Private VLAN und UCS mit VMware DVS oder Cisco Nexus 1000v konfigurieren

Download-Optionen

  • PDF     (449.8 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (702.0 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.4 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:9. Dezember 2019
Dokument-ID:201045

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    Dieses Dokument beschreibt die private VLAN-Unterstützung (PVLAN) für das Cisco Unified Computing System (UCS) ab Version 2.2(2c).

    Vorsicht: Die UCS-Firmware Version 3.1(3a) beginnt ab einer Änderung des Verhaltens, wie im Abschnitt Verhaltensänderung mit UCS Version 3.1(3) und höher beschrieben.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:

    • UCS
    • Cisco Nexus 1000V (N1K) oder VMware Distributed Virtual Switch (DVS)
    • VMware
    • Layer-2-Switching (L2)

    Verwendete Komponenten

    Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

    Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen

    Ein privates VLAN ist ein VLAN, das für die L2-Isolierung von anderen Ports innerhalb desselben privaten VLAN konfiguriert ist. Ports, die zu einem PVLAN gehören, sind mit einem gemeinsamen Satz von Support-VLANs verbunden, die zur Erstellung der PVLAN-Struktur verwendet werden.

    Es gibt drei Arten von PVLAN-Ports:

    • Ein Promiscuous-Port kommuniziert mit allen anderen PVLAN-Ports und ist der Port, der für die Kommunikation mit Geräten außerhalb des PVLAN verwendet wird.
    • Ein isolierter Port verfügt über eine vollständige L2-Trennung (einschließlich Broadcasts) von anderen Ports innerhalb desselben PVLAN, mit Ausnahme des Promiscuous-Ports.
    • Ein Community-Port kann sowohl mit anderen Ports im selben PVLAN als auch mit dem Promiscuous-Port kommunizieren. Community-Ports sind in L2 von Ports in anderen Communitys oder isolierten PVLAN-Ports isoliert. Broadcasts werden nur an andere Ports in der Community und an den Promiscuous-Port weitergeleitet.

    Siehe RFC 5517, Private VLANs von Cisco Systems: Skalierbare Sicherheit in einer Multi-Client-Umgebung, um Theorie, Betrieb und Konzepte von PVLANs zu verstehen.

    Konfigurieren

    Netzwerkdiagramm

    Mit Nexus 1000v oder VMware DVS

    Hinweis: In diesem Beispiel wird VLAN 1750 als primäres, 1785 als isoliertes und 1786 als Community-VLAN verwendet.

    UCS mit VMware DVS

    1. Um das primäre VLAN zu erstellen, klicken Sie auf das Optionsfeld Primär als Freigabetyp, und geben Sie eine VLAN-ID von 1750 ein, wie im Bild gezeigt.

    2. Erstellen Sie isolierte und Community-VLANs entsprechend, wie in den Bildern gezeigt. Keines dieser Elemente muss ein natives VLAN sein.

    3. Die virtuelle Netzwerkschnittstellenkarte (vNIC) im Serviceprofil überträgt reguläre VLANs sowie PVLANs, wie im Bild dargestellt.

    4. Uplink-Port-Channel auf dem UCS überträgt reguläre VLANs sowie PVLANs:

    interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

    VMware-DVS

    Upstream-Nexus 5000-Switch

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

    Verhaltensänderungen mit UCS Version 3.1(3)

    Vor der UCS-Version 3.1(3) kann eine VM in einem Community-VLAN mit einer VM im primären VLAN auf VMware-DVS kommunizieren, wobei sich die primäre VLAN-VM im UCS befindet. Dieses Verhalten war falsch, da die primäre VM immer Northbound oder außerhalb des UCS sein muss. Dieses Verhalten wird mithilfe der Defekt-ID CSCvh87378 dokumentiert. .

    Ab UCS Version 2.2(2) konnte das Community-VLAN aufgrund eines Codefehlers mit dem primären VLAN kommunizieren, das sich hinter dem FI befand. Isolated konnte jedoch niemals mit dem primären hinter dem FI kommunizieren. Beide (isolierten und Community-VMs) können weiterhin mit den primären Systemen außerhalb des FI kommunizieren.

    Ab 3.1(3) ermöglicht dieser Defekt der Community die Kommunikation mit dem primären hinter dem FI, wurde beseitigt und Community VMs können daher nicht mit einem VM im primären VLAN kommunizieren, das innerhalb des UCS ansässig ist.

    Um dieses Problem zu beheben, muss die primäre VM entweder (Northbound) außerhalb des UCS verschoben werden. Wenn dies nicht möglich ist, muss die primäre VM in ein anderes VLAN verschoben werden, das ein reguläres VLAN und kein privates VLAN ist.

    Beispielsweise konnte ein VM im Community-VLAN 1786 vor Firmware 3.1(3) mit einem VM im primären VLAN 1750, das sich innerhalb des UCS befindet, kommunizieren. Allerdings würde diese Kommunikation in der Firmware 3.1(3) und später brechen, wie im Image gezeigt.

    HINWEIS:

    CSCvh87378 wurde in Version 3.2(3l) und Version 4.0.4e und höher adressiert, sodass das primäre VLAN für das UCS verfügbar sein kann. Beachten Sie jedoch, dass isolierte VLANs innerhalb des UCS nicht mit primärem VLAN innerhalb des UCS kommunizieren können. Nur Community-VLAN und primäre VLANs können miteinander kommunizieren, wenn beide hinter dem UCS liegen.

    Upstream-Switch der Serie 4900

    Hinweis: In diesem Beispiel ist 4900 eine L3-Schnittstelle für ein externes Netzwerk. Wenn Ihre Topologie für L3 anders ist, nehmen Sie bitte entsprechende Änderungen vor.

    Gehen Sie auf dem Switch der Serie 4900 wie folgt vor, und richten Sie den Promiscuous-Port ein. Das PVLAN endet am Promiscuous-Port.

    1. Aktivieren Sie ggf. die PVLAN-Funktion.
    2. Erstellen und Zuordnen der VLANs wie auf dem Nexus 5K ausgeführt
    3. Erstellen Sie den Promiscuous-Port am Ausgangs-Port des 4900-Switches. Ab diesem Punkt werden die Pakete von VLAN 1785 und 1786 in diesem Fall im VLAN 1750 angezeigt.
    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 1785-1786
    switchport mode private-vlan promiscuous

    Erstellen Sie auf dem Upstream-Router nur eine Subschnittstelle für das VLAN 1750. Auf dieser Ebene hängen die Anforderungen von der verwendeten Netzwerkkonfiguration ab:

    interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

    Überprüfen

    Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

    Fehlerbehebung

    Dieser Abschnitt enthält Informationen, die Sie zur Fehlerbehebung bei Ihrer Konfiguration verwenden können.

    Dieses Verfahren beschreibt, wie die Konfiguration für VMware DVS mit PVLAN getestet wird.

    1. Führen Sie Pings zu anderen Systemen aus, die in der Port-Gruppe konfiguriert wurden, sowie zum Router oder anderen Gerät am Promiscuous-Port. Pings an das Gerät, das den Promiscuous-Port überschritten hat, müssen funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen müssen, wie in den Images gezeigt.

    Überprüfen Sie die MAC-Adresstabellen, um zu sehen, wo Ihre MAC-Adresse erfasst wird. Auf allen Switches muss sich die MAC-Adresse im isolierten VLAN befinden, außer auf dem Switch mit dem Promiscuous-Port. Auf dem Promiscuous-Switch muss sich die MAC-Adresse im primären VLAN befinden.

    2. UCS wie im Bild gezeigt.

    3. Aktivieren Sie auf Upstream n5k, um dieselbe MAC-Adresse zu erhalten. Die Ausgabe, die der früheren Ausgabe ähnelt, muss auf Nexus 500 vorliegen und im Bild dargestellt werden.

    Konfiguration mit Nexus 1000v mit Promiscuous Port im Upstream (Nexus 500)

    UCS-Konfiguration

    Die UCS-Konfiguration (die auch die vNIC-Konfiguration für Serviceprofile enthält) bleibt mit der VMware DVS-Konfiguration identisch.

    N1k-Konfiguration

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

    Dieses Verfahren beschreibt, wie die Konfiguration getestet wird.

    1. Führen Sie Pings zu anderen Systemen aus, die in der Port-Gruppe konfiguriert wurden, sowie zum Router oder anderen Gerät am Promiscuous-Port. Pings an das Gerät, das den Promiscuous-Port überschritten hat, müssen funktionieren, während Pings an andere Geräte im isolierten VLAN fehlschlagen müssen, wie im vorherigen Abschnitt und in den Images gezeigt.

    2. Auf dem N1K sind die VMs im primären VLAN aufgeführt. Dies liegt daran, dass Sie sich in PVLAN-Host-Ports befinden, die, wie im Bild gezeigt, dem PVLAN zugeordnet sind.

    Überprüfen Sie die MAC-Adresstabellen, um zu sehen, wo Ihre MAC-Adresse erfasst wird. Auf allen Switches muss sich die MAC-Adresse im isolierten VLAN befinden, außer auf dem Switch mit dem Promiscuous-Port. Auf dem Promiscuous-Switch muss sich die MAC-Adresse im primären VLAN befinden.

    3. Auf dem UCS-System müssen Sie alle MACs in ihren jeweiligen privaten VLANs erlernen, wie im Bild gezeigt.

    4. Aktivieren Sie auf Upstream n5k, um dieselbe MAC-Adresse zu erhalten. Die Ausgabe, die der früheren Ausgabe ähnelt, muss auf n5k vorhanden sein, wie im Bild gezeigt.

      

    Konfiguration mit Nexus 1000v mit Promiscuous Port im N1K Uplink-Portprofil

    Da das PVLAN am Promiscuous-Port endet, enthalten Sie in dieser Konfiguration PVLAN-Datenverkehr zum N1K, wobei nur das primäre VLAN für den Upstream verwendet wird. UCS- und Upstream-Geräte kennen also keine PVLANs.

    UCS-Konfiguration

    In diesem Verfahren wird beschrieben, wie das primäre VLAN der vNIC hinzugefügt wird. Eine PVLAN-Konfiguration ist nicht erforderlich, da Sie nur das primäre VLAN benötigen.

    Hinweis: In diesem Beispiel wird 1750 als primäres, 1785 als isoliertes und 1786 als Community-VLAN verwendet, wie auch im Bild gezeigt.

    Konfiguration von Upstream-Geräten

    Diese Verfahren beschreiben, wie die Upstream-Geräte konfiguriert werden. In diesem Fall benötigen die Upstream-Switches nur Trunk-Ports, und sie müssen nur VLAN 1750 Trunk-Trunks durchführen, da es sich um das einzige VLAN handelt, das die Upstream-Switches sehen.

    Führen Sie auf dem Nexus 5K diese Befehle aus, und überprüfen Sie die Uplink-Konfiguration:

    1. Fügen Sie das VLAN als primäres VLAN hinzu: 
      Nexus5000-5(config-vlan)# vlan 1750
    2. Stellen Sie sicher, dass alle Uplinks so konfiguriert sind, dass die VLANs verbunden werden.

    Konfiguration von N1K

    Dieses Verfahren beschreibt die Konfiguration des N1K:

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

    PVLAN muss am Promiscuous-Port des Uplink-Port-Profils für n1k und UCS terminieren, und danach müssen alle Upstream-Geräte diese VMs in primären VLANs sehen. Im Folgenden finden Sie einen Snapshot des Upstream-Netzwerks Nexus 500 und UCS.

    Nur wenige Punkte:

    Der Befehl private-vlan mapping entscheidet oder überschreibt die Trunk-Konfiguration eines Ports nicht.

    • Der Port ist bereits im regulären Trunk-Modus konfiguriert, bevor Sie PVLAN-Trunk-Konfigurationen hinzufügen.
    • Primär-VLANs müssen der Liste zulässiger VLANs für den Promiscuous-Trunk-Port hinzugefügt werden.
    • sekundäre VLANs sind in der Liste zulässiger VLANs nicht konfiguriert.
    • Der Trunk-Port kann neben den primären VLANs auch normale VLANs übertragen.
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Qamar Anwar
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.