Private VLAN und Cisco UCS-Konfiguration vor 2.2(2C)

Einführung

In diesem Dokument wird die PVLAN-Unterstützung (Private VLAN) im Cisco Unified Computing System (UCS) beschrieben, eine Funktion, die in Version 1.4 des Cisco UCS Manager (UCSM) eingeführt wurde. Darüber hinaus werden die Funktionen, die Probleme und die Konfiguration beschrieben, wenn in einer UCS-Umgebung PVLANs verwendet werden.

DIESES DOKUMENT IST ZUR VERWENDUNG MIT UCSM VERSION 2.2(2C) UND FRÜHEREN VERSIONEN BESTIMMT. In Versionen nach Version 2.2(2C) wurden Änderungen an UCSM vorgenommen, und ESXi DVS wird unterstützt. Auch die Funktionsweise von Tagging für die PVLAN-NIC wurde geändert.

Voraussetzungen

Anforderungen

Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

• UCS
• Cisco Nexus 1000 V (N1K)
• VMware
• Layer-2-Switching (L2)

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

Hintergrundinformationen

Theorie

Ein privates VLAN ist ein VLAN, das für die L2-Isolierung von anderen Ports innerhalb desselben privaten VLAN konfiguriert ist. Ports, die zu einem PVLAN gehören, sind mit einem gemeinsamen Satz von Support-VLANs verbunden, die zur Erstellung der PVLAN-Struktur verwendet werden.

Es gibt drei Arten von PVLAN-Ports:

• Ein Promiscuous-Port kommuniziert mit allen anderen PVLAN-Ports und ist der Port, der für die Kommunikation mit Geräten außerhalb des PVLAN verwendet wird.
• Ein isolierter Port verfügt über eine vollständige L2-Trennung (einschließlich Broadcasts) von anderen Ports innerhalb desselben PVLAN, mit Ausnahme des Promiscuous-Ports.
• Ein Community-Port kann sowohl mit anderen Ports im selben PVLAN als auch mit dem Promiscuous-Port kommunizieren. Community-Ports sind in L2 von Ports in anderen Communitys oder isolierten PVLAN-Ports isoliert. Broadcasts werden nur an andere Ports in der Community und an den Promiscuous-Port weitergeleitet.

Siehe RFC 5517, Private VLANs von Cisco Systems: Skalierbare Sicherheit in einer Multi-Client-Umgebung, um Theorie, Betrieb und Konzepte von PVLANs zu verstehen.

PVLAN-Implementierung in UCS

Das UCS ähnelt der Nexus 5000/2000-Architektur, in der der Nexus 5000 mit dem UCS 6100 und der Nexus 2000 mit den UCS 2104 Fabric Extendern vergleichbar ist.

Viele Einschränkungen der PVLAN-Funktionalität im UCS sind auf die Einschränkungen der Nexus 5000/2000-Implementierung zurückzuführen.

Wichtige Punkte:

• Im UCS werden nur einzelne Ports unterstützt. Wenn das N1K integriert ist, können Sie Community-VLANs verwenden, aber der Promiscuous-Port muss sich auch auf dem N1K befinden.
• Promiscuous-Ports/Trunks, Community-Ports/Trunks und isolierte Trunks werden nicht unterstützt.
• Promiscuous-Ports müssen sich außerhalb der UCS-Domäne befinden, z. B. ein Upstream-Switch/Router oder ein Downstream-N1K.

Ziel

In diesem Dokument werden verschiedene Konfigurationen erläutert, die für PVLAN mit UCS verfügbar sind:

1. Isolated-PVLAN mit Promiscuous-Port auf einem Upstream-Gerät.
2. Isolated-PVLAN auf N1K mit Promiscuous-Port auf einem Upstream-Gerät.
3. Isolated-PVLAN auf N1K mit Promiscuous-Port im N1K-Uplink-Portprofil
4. Community PVLAN auf N1K mit Promiscuous-Port im N1K-Uplink-Portprofil.
5. Isolated PVLAN auf VMware Distributed Virtual Switch (DVS) Promiscuous Port auf dem DVS.
6. Community PVLAN auf VMware DVS-Switch Promiscuous-Port auf dem DVS.

Konfigurieren

Netzwerkdiagramme

Die Topologie für alle Beispiele mit einem verteilten Switch ist:

Die Topologie für alle Beispiele ohne verteilten Switch ist:

PVLAN auf vSwitch: Isolated-PVLAN mit Promiscuous-Port auf einem Upstream-Gerät

In dieser Konfiguration leiten Sie PVLAN-Datenverkehr über das UCS an einen Promiscuous-Port weiter, der Upstream ist. Da Sie nicht sowohl primäre als auch sekundäre VLANs auf derselben vNIC senden können, benötigen Sie für jeden Blade für jedes PVLAN eine vNIC, um den PVLAN-Datenverkehr zu übertragen.

Konfiguration in UCS

In diesem Verfahren wird beschrieben, wie sowohl das primäre als auch alle isolierten VLANS erstellt werden.

Hinweis: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Um das primäre VLAN zu erstellen, klicken Sie als Freigabetyp auf Primär, und geben Sie eine VLAN-ID von 266 ein:
   
   
   
   
2. Um das isolierte VLAN zu erstellen, klicken Sie als Freigabetyp auf Isolated, geben Sie eine VLAN-ID von 166 ein, und wählen Sie VLAN 266 (266) als primäres VLAN aus:
   
   
   
   
3. Um das VLAN der vNIC hinzuzufügen, aktivieren Sie das Kontrollkästchen Select (Auswählen) für VLAN 166, und klicken Sie auf das entsprechende Optionsfeld Native VLAN.
   
   
   
   Nur das isolierte VLAN wird hinzugefügt. Es muss als primär festgelegt werden, und es kann nur ein VLAN für jede vNIC vorhanden sein. Da das native VLAN hier definiert ist, sollten Sie VLAN Tagging nicht für die VMware-Portgruppen konfigurieren.

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie ein Nexus 5K so konfiguriert wird, dass das PVLAN an einen Upstream-Switch der Serie 4900 weitergeleitet wird, bei dem sich der Promiscuous-Port befindet. Dies ist möglicherweise nicht in allen Umgebungen erforderlich. Verwenden Sie diese Konfiguration jedoch für den Fall, dass Sie das PVLAN über einen anderen Switch weiterleiten müssen.

Geben Sie auf dem Nexus 5K diese Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Aktivieren Sie die PVLAN-Funktion:
   
   

   Nexus5000-5(config)# feature private-vlan

   [an error occurred while processing this directive]
2. Fügen Sie die VLANs als primäre und isolierte VLANs hinzu:
   
   

   Nexus5000-5(config)# vlan 166
   Nexus5000-5(config-vlan)# private-vlan isolated
   Nexus5000-5(config-vlan)# vlan 266
   Nexus5000-5(config-vlan)# private-vlan primary

   [an error occurred while processing this directive]
3. Ordnen Sie VLAN 266 dem isolierten VLAN 166 zu:
   
   

   Nexus5000-5(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
4. Stellen Sie sicher, dass alle Uplinks so konfiguriert sind, dass sie die VLANs trunk:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Verbindung zu 4900
   3. Trunk im Switch-Port-Modus
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. Beschreibung Verbindung mit FIB-Port 5
   7. Trunk im Switch-Port-Modus
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung mit FIA-Port 5
   11. Trunk im Switch-Port-Modus
   12. Geschwindigkeit 1000

Gehen Sie auf dem Switch der Serie 4900 wie folgt vor, und richten Sie den Promiscuous-Port ein. Das PVLAN endet am Promiscuous-Port.

1. Aktivieren Sie ggf. die PVLAN-Funktion.
2. Erstellen und Zuordnen der VLANs wie auf dem Nexus 5K ausgeführt
3. Erstellen Sie den Promiscuous-Port am Ausgangs-Port des 4900-Switches. Ab diesem Punkt werden die Pakete aus VLAN 166 in diesem Fall auf VLAN 266 angezeigt.
   
   

   Switch(config-if)#switchport mode trunk
   switchport private-vlan mapping 266 166
   switchport mode private-vlan promiscuous

   [an error occurred while processing this directive]

Erstellen Sie auf dem Upstream-Router nur eine Subschnittstelle für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab:

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP address 209.165.200.225 255.255.255.224

Fehlerbehebung

Dieses Verfahren beschreibt, wie die Konfiguration getestet wird.

1. Konfigurieren Sie die virtuelle Switch-Schnittstelle (SVI) auf jedem Switch, sodass Sie die SVI vom PVLAN aus pingen können:
   
   

   (config)# interface vlan 266
   (config-if)# ip address 209.165.200.225 255.255.255.224
   (config-if)# private-vlan mapping 166
   (config-if)# no shut

   [an error occurred while processing this directive]
2. Überprüfen Sie die MAC-Adresstabellen, um zu sehen, wo Ihre MAC-Adresse erfasst wird. Auf allen Switches sollte sich die MAC-Adresse im isolierten VLAN befinden, außer auf dem Switch mit dem Promiscuous-Port. Beachten Sie auf dem Promiscuous-Switch, dass sich die MAC-Adresse im primären VLAN befindet.
   
   
   1. Auf dem Fabric Interconnect wird die MAC-Adresse 0050.56bd.7bef auf Veth1491 gelernt:
      
      
      
      
   2. Auf dem Nexus 5K wird die MAC-Adresse 0050.56bd.7bef auf Eth1/4 gelernt:
      
      

      

   3. Auf dem 4900-Switch wird die MAC-Adresse 0050.56bd.7bef auf GigabitEthernet1/1 gelernt:
      
      

In dieser Konfiguration können die Systeme in diesem isolierten VLAN nicht miteinander kommunizieren, sondern über den Promiscuous-Port des 4900-Switches mit anderen Systemen kommunizieren. Ein Problem ist die Konfiguration von Downstream-Geräten. In diesem Fall verwenden Sie VMware und zwei Hosts.

Denken Sie daran, dass Sie für jedes PVLAN eine vNIC verwenden müssen. Diese vNICs werden VMware vSphere ESXi präsentiert. Anschließend können Sie Portgruppen erstellen und Gäste zu diesen Portgruppen hinzufügen.

Wenn zwei Systeme derselben Portgruppe auf demselben Switch hinzugefügt werden, können sie miteinander kommunizieren, da ihre Kommunikation lokal auf dem vSwitch geschaltet wird. In diesem System gibt es zwei Blades mit jeweils zwei Hosts.

Auf dem ersten System wurden zwei verschiedene Portgruppen erstellt - eine mit dem Namen 166 und eine mit dem Namen 166A. Jede ist mit einer einzelnen NIC verbunden, die im isolierten VLAN im UCS konfiguriert wird. Es gibt derzeit nur einen Gast für jede Portgruppe. Da diese auf ESXi getrennt sind, können sie in diesem Fall nicht miteinander sprechen.

Auf dem zweiten System gibt es nur eine Port-Gruppe namens 166. Diese Portgruppe besteht aus zwei Gästen. In dieser Konfiguration können VM3 und VM4 miteinander kommunizieren, auch wenn Sie dies nicht zulassen möchten. Um dies zu korrigieren, müssen Sie eine einzelne NIC für jedes virtuelle System (VM) im isolierten VLAN konfigurieren und dann eine Port-Gruppe erstellen, die mit dieser vNIC verbunden ist. Nach der Konfiguration sollte nur ein Gast in die Portgruppe aufgenommen werden. Dies ist kein Problem mit einer reinen Windows-Installation, da Sie diese zugrunde liegenden vSwitches nicht haben.

Isolated-PVLAN auf N1K mit Promiscuous-Port auf einem Upstream-Gerät

In dieser Konfiguration leiten Sie PVLAN-Datenverkehr über N1K und dann das UCS an einen Promiscuous-Port weiter, der Upstream ist. Da Sie nicht sowohl primäre als auch sekundäre VLANs auf derselben vNIC senden können, benötigen Sie für jeden PVLAN-Uplink eine vNIC, um den PVLAN-Datenverkehr zu übertragen.

Konfiguration in UCS

In diesem Verfahren wird beschrieben, wie sowohl das primäre als auch alle isolierten VLANS erstellt werden.

Hinweis: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Um das primäre VLAN zu erstellen, klicken Sie auf Primär als Freigabetyp:
   
   
   
   
2. Um das isolierte VLAN zu erstellen, klicken Sie auf Isolated als Freigabetyp:
   
   
   
   
3. Um das VLAN der vNIC hinzuzufügen, aktivieren Sie das Kontrollkästchen Select (Auswählen) für VLAN 166. Für VLAN 166 wurde kein natives VLAN ausgewählt.
   
   
   
   Nur das isolierte VLAN wird hinzugefügt. Es darf nicht als nativ festgelegt werden, und es kann nur ein VLAN für jede vNIC vorhanden sein. Da das native VLAN hier nicht definiert ist, kennzeichnen Sie das native VLAN auf dem N1K. Die Option zum Taggen eines nativen VLAN ist im VMware-DVS nicht verfügbar, daher wird dies auf dem DVS nicht unterstützt.

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie ein Nexus 5K konfiguriert wird, um das PVLAN an einen Upstream-Switch der Serie 4900 weiterzuleiten, an dem sich der Promiscuous-Port befindet. Dies ist möglicherweise nicht in allen Umgebungen erforderlich. Verwenden Sie diese Konfiguration jedoch für den Fall, dass Sie das PVLAN über einen anderen Switch weiterleiten müssen.

Geben Sie auf dem Nexus 5K diese Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Aktivieren Sie die PVLAN-Funktion:
   
   

   Nexus5000-5(config)# feature private-vlan

   [an error occurred while processing this directive]
2. Fügen Sie die VLANs als primäre und isolierte VLANs hinzu:
   
   

   Nexus5000-5(config)# vlan 166
   Nexus5000-5(config-vlan)# private-vlan isolated
   Nexus5000-5(config-vlan)# vlan 266
   Nexus5000-5(config-vlan)# private-vlan primary
   

   [an error occurred while processing this directive]
3. Ordnen Sie VLAN 266 dem isolierten VLAN 166 zu:
   
   

   Nexus5000-5(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
4. Stellen Sie sicher, dass alle Uplinks so konfiguriert sind, dass sie die VLANs trunk:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Verbindung zu 4900
   3. Trunk im Switch-Port-Modus
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. Beschreibung Verbindung mit FIB-Port 5
   7. Trunk im Switch-Port-Modus
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung mit FIA-Port 5
   11. Trunk im Switch-Port-Modus
   12. Geschwindigkeit 1000

Gehen Sie auf dem Switch der Serie 4900 wie folgt vor, und richten Sie den Promiscuous-Port ein. Das PVLAN endet am Promiscuous-Port.

1. Aktivieren Sie ggf. die PVLAN-Funktion.
2. Erstellen und Zuordnen der VLANs wie auf dem Nexus 5K ausgeführt
3. Erstellen Sie den Promiscuous-Port am Ausgangs-Port des 4900-Switches. Ab diesem Punkt werden die Pakete aus VLAN 166 in diesem Fall auf VLAN 266 angezeigt.
   
   

   Switch(config-if)#switchport mode trunk
   switchport private-vlan mapping 266 166
   switchport mode private-vlan promiscuous

   [an error occurred while processing this directive]

Erstellen Sie auf dem Upstream-Router nur eine Subschnittstelle für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der Netzwerkkonfiguration ab, die Sie verwenden:

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP address 209.165.200.225 255.255.255.224

Konfiguration von N1K

Dieses Verfahren beschreibt, wie das N1K als Standard-Trunk und nicht als PVLAN-Trunk konfiguriert wird.

1. Erstellen und Zuordnen der VLANs wie auf dem Nexus 5K ausgeführt Weitere Informationen finden Sie im Abschnitt Konfiguration von Upstream-Geräten.
2. Erstellen Sie ein Uplink-Port-Profil für den PVLAN-Datenverkehr:
   
   

   Switch(config)#port-profile type ethernet pvlan_uplink
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode trunk
   Switch(config-port-prof)# switchport trunk allowed vlan 166,266
   Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle 
      traffic coming back from the promiscuous port.
   Switch(config-port-prof)# channel-group auto mode on mac-pinning
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
3. Erstellen Sie die Port-Gruppe für das isolierte VLAN. Erstellen Sie einen PVLAN-Host-Port mit der Hostzuordnung für die primären und isolierten VLANs:
   
   

   Switch(config)# port-profile type vethernet pvlan_guest
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan host  
   Switch(config-port-prof)# switchport private-vlan host-association 266 166
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
4. Fügen Sie im vCenter dem PVLAN-Uplink die entsprechende vNIC hinzu. Dies ist die vNIC, zu der Sie in den UCS-Einstellungen unter der Konfiguration das isolierte VLAN hinzugefügt haben.
   
   
   
   
5. Fügen Sie das virtuelle System der richtigen Portgruppe hinzu:
   
   
   1. Klicken Sie auf der Registerkarte Hardware auf Netzwerkadapter 1.
   2. Wählen Sie unter Netzwerkverbindung pvlan_guest (pvlan) für das Netzwerklabel aus:
      
      

Fehlerbehebung

Dieses Verfahren beschreibt, wie die Konfiguration getestet wird.

1. Führen Sie Pings zu anderen Systemen aus, die in der Port-Gruppe konfiguriert wurden, sowie zum Router oder anderen Gerät am Promiscuous-Port. Pings an das Gerät, das den Promiscuous-Port überschritten hat, sollten funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen sollten.
   
   
   
   
2. Auf dem N1K sind die VMs im primären VLAN aufgeführt. Dies liegt daran, dass Sie sich in PVLAN-Host-Ports befinden, die dem PVLAN zugeordnet sind. Achten Sie darauf, dass Sie das PVLAN nicht als natives PVLAN im UCS-System festlegen, da die virtuellen Systeme gelernt werden. Beachten Sie außerdem, dass Sie das Upstream-Gerät vom Port-Channel erlernen und dass das Upstream-Gerät auch im primären VLAN erfasst wird. Dies muss bei dieser Methode erlernt werden. Daher ist das primäre VLAN auf dem PVLAN-Uplink das native VLAN.
   
   In diesem Screenshot sind die beiden Geräte auf Veth3 und Veth 4 die VMs. Das Gerät auf Po1 ist der Upstream-Router, der über den Promiscuous-Port verläuft.
   
   
   
   
3. Auf dem UCS-System sollten Sie alle MACs für diese Kommunikation im isolierten VLAN erlernen. Hier sollten Sie die Upstream-Dateien nicht sehen:
   
   
   
   
4. Auf dem Nexus 5K befinden sich die beiden VMs im isolierten VLAN, während sich das Upstream-Gerät im primären VLAN befindet:
   
   
   
   
5. Auf dem 4900-Switch, wo sich der Promiscuous-Port befindet, befindet sich alles im primären VLAN:
   
   

Isolated-PVLAN auf N1K mit Promiscuous-Port im N1K-Uplink-Portprofil

In dieser Konfiguration enthalten Sie PVLAN-Datenverkehr zum N1K, wobei nur das primäre VLAN für den Upstream verwendet wird.

Konfiguration in UCS

In diesem Verfahren wird beschrieben, wie das primäre VLAN der vNIC hinzugefügt wird. Eine PVLAN-Konfiguration ist nicht erforderlich, da Sie nur das primäre VLAN benötigen. 

Hinweis: In diesem Beispiel wird 266 als primäres und 166 als isoliertes Element verwendet. Die VLAN-IDs werden vom Standort bestimmt.

1. Beachten Sie, dass der Freigabetyp None ist.
   
   
   
   
2. Aktivieren Sie das Kontrollkästchen Select (Auswählen) für VLAN 266, um das primäre VLAN der vNIC hinzuzufügen. Legen Sie ihn nicht als nativ fest.
   
   

Konfiguration von Upstream-Geräten

Diese Verfahren beschreiben, wie die Upstream-Geräte konfiguriert werden. In diesem Fall benötigen die Upstream-Switches nur Trunk-Ports und müssen nur das VLAN 266 Trunk-Trunks durchführen, da es das einzige VLAN ist, das die Upstream-Switches sehen.

Geben Sie auf dem Nexus 5K diese Befehle ein, und überprüfen Sie die Uplink-Konfiguration:

1. Fügen Sie das VLAN als primäres VLAN hinzu:
   
   

   Nexus5000-5(config-vlan)# vlan 266

   [an error occurred while processing this directive]
2. Stellen Sie sicher, dass alle Uplinks so konfiguriert sind, dass sie die VLANs trunk:
   
   
   1. Schnittstelle Ethernet1/1
   2. Beschreibung Verbindung zu 4900
   3. Trunk im Switch-Port-Modus
   4. Geschwindigkeit 1000
   5. Schnittstelle Ethernet1/3
   6. Beschreibung Verbindung mit FIB-Port 5
   7. Trunk im Switch-Port-Modus
   8. Geschwindigkeit 1000
   9. Schnittstelle Ethernet1/4
   10. Beschreibung Verbindung mit FIA-Port 5
   11. Trunk im Switch-Port-Modus
   12. Geschwindigkeit 1000

Gehen Sie auf dem Switch 4900 wie folgt vor:

1. Erstellen Sie die als primäres VLANs auf dem N1K.
2. Trunk aller Schnittstellen zum und vom 4900-Switch, sodass das VLAN übergeben wird

Erstellen Sie auf dem Upstream-Router nur eine Subschnittstelle für das VLAN 266. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab.

1. interface GigabitEthernet0/1.1
2. encapsulation dot1Q 266
3. IP address 209.165.200.225 255.255.255.224

Konfiguration von N1K

Dieses Verfahren beschreibt die Konfiguration des N1K.

1. Erstellen und Zuordnen der VLANs:
   
   

   Switch(config)# vlan 166
   Switch(config-vlan)# private-vlan isolated
   Switch(config-vlan)# vlan 266
   Switch(config-vlan)# private-vlan primary
   Switch(config-vlan)# private-vlan association 166

   [an error occurred while processing this directive]
2. Erstellen Sie ein Uplink-Port-Profil für den PVLAN-Datenverkehr mit dem Promiscuous-Port. Hinweis:
   
   

   Switch(config)#port-profile type ethernet pvlan_uplink
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
   Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to 
      allow the primary VLAN
   Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must 
      be mapped at this point
   Switch(config-port-prof)# channel-group auto mode on mac-pinning
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
3. Erstellen Sie die Port-Gruppe für das isolierte VLAN. Erstellen Sie einen PVLAN-Host-Port mit der Hostzuordnung für die primären und isolierten VLANs:
   
   

   Switch(config)# port-profile type vethernet pvlan_guest
   Switch(config-port-prof)# vmware port-group
   Switch(config-port-prof)# switchport mode private-vlan host
   Switch(config-port-prof)# switchport private-vlan host-association 266 166
   Switch(config-port-prof)# no shut
   Switch(config-port-prof)# state enabled

   [an error occurred while processing this directive]
4. Fügen Sie im vCenter dem PVLAN-Uplink die entsprechende vNIC hinzu. Dies ist die vNIC, zu der Sie in den UCS-Einstellungen unter der Konfiguration das isolierte VLAN hinzugefügt haben.
   
   
   
5. Fügen Sie die VM der richtigen Port-Gruppe hinzu.
   
   
   1. Klicken Sie auf der Registerkarte Hardware auf Netzwerkadapter 1.
   2. Wählen Sie pvlan_guest (pvlan) für das Netzwerklabel unter Netzwerkverbindung aus.
      
      

Fehlerbehebung

Dieses Verfahren beschreibt, wie die Konfiguration getestet wird.

1. Führen Sie Pings zu anderen Systemen aus, die in der Port-Gruppe konfiguriert wurden, sowie zum Router oder anderen Gerät am Promiscuous-Port. Pings an das Gerät, das den Promiscuous-Port überschritten hat, sollten funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen sollten.
   
   
   
   
2. Auf dem N1K sind die VMs im primären VLAN aufgeführt. Dies liegt daran, dass Sie sich in PVLAN-Host-Ports befinden, die dem PVLAN zugeordnet sind. Beachten Sie außerdem, dass Sie das Upstream-Gerät vom Port-Channel erlernen und dass das Upstream-Gerät auch im primären VLAN erfasst wird.
   
   In diesem Screenshot sind die beiden Geräte auf Veth3 und Veth 4 die VMs. Das Gerät auf Po1 ist das Upstream-Gerät, das den Promiscuous-Port hinter sich hat.
   
   
   
   
3. Auf dem UCS-System sollten Sie alle MACs für diese Kommunikation im primären VLAN erlernen, das Sie auf dem N1K verwenden. Hier sollten Sie die Upstream-Informationen nicht kennen:
   
   
   
   
4. Auf dem Nexus 5K befinden sich alle MACs im von Ihnen ausgewählten primären VLAN:
   
   
   
   
5. Auf dem 4900-Switch befindet sich alles im von Ihnen ausgewählten primären VLAN:
   
   

Community PVLAN auf N1K mit Promiscuous Port im N1K Uplink-Portprofil

Dies ist die einzige unterstützte Konfiguration für Community-VLAN mit dem UCS.

Diese Konfiguration entspricht der Konfiguration im isolierten PVLAN auf N1K mit Promiscuous Port im N1K Uplink-Portprofil-Abschnitt. Der einzige Unterschied zwischen Community und Isolated ist die Konfiguration des PVLANs.

Um das N1K zu konfigurieren, müssen Sie die VLANs wie beim Nexus 5K erstellen und zuordnen:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16

[an error occurred while processing this directive]

Alle anderen Konfigurationen sind identisch mit dem isolierten PVLAN auf dem N1K-Modul mit Promiscuous-Port im N1K-Uplink-Portprofil.

Nach der Konfiguration können Sie mit allen VMs kommunizieren, die mit dem für Ihr PVLAN verwendeten vEthernet-Portprofil verbunden sind.

Fehlerbehebung

Dieses Verfahren beschreibt, wie die Konfiguration getestet wird.

1. Führen Sie Pings zu anderen Systemen aus, die in der Port-Gruppe konfiguriert wurden, sowie zum Router oder anderen Gerät am Promiscuous-Port. Pings über den Promiscuous-Port und zu anderen Systemen in der Community sollten funktionieren.
   
   
   
   
2. Alle anderen Fehlerbehebungen sind mit dem isolierten PVLAN identisch.

Isolated PVLAN und Community PVLAN auf VMware DVS Promiscuous Port auf dem DVS

Aufgrund der Konfigurationsprobleme sowohl auf dem DVS als auch auf dem UCS-System werden PVLANs mit DVS und UCS vor Version 2.2(2c) nicht unterstützt.

Überprüfen

Für diese Konfigurationen sind derzeit keine Überprüfungsverfahren verfügbar.

Fehlerbehebung

Die vorherigen Abschnitte enthalten Informationen, die Sie zur Fehlerbehebung in Ihren Konfigurationen verwenden können.

Das Output Interpreter Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter Tool, um eine Analyse der Ausgabe des Befehls show anzuzeigen.