Private VLAN en UCS configureren met VMware DVS of Cisco Nexus 1000v

Downloadopties

  • PDF     (449.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (701.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:9 december 2019
Document-id:201045

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de ondersteuning van Private VLAN (PVLAN) voor Cisco Unified Computing System (UCS) in de release 2.2(2c) en hoger.

    Voorzichtig: Er is een gedragsverandering die begint met UCS firmware versie 3.1(3a) zoals beschreven in Gedragsverandering met UCS versie 3.1(3) en Later sectie.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • UCS
    • Cisco Nexus 1000V (N1K) voor VMware gedistribueerde virtuele switch (DVS)
    • VMware
    • Layer 2 (L2) switching

    Gebruikte componenten

    Dit document is niet beperkt tot specifieke software- en hardware-versies.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

    Een privé VLAN is een VLAN dat voor L2 isolatie van andere poorten binnen hetzelfde privé VLAN wordt gevormd. PVLAN-poorten die tot een PVLAN behoren, worden gekoppeld aan een gemeenschappelijke reeks VLAN’s voor ondersteuning, die worden gebruikt om de PVLAN-structuur te maken.

    Er zijn drie typen PVLAN-poorten:

    • Een veelbelovende poort communiceert met alle andere PVLAN-poorten en is de poort die wordt gebruikt om met apparaten buiten het PVLAN te communiceren.
    • Een geïsoleerde haven heeft een volledige L2-scheiding (die uitzendingen omvat) van andere havens binnen hetzelfde PVLAN met uitzondering van de veelbelovende haven.
    • Een community-poort kan met andere poorten in hetzelfde PVLAN communiceren evenals de veelbelovende poort. De havens van de Gemeenschap worden in L2 geïsoleerd van havens in andere gemeenschappen of geïsoleerde havens van PVLAN. De uitzendingen worden alleen verspreid naar andere havens in de gemeenschap en naar de veelbelovende haven.

    Raadpleeg RFC 5517, Cisco Systems' Private VLAN’s: Schaalbare beveiliging in een omgeving voor meerdere client om de theorie, werking en concepten van PVLAN’s te begrijpen.

    Configureren

    Netwerkdiagram

    Met Nexus 1000v of VMware DVS

    Opmerking: Dit voorbeeld gebruikt VLAN 1750 als primaire, 1785 als geïsoleerd en 1786 als gemeenschap VLAN.

    UCS met VMware DVS

    1. Als u het primaire VLAN wilt maken, klikt u op de knop Primaire radio als het Type delen en vervolgens voert u een VLAN-ID van 1750 in zoals in de afbeelding.

    2. Maak dienovereenkomstig geïsoleerde en communityVLAN's zoals in de afbeeldingen weergegeven. Geen van deze hoeft een Native VLAN te zijn.

    3. Virtual Network Interface Card (vNIC) op serviceprofiel bevat zowel regelmatige VLAN’s als PVLAN’s, zoals in de afbeelding gezien.

    4. Uplink poort-kanaal op UCS draagt regelmatig VLAN's evenals PVLAN’s:

    interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

    VMware DVS

    Upstream N5K-switch

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

    Gedragsverandering met UCS versie 3.1(3)

    Vóór UCS versie 3.1(3) kunt u een VM in gemeenschapsVLAN laten communiceren met een VM in Primair VLAN op VMware DVS, waar de primaire VLAN-VM zich in de UCS bevindt. Dit gedrag was onjuist, aangezien de primaire VM altijd noordgebonden of buiten de UCS moet zijn. Dit gedrag is gedocumenteerd via defect ID CSCvh87378 .

    Vanaf UCS versie 2.2(2), door een defect in de code, kon gemeenschap VLAN met primair VLAN communiceren dat achter de FI aanwezig was. Maar geïsoleerd kon nooit communiceren met de hoofdpersoon achter de FI. Zowel (geïsoleerde als lokale) VM's kunnen nog steeds communiceren met de primaire VM's buiten de FI.

    Vanaf 3.1(3) biedt dit defect de gemeenschap de mogelijkheid om met primaire componenten achter de FI te communiceren, is gecorrigeerd, zodat VM's uit de gemeenschap niet met een VM in primair VLAN kunnen communiceren dat zich in UCS bevindt.

    Om deze situatie op te lossen zou de primaire VM ofwel moeten worden verplaatst (naar het noorden gebonden) buiten UCS. Als dat geen optie is, moet de primaire VM worden verplaatst naar een ander VLAN dat een regelmatig VLAN is en geen privé VLAN.

    Vóór firmware 3.1(3) kon een VM in gemeenschapsVLAN 1786 bijvoorbeeld communiceren met een VM in primair VLAN 1750 dat zich in UCS bevindt, maar deze communicatie zou in firmware 3.1(3) en later, zoals in de afbeelding wordt getoond, breken.

    OPMERKING:

    CSCvh87378 is behandeld in 3.2(3l) en 4.0.4e en hoger zodat we Primair VLAN achter UCS kunnen hebben. Houd er echter rekening mee dat geïsoleerd VLAN in UCS niet met primair VLAN in UCS kan praten. Alleen gemeenschapsvlan en primair VLAN kunnen met elkaar praten als ze allebei achter UCS zitten.

    Upstream 4900 switch

    Opmerking: In dit voorbeeld is 4900 L3 interface naar buiten netwerk. Als uw topologie voor L3 anders is, dan stel uw veranderingen dienovereenkomstig aan

    Doe deze stappen op de 4900-schakelaar en stel de veelbelovende poort in. PVLAN eindigt bij de veelbelovende poort.

    1. Schakel de functie PVLAN in indien nodig.
    2. Maak en associeer de VLAN’s zoals uitgevoerd op Nexus 5K.
    3. Maak de veelbelovende poort op de uitgang van de 4900-schakelaar. Vanaf dit punt op, worden de pakketten van VLAN 1785 & 1786 in dit geval op VLAN 1750 gezien.
    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 1785-1786
    switchport mode private-vlan promiscuous

    Op de upstream router kunt u alleen een subinterface maken voor VLAN 1750. Op dit niveau zijn de eisen afhankelijk van de netwerkconfiguratie die u gebruikt:

    interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    Deze sectie verschaft informatie die u kunt gebruiken om problemen met uw configuratie op te lossen.

    In deze procedure wordt beschreven hoe de configuratie voor VMware DVS met het gebruik van PVLAN moet worden getest.

    1. Start pings naar andere systemen die in de poortgroep zijn geconfigureerd, evenals de router of een ander apparaat in de veelbelovende poort. Pings aan het apparaat voorbij de promiscuous port moet werken, terwijl die aan andere apparaten in het geïsoleerde VLAN moeten falen zoals in de beelden wordt getoond.

    Controleer de MAC-adrestabellen om te zien waar uw MAC wordt geleerd. Op alle switches moet de MAC in het geïsoleerde VLAN zijn behalve op de switch met de veelbelovende poort. Op de veelbelovende schakelaar, moet de MAC in het primaire VLAN zijn.

    2. UCS zoals in de afbeelding.

    3. Controleer op stroomopwaarts n5k voor dezelfde MAC-uitvoer, uitvoer die vergelijkbaar is met eerdere uitvoer, moet aanwezig zijn op n5k en zoals in de afbeelding.

    Configuratie met Nexus 1000v met Promiscuous Port op Upstream N5k

    UCS-configuratie

    De UCS-configuratie (waaronder de configuratie van het serviceprofiel vNIC) blijft hetzelfde als bij het voorbeeld voor VMware DVS.

    Configuratie N1k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

    In deze procedure wordt beschreven hoe de configuratie moet worden getest.

    1. Start pings naar andere systemen die in de poortgroep zijn geconfigureerd, evenals de router of een ander apparaat in de veelbelovende poort. Pings aan het apparaat voorbij de promiscuous port moet werken, terwijl die aan andere apparaten in het geïsoleerde VLAN moeten falen, zoals in vorige sectie en in de beelden wordt getoond.

    2. Op de N1K staan de VM's vermeld op het primaire VLAN; Dit komt voor omdat u in PVLAN host-poorten hebt die aan PVLAN zijn gekoppeld zoals in de afbeelding.

    Controleer de MAC-adrestabellen om te zien waar uw MAC wordt geleerd. Op alle switches moet de MAC in het geïsoleerde VLAN zijn behalve op de switch met de veelbelovende poort. Op de veelbelovende schakelaar moet de MAC in het primaire VLAN zijn.

    3. Op het UCS-systeem moet u alle MAC's in hun respectievelijke privé-VLAN's leren zoals in de afbeelding.

    4. Controleer op stroomopwaarts n5k voor dezelfde MAC-uitvoer, uitvoer die vergelijkbaar is met eerdere uitvoer, moet aanwezig zijn op n5k zoals in de afbeelding.

      

    Configuratie met Nexus 1000v met Promiscuous Port op N1K-uplinks poortprofiel

    Aangezien PVLAN bij de veelbelovende haven, in deze configuratie, bevat u PVLAN verkeer aan N1K met slechts het primaire VLAN dat upstream wordt gebruikt. UCS en upstream apparaten zijn dus niet op de hoogte van PVLAN’s.

    UCS-configuratie

    Deze procedure beschrijft hoe u het primaire VLAN aan de vNIC kunt toevoegen. Er is geen behoefte aan PVLAN-configuratie omdat u alleen het primaire VLAN nodig hebt.

    Opmerking: Dit voorbeeld gebruikt 1750 als primaire, 1785 als geïsoleerd en 1786 als gemeenschap VLAN zoals ook in de afbeelding getoond.

    Configuratie van upstreamapparaten

    Deze procedures beschrijven hoe u de upstream apparaten kunt configureren. In dit geval, hebben de upstream switches alleen boomstampoorten nodig, en ze hoeven alleen VLAN 1750 te maken omdat het enige VLAN is dat de upstream switches zien.

    Start in de Nexus 5K deze opdrachten en controleer de configuratie van de uplinks:

    1. Voeg VLAN als primair toe: 
      Nexus5000-5(config-vlan)# vlan 1750
    2. Zorg ervoor dat alle uplinks zijn geconfigureerd om de VLAN’s te verplaatsen.

    Configuratie van N1K

    In deze procedure wordt beschreven hoe u de N1K-code kunt configureren:

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

    PVLAN moet ophouden bij veelbelovende poort op uplink-poortprofiel voor n1k en UCS en vervolgens moet al het stroomopwaarts apparaat deze VM's in primaire VLAN's zien. Hier is de momentopname van stroomopwaarts N5k en UCS.

    Weinig dingen om te onthouden:

    privé-VLAN kartelopdracht beslist niet of overschrijft de boomconfiguratie van een haven.

    • De poort is al ingesteld in een reguliere boomstammodus voordat u de PVLAN-trunkconfiguraties toevoegt
    • primaire VLANs moet aan de lijst van toegestaan VLAN voor de veelbelovende boomstampoort worden toegevoegd
    • secondaire VLAN’s worden niet ingesteld in de toegestane VLAN-lijst
    • boomstampoort kan normale VLAN’s naast primaire VLAN’s dragen
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Qamar Anwar
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten