RFC 5517, Private VLANs von Cisco Systems: Skalierbare Sicherheit in einer Multi-Client-Umgebung, um die Theorie, den Betrieb und die Konzepte von PVLANs zu verstehen.

PVLAN-Implementierung im UCS

Das UCS ähnelt stark der Nexus 5000/2000-Architektur, in der der Nexus 5000 eine Analogie zum UCS 6100 und der Nexus 2000 eine Analogie zu den UCS 2104 Fabric Extendern darstellt.

Viele Einschränkungen der PVLAN-Funktionalität in UCS sind auf die in der Nexus 5000/2000-Implementierung gefundenen Einschränkungen zurückzuführen.

Wichtige Punkte, die Sie nicht vergessen sollten:

• UCS unterstützt nur isolierte Ports. Mit N1K können Sie Community-VLANs verwenden, aber der Promiscuous-Port muss sich auch auf N1K befinden.
• Promiscuous Ports/Trunks, Community Ports/Trunks oder isolierte Trunks werden nicht unterstützt.
• Promiscuous-Ports müssen sich außerhalb der UCS-Domäne befinden, z. B. ein Upstream-Switch/Router oder ein Downstream-N1K.

Ziel

In diesem Dokument werden verschiedene Konfigurationen beschrieben, die für PVLAN mit dem UCS verfügbar sind:

1. Isoliertes PVLAN mit Promiscuous-Port auf einem Upstream-Gerät.
2. Isoliertes PVLAN auf N1K mit Promiscuous-Port auf einem Upstream-Gerät.
3. Isoliertes PVLAN auf N1K mit Promiscuous-Port auf dem N1K-Uplink-Portprofil
4. Community-PVLAN auf N1K mit Promiscuous-Port auf dem N1K-Uplink-Port-Profil.
5. Isoliertes PVLAN auf dem Promiscuous-Port des VMware Distributed Virtual Switch (DVS) auf dem DVS.
6. Community PVLAN auf dem VMware DVS-Switch Promiscuous-Port auf dem DVS.

Konfigurieren

Netzwerkdiagramme

Die Topologie für alle Beispiele mit einem verteilten Switch sieht folgendermaßen aus:

Die Topologie für alle Beispiele ohne verteilten Switch sieht folgendermaßen aus:

PVLAN auf vSwitch: Isoliertes PVLAN mit Promiscuous-Port auf einem Upstream-Gerät

In dieser Konfiguration leiten Sie den PVLAN-Datenverkehr über das UCS an einen Promiscuous-Port weiter, der dem Upstream angehört. Da Sie nicht sowohl primäre als auch sekundäre VLANs über dieselbe vNIC senden können, benötigen Sie für jedes PVLAN eine vNIC pro Blade, um den PVLAN-Datenverkehr zu übertragen.

Konfiguration im UCS

In diesem Verfahren wird beschrieben, wie Sie sowohl das primäre als auch ein isoliertes VLAN erstellen.

Anmerkung: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Um das primäre VLAN zu erstellen, klicken Sie auf Primary (Primär) als Freigabetyp, und geben Sie die VLAN-ID 266 ein:
   
   
   
   
2. Um das isolierte VLAN zu erstellen, klicken Sie auf Isolated als Freigabetyp, geben Sie eine VLAN-ID von 166 ein, und wählen Sie VLAN 266 (266) als primäres VLAN aus:
   
   
   
   
3. Um das VLAN zur vNIC hinzuzufügen, klicken Sie auf das Kontrollkästchen Auswählen für VLAN 166, und klicken Sie auf das Optionsfeld für das zugeordnete native VLAN.
   
   
   
   Es wird nur das isolierte VLAN hinzugefügt. Es muss als primär festgelegt werden, und es kann nur ein VLAN für jede vNIC geben. Da das native VLAN hier definiert ist, sollten Sie VLAN Tagging nicht für die VMware-Portgruppen konfigurieren.

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie ein Nexus 5000 so konfiguriert wird, dass das PVLAN an einen Upstream-Switch der Serie 4900 mit dem Promiscuous-Port weitergeleitet wird. Dies ist möglicherweise nicht in allen Umgebungen erforderlich. Verwenden Sie diese Konfiguration jedoch für den Fall, dass Sie das PVLAN über einen anderen Switch leiten müssen.

Geben Sie auf dem Nexus 5000 die folgenden Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Aktivieren Sie die PVLAN-Funktion:
   
   

   Nexus5000-5(config)# feature private-vlan

   [an error occurred while processing this directive]
2. Fügen Sie die VLANs als primäre und isolierte VLANs hinzu:
   
   

   Nexus5000-5(config)# vlan 166
   Nexus5000-5(config-vlan)# private-vlan isolated
   Nexus5000-5(config-vlan)# vlan 266
   Nexus5000-5(config-vlan)# private-vlan primary

   [an error occurred while processing this directive]
3. Ordnen Sie VLAN 266 dem isolierten VLAN 166 zu:
   
   

   Nexus5000-5(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
4. Stellen Sie sicher, dass alle Uplinks für den Trunk der VLANs konfiguriert sind:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Anschluss an 4900
   3. switchport mode trunk
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. description Verbindung zu FIB-Port 5
   7. switchport mode trunk
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung zu FIA-Port 5
   11. switchport mode trunk
   12. Geschwindigkeit 1000

Führen Sie auf dem Switch der Serie 4900 die folgenden Schritte aus, und richten Sie den Promiscuous Port ein. Das PVLAN endet am Promiscuous-Port.

1. Aktivieren Sie ggf. die PVLAN-Funktion.
2. Erstellen und Zuordnen der VLANs wie bei Nexus 5000
3. Erstellen Sie den Promiscuous-Port am Ausgangs-Port des 4900-Switches. Von diesem Punkt an sind die Pakete aus VLAN 166 in diesem Fall auf VLAN 266 zu sehen.
   
   

   Switch(config-if)#switchport mode trunk
   switchport private-vlan mapping 266 166
   switchport mode private-vlan promiscuous

   [an error occurred while processing this directive]

Erstellen Sie auf dem Upstream-Router eine Subschnittstelle nur für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab:

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP-Adresse 209.165.200.225.255.255.224

Fehlerbehebung

In diesem Verfahren wird beschrieben, wie Sie die Konfiguration testen.

1. Konfigurieren Sie die virtuelle Switch-Schnittstelle (SVI) auf jedem Switch, sodass Sie die SVI vom PVLAN aus pingen können:
   
   

   (config)# interface vlan 266
   (config-if)# ip address 209.165.200.225 255.255.255.224
   (config-if)# private-vlan mapping 166
   (config-if)# no shut

   [an error occurred while processing this directive]
2. Überprüfen Sie die MAC-Adresstabellen, um festzustellen, wo Ihre MAC-Adresse erfasst wird. Auf allen Switches sollte sich die MAC-Adresse im isolierten VLAN befinden, mit Ausnahme des Switches mit dem Promiscuous-Port. Beachten Sie beim Promiscuous Switch, dass sich die MAC-Adresse im primären VLAN befindet.
   
   
   1. Auf dem Fabric Interconnect wird die MAC-Adresse 0050.56bd.7bef auf Veth1491 gelernt:
      
      
      
      
   2. Auf dem Nexus 5000 wird die MAC-Adresse 0050.56bd.7bef auf Eth1/4 angezeigt:
      
      

      

   3. Auf dem 4900-Switch wird die MAC-Adresse 0050.56bd.7bef unter GigabitEthernet1/1 gelernt:
      
      

In dieser Konfiguration können die Systeme in diesem isolierten VLAN nicht miteinander kommunizieren, sondern über den Promiscuous-Port am 4900-Switch mit anderen Systemen. Ein Problem ist die Konfiguration von Downstream-Geräten. In diesem Fall verwenden Sie VMware und zwei Hosts.

Denken Sie daran, dass Sie für jedes PVLAN eine vNIC verwenden müssen. Diese vNICs werden VMware vSphere ESXi präsentiert. Anschließend können Sie Portgruppen erstellen und Gäste zu diesen Portgruppen hinzufügen.

Wenn zwei Systeme derselben Portgruppe auf demselben Switch hinzugefügt werden, können sie miteinander kommunizieren, da ihre Kommunikation lokal auf dem vSwitch geregelt wird. In diesem System gibt es zwei Blades mit jeweils zwei Hosts.

Auf dem ersten System wurden zwei verschiedene Portgruppen erstellt - eine mit der Bezeichnung 166 und eine mit der Bezeichnung 166A. Jede ist mit einer einzelnen NIC verbunden, die im isolierten VLAN des UCS konfiguriert wird. Für jede Portgruppe ist derzeit nur ein Gast vorhanden. Da diese in ESXi voneinander getrennt sind, können sie in diesem Fall nicht miteinander kommunizieren.

Auf dem zweiten System gibt es nur eine Portgruppe mit der Bezeichnung 166. Diese Portgruppe umfasst zwei Gäste. In dieser Konfiguration können VM3 und VM4 miteinander kommunizieren, auch wenn Sie dies nicht wünschen. Um dies zu korrigieren, müssen Sie eine einzelne NIC für jede virtuelle Maschine (VM) konfigurieren, die sich im isolierten VLAN befindet, und dann eine Port-Gruppe erstellen, die mit dieser vNIC verbunden ist. Sobald dies konfiguriert ist, wird nur noch ein Gast zur Portgruppe hinzugefügt. Bei einer reinen Windows-Installation ist dies kein Problem, da diese zugrunde liegenden vSwitches nicht vorhanden sind.

Isoliertes PVLAN auf N1K mit Promiscuous-Port auf einem Upstream-Gerät

In dieser Konfiguration leiten Sie den PVLAN-Datenverkehr über N1K und dann über das UCS an einen Promiscuous-Port weiter, der dem Upstream angehört. Da Sie nicht sowohl primäre als auch sekundäre VLANs über dieselbe vNIC senden können, benötigen Sie eine vNIC für jeden PVLAN-Uplink, um den PVLAN-Datenverkehr übertragen zu können.

Konfiguration im UCS

In diesem Verfahren wird beschrieben, wie Sie sowohl das primäre als auch ein isoliertes VLAN erstellen.

Anmerkung: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Um das primäre VLAN zu erstellen, klicken Sie auf Primary (Primär) als Freigabetyp:
   
   
   
   
2. Um das isolierte VLAN zu erstellen, klicken Sie auf Isolated as the Sharing Type:
   
   
   
   
3. Um das VLAN zur vNIC hinzuzufügen, klicken Sie auf das Kontrollkästchen Auswählen für VLAN 166. Für VLAN 166 ist kein natives VLAN ausgewählt.
   
   
   
   Es wird nur das isolierte VLAN hinzugefügt. Es darf nicht als nativ festgelegt werden, und es kann nur eines für jede vNIC geben. Da das native VLAN hier nicht definiert ist, markieren Sie das native VLAN auf dem N1K. Die Option zum Taggen eines nativen VLANs ist in VMware DVS nicht verfügbar. Daher wird diese Option auf DVS nicht unterstützt.

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie ein Nexus 5000 konfiguriert wird, um das PVLAN an einen Upstream-Switch der Serie 4900 weiterzuleiten, an dem sich der Promiscuous-Port befindet. Dies ist möglicherweise nicht in allen Umgebungen erforderlich. Verwenden Sie diese Konfiguration jedoch für den Fall, dass Sie das PVLAN über einen anderen Switch leiten müssen.

Geben Sie auf dem Nexus 5000 die folgenden Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Aktivieren Sie die PVLAN-Funktion:
   
   

   Nexus5000-5(config)# feature private-vlan

   [an error occurred while processing this directive]
2. Fügen Sie die VLANs als primäre und isolierte VLANs hinzu:
   
   

   Nexus5000-5(config)# vlan 166
   Nexus5000-5(config-vlan)# private-vlan isolated
   Nexus5000-5(config-vlan)# vlan 266
   Nexus5000-5(config-vlan)# private-vlan primary
   

   [an error occurred while processing this directive]
3. Ordnen Sie VLAN 266 dem isolierten VLAN 166 zu:
   
   

   Nexus5000-5(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
4. Stellen Sie sicher, dass alle Uplinks für den Trunk der VLANs konfiguriert sind:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Anschluss an 4900
   3. switchport mode trunk
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. description Verbindung zu FIB-Port 5
   7. switchport mode trunk
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung zu FIA-Port 5
   11. switchport mode trunk
   12. Geschwindigkeit 1000

Führen Sie auf dem Switch der Serie 4900 die folgenden Schritte aus, und richten Sie den Promiscuous Port ein. Das PVLAN endet am Promiscuous-Port.

1. Aktivieren Sie ggf. die PVLAN-Funktion.
2. Erstellen und Zuordnen der VLANs wie bei Nexus 5000
3. Erstellen Sie den Promiscuous-Port am Ausgangs-Port des 4900-Switches. Von diesem Punkt an sind die Pakete aus VLAN 166 in diesem Fall auf VLAN 266 zu sehen.
   
   

   Switch(config-if)#switchport mode trunk
   switchport private-vlan mapping 266 166
   switchport mode private-vlan promiscuous

   [an error occurred while processing this directive]

Erstellen Sie auf dem Upstream-Router eine Subschnittstelle nur für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab:

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP-Adresse 209.165.200.225.255.255.224

Konfiguration von N1K

In diesem Verfahren wird beschrieben, wie N1K als Standard-Trunk und nicht als PVLAN-Trunk konfiguriert wird.

1. Erstellen und Zuordnen der VLANs wie bei Nexus 5000 Weitere Informationen finden Sie im Abschnitt Konfiguration von Upstream-Geräten.
2. Erstellen Sie ein Uplink-Port-Profil für den PVLAN-Datenverkehr:
   
   

   Switch(config)#port-profile type ethernet pvlan_uplink
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode trunk
   Switch(config-port-prof)# switchport trunk allowed vlan 166,266
   Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle 
      traffic coming back from the promiscuous port.
   Switch(config-port-prof)# channel-group auto mode on mac-pinning
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
3. Erstellen Sie die Portgruppe für das isolierte VLAN. Erstellen Sie einen PVLAN-Host-Port mit der Host-Zuordnung für die primären und isolierten VLANs:
   
   

   Switch(config)# port-profile type vethernet pvlan_guest
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan host  
   Switch(config-port-prof)# switchport private-vlan host-association 266 166
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
4. Fügen Sie im vCenter die richtige vNIC zum PVLAN-Uplink hinzu. Dies ist die vNIC, der Sie das isolierte VLAN unter der Konfiguration in den UCS-Einstellungen hinzugefügt haben.
   
   
   
   
5. Fügen Sie das virtuelle System der richtigen Portgruppe hinzu:
   
   
   1. Klicken Sie auf der Registerkarte Hardware auf Netzwerkadapter 1.
   2. Wählen Sie pvlan_guest (pvlan) als Netzwerkbezeichnung unter Netzwerkverbindung:
      
      

Fehlerbehebung

In diesem Verfahren wird beschrieben, wie Sie die Konfiguration testen.

1. Pings zu anderen Systemen ausführen, die in der Port-Gruppe konfiguriert sind, sowie zu dem Router oder einem anderen Gerät am Promiscuous-Port. Pings an das Gerät über den Promiscuous-Port hinaus sollten funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen sollten.
   
   
   
   
2. Auf dem N1K sind die virtuellen Systeme im primären VLAN aufgeführt. Dies geschieht, weil Sie sich in PVLAN-Host-Ports befinden, die mit dem PVLAN verknüpft sind. Stellen Sie aufgrund der Informationen zu den VMs sicher, dass das PVLAN nicht als nativ auf dem UCS-System festgelegt wird. Beachten Sie außerdem, dass Sie das Upstream-Gerät vom Port-Channel beziehen und dass das Upstream-Gerät auch vom primären VLAN erfasst wird. Dies muss bei dieser Methode gelernt werden. Aus diesem Grund verwenden Sie das primäre VLAN als natives VLAN auf dem PVLAN-Uplink.
   
   In diesem Screenshot sind die beiden Geräte auf Veth3 und Veth 4 die VMs. Das Gerät an Po1 ist der Upstream-Router, der über den Promiscuous-Port hinausgeht.
   
   
   
   
3. Auf dem UCS-System sollten Sie alle MACs für diese Kommunikation im isolierten VLAN erlernen. Hier sollten Sie die Originalautoren nicht sehen:
   
   
   
   
4. Auf dem Nexus 5000 befinden sich die beiden virtuellen Systeme im isolierten VLAN, während sich das Upstream-Gerät im primären VLAN befindet:
   
   
   
   
5. Auf dem 4900-Switch, auf dem sich der Promiscuous-Port befindet, befindet sich alles im primären VLAN:
   
   

Isoliertes PVLAN auf N1K mit Promiscuous Port auf dem N1K-Uplink-Portprofil

In dieser Konfiguration enthalten Sie PVLAN-Datenverkehr zum N1K, wobei nur das primäre VLAN Upstream verwendet wird.

Konfiguration im UCS

In diesem Verfahren wird beschrieben, wie Sie das primäre VLAN zur vNIC hinzufügen. Eine PVLAN-Konfiguration ist nicht erforderlich, da Sie nur das primäre VLAN benötigen. 

Anmerkung: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Beachten Sie, dass der Freigabetyp "Keine" ist.
   
   
   
   
2. Klicken Sie auf das Kontrollkästchen Auswählen für VLAN 266, um das primäre VLAN zur vNIC hinzuzufügen. Legen Sie sie nicht als nativ fest.
   
   

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie die Upstream-Geräte konfiguriert werden. In diesem Fall benötigen die Upstream-Switches nur Trunk-Ports, und sie müssen nur VLAN 266 trunken, da dies das einzige VLAN ist, das die Upstream-Switches sehen.

Geben Sie auf dem Nexus 5000 die folgenden Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Fügen Sie das VLAN als primär hinzu:
   
   

   Nexus5000-5(config-vlan)# vlan 266

   [an error occurred while processing this directive]
2. Stellen Sie sicher, dass alle Uplinks für den Trunk der VLANs konfiguriert sind:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Anschluss an 4900
   3. switchport mode trunk
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. description Verbindung zu FIB-Port 5
   7. switchport mode trunk
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung zu FIA-Port 5
   11. switchport mode trunk
   12. Geschwindigkeit 1000

Gehen Sie beim 4900 wie folgt vor:

1. Erstellen Sie die auf dem N1K als primär verwendeten VLANs.
2. Trunk für alle Schnittstellen zum und vom 4900-Switch, sodass das VLAN weitergeleitet wird

Erstellen Sie auf dem Upstream-Router eine Subschnittstelle nur für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab.

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP-Adresse 209.165.200.225.255.255.224

Konfiguration von N1K

Dieses Verfahren beschreibt die Konfiguration von N1K.

1. Erstellen und Zuordnen der VLANs:
   
   

   Switch(config)# vlan 166
   Switch(config-vlan)# private-vlan isolated
   Switch(config-vlan)# vlan 266
   Switch(config-vlan)# private-vlan primary
   Switch(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
2. Erstellen Sie ein Uplink-Port-Profil für den PVLAN-Verkehr mit dem Promiscuous-Port:
   
   

   Switch(config)#port-profile type ethernet pvlan_uplink
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
   Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to 
      allow the primary VLAN
   Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must 
      be mapped at this point
   Switch(config-port-prof)# channel-group auto mode on mac-pinning
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
3. Erstellen Sie die Portgruppe für das isolierte VLAN. Erstellen Sie einen PVLAN-Host-Port mit der Host-Zuordnung für die primären und isolierten VLANs:
   
   

   Switch(config)# port-profile type vethernet pvlan_guest
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan host
   Switch(config-port-prof)# switchport private-vlan host-association 266 166
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
4. Fügen Sie im vCenter die richtige vNIC zum PVLAN-Uplink hinzu. Dies ist die vNIC, der Sie das isolierte VLAN unter der Konfiguration in den UCS-Einstellungen hinzugefügt haben.
   
   
   
5. Fügen Sie die VM der richtigen Portgruppe hinzu.
   
   
   1. Klicken Sie auf der Registerkarte Hardware auf Netzwerkadapter 1.
   2. Wählen Sie pvlan_guest (pvlan) als Netzwerkbezeichnung unter Netzwerkverbindung aus.
      
      

Fehlerbehebung

In diesem Verfahren wird beschrieben, wie Sie die Konfiguration testen.

1. Pings zu anderen Systemen ausführen, die in der Port-Gruppe konfiguriert sind, sowie zu dem Router oder einem anderen Gerät am Promiscuous-Port. Pings an das Gerät über den Promiscuous-Port hinaus sollten funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen sollten.
   
   
   
   
2. Auf dem N1K sind die virtuellen Systeme im primären VLAN aufgeführt. Dies geschieht, weil Sie sich in PVLAN-Host-Ports befinden, die mit dem PVLAN verknüpft sind. Beachten Sie außerdem, dass Sie das Upstream-Gerät vom Port-Channel beziehen und dass das Upstream-Gerät auch vom primären VLAN erfasst wird.
   
   In diesem Screenshot sind die beiden Geräte auf Veth3 und Veth 4 die VMs. Das Gerät an Po1 ist das Upstream-Gerät, das den Promiscuous-Port passiert.
   
   
   
   
3. Auf dem UCS-System sollten Sie alle MACs für diese Kommunikation im primären VLAN lernen, das Sie auf dem N1K verwenden. Hier sollten Sie nicht den Upstream erlernen:
   
   
   
   
4. Auf dem Nexus 5000 befinden sich alle MACs im von Ihnen ausgewählten primären VLAN:
   
   
   
   
5. Auf dem 4900-Switch befindet sich alles auf dem von Ihnen ausgewählten primären VLAN:
   
   

Community PVLAN auf N1K mit Promiscuous Port auf dem N1K-Uplink-Portprofil

Dies ist die einzige unterstützte Konfiguration für das Community-VLAN mit dem UCS.

Diese Konfiguration entspricht der Konfiguration im Abschnitt "Isolated PVLAN on N1K with Promiscuous Port" (Isoliertes PVLAN auf N1K mit Promiscuous-Port auf dem N1K-Uplink-Portprofil). Der einzige Unterschied zwischen Community und Isolated besteht in der Konfiguration des PVLAN.

Um N1K zu konfigurieren, erstellen und verknüpfen Sie die VLANs wie auf dem Nexus 5000:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

[an error occurred while processing this directive]

Alle anderen Konfigurationen entsprechen dem isolierten PVLAN auf N1K mit dem Promiscuous-Port auf dem N1K-Uplink-Port-Profil.

Nach der Konfiguration können Sie mit allen VMs kommunizieren, die mit dem vEthernet-Portprofil für Ihr PVLAN verbunden sind.

Fehlerbehebung

In diesem Verfahren wird beschrieben, wie Sie die Konfiguration testen.

1. Pings zu anderen Systemen ausführen, die in der Port-Gruppe konfiguriert sind, sowie zu dem Router oder einem anderen Gerät am Promiscuous-Port. Pings am Promiscuous-Port und an anderen Systemen in der Community sollten funktionieren.
   
   
   
   
2. Alle anderen Verfahren zur Fehlerbehebung entsprechen dem isolierten PVLAN.

Isoliertes PVLAN und Community PVLAN auf VMware DVS Promiscuous Port auf dem DVS

Aufgrund von Konfigurationsproblemen sowohl auf dem DVS als auch auf dem UCS-System werden PVLANs mit DVS und UCS vor Version 2.2(2c) nicht unterstützt.

Überprüfung

Für diese Konfigurationen sind derzeit keine Prüfverfahren verfügbar.

Fehlerbehebung

In den vorherigen Abschnitten wurden Informationen bereitgestellt, die Sie zur Fehlerbehebung bei Ihren Konfigurationen verwenden können.

Das Output Interpreter-Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter-Tool, um eine Analyse der show-Befehlsausgabe anzuzeigen.