O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o suporte à VLAN privada (PVLAN) no Cisco Unified Computing System (UCS), um recurso introduzido na versão 1.4 do Cisco UCS Manager (UCSM). Ele também detalha os recursos, as advertências e a configuração quando as PVLANs são usadas em um ambiente UCS.
ESTE DOCUMENTO DEVE SER USADO COM O UCSM VERSÃO 2.2(2C) E VERSÕES ANTERIORES. Nas versões posteriores à versão 2.2(2C), foram feitas alterações nos DVS UCSM e ESXi. Também há alterações em como a marcação funciona para a placa de rede PVLAN.
A Cisco recomenda que você tenha conhecimento destes tópicos:
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Uma VLAN privada é uma VLAN configurada para isolamento de L2 de outras portas dentro da mesma VLAN privada. As portas que pertencem a uma PVLAN são associadas a um conjunto comum de VLANs de suporte, que são usadas para criar a estrutura da PVLAN.
Há três tipos de portas PVLAN:
Consulte o RFC 5517, VLANs privadas da Cisco Systems: Segurança escalável em um ambiente multicliente para entender a teoria, a operação e os conceitos de PVLANs.
O UCS se parece muito com a arquitetura do Nexus 5000/2000, onde o Nexus 5000 é análogo ao UCS 6100 e o Nexus 2000 aos extensores de estrutura do UCS 2104.
Muitas limitações da funcionalidade de PVLAN no UCS são causadas pelas limitações encontradas na implementação do Nexus 5000/2000.
Pontos importantes a serem lembrados:
Este documento abrange várias configurações diferentes disponíveis para PVLAN com UCS:
A topologia para todos os exemplos com um switch distribuído é:
A topologia para todos os exemplos sem switch distribuído é:
Nessa configuração, você está passando o tráfego de PVLAN através do UCS para uma porta promíscua que está upstream. Como não é possível enviar VLANs primárias e secundárias no mesmo vNIC, você precisa de um vNIC para cada blade para cada PVLAN, a fim de transportar o tráfego de PVLAN.
Este procedimento descreve como criar as VLANs principal e isolada.
Note: Este exemplo usa 266 como principal e 166 como isolado; as IDs de VLAN serão determinadas pelo local.
Esses procedimentos descrevem como configurar um Nexus 5K para passar a PVLAN para um switch upstream 4900 onde a porta promíscua está. Embora isso possa não ser necessário em todos os ambientes, use essa configuração caso seja necessário passar a PVLAN por outro switch.
No Nexus 5K, digite estes comandos e verifique a configuração de uplink:
Nexus5000-5(config)# feature private-vlan[an error occurred while processing this directive]
Nexus5000-5(config)# vlan 166[an error occurred while processing this directive]
Nexus5000-5(config-vlan)# private-vlan isolated
Nexus5000-5(config-vlan)# vlan 266
Nexus5000-5(config-vlan)# private-vlan primary
Nexus5000-5(config-vlan)# private-vlan association 166[an error occurred while processing this directive]
No switch 4900, siga estas etapas e configure a porta promíscua. A PVLAN termina na porta misturada.
Switch(config-if)#switchport mode trunk[an error occurred while processing this directive]
switchport private-vlan mapping 266 166
switchport mode private-vlan promiscuous
No roteador upstream, crie uma subinterface somente para a VLAN 266. Nesse nível, os requisitos dependem da configuração de rede que você está usando:
Este procedimento descreve como testar a configuração.
(config)# interface vlan 266[an error occurred while processing this directive]
(config-if)# ip address 209.165.200.225 255.255.255.224
(config-if)# private-vlan mapping 166
(config-if)# no shut
Nessa configuração, os sistemas nessa VLAN isolada não podem se comunicar entre si, mas podem se comunicar com outros sistemas através da porta promíscua no switch 4900. Um problema é como configurar dispositivos downstream. Nesse caso, você está usando VMware e dois hosts.
Lembre-se de que você deve usar um vNIC para cada PVLAN. Essas vNICs são apresentadas ao VMware vSphere ESXi e você pode criar grupos de portas e ter convidados para esses grupos de portas.
Se dois sistemas forem adicionados ao mesmo grupo de portas no mesmo switch, eles poderão se comunicar entre si porque suas comunicações são comutadas localmente no vSwitch. Neste sistema, há dois blades com dois hosts cada.
No primeiro sistema, dois grupos de portas diferentes foram criados: um chamado 166 e outro chamado 166A. Cada um está conectado a uma única placa de rede, que é configurada na VLAN isolada no UCS. No momento, há apenas um convidado para cada grupo de portas. Nesse caso, como eles estão separados no ESXi, eles não podem se comunicar.
No segundo sistema, há apenas um grupo de portas chamado 166. Há dois convidados nesse grupo de portas. Nessa configuração, VM3 e VM4 podem se comunicar entre si, mesmo que você não queira que isso aconteça. Para corrigir isso, você precisa configurar uma única NIC para cada máquina virtual (VM) que esteja na VLAN isolada e, em seguida, criar um grupo de portas conectado a essa vNIC. Uma vez configurado, coloque apenas um convidado no grupo de portas. Isso não é um problema com uma instalação bare-metal do Windows porque você não tem esses vSwitches subjacentes.
Nessa configuração, você está passando o tráfego de PVLAN através de um N1K e depois do UCS para uma porta promíscua que está upstream. Como não é possível enviar VLANs primárias e secundárias no mesmo vNIC, você precisa de um vNIC para cada uplink PVLAN para transportar o tráfego PVLAN.
Este procedimento descreve como criar as VLANs principal e isolada.
Note: Este exemplo usa 266 como principal e 166 como isolado; as IDs de VLAN serão determinadas pelo local.
Esses procedimentos descrevem como configurar um Nexus 5K para passar a PVLAN para um switch upstream 4900 onde a porta promíscua está. Embora isso possa não ser necessário em todos os ambientes, use essa configuração caso seja necessário passar a PVLAN por outro switch.
No Nexus 5K, digite estes comandos e verifique a configuração de uplink:
Nexus5000-5(config)# feature private-vlan[an error occurred while processing this directive]
Nexus5000-5(config)# vlan 166[an error occurred while processing this directive]
Nexus5000-5(config-vlan)# private-vlan isolated
Nexus5000-5(config-vlan)# vlan 266
Nexus5000-5(config-vlan)# private-vlan primary
Nexus5000-5(config-vlan)# private-vlan association 166[an error occurred while processing this directive]
No switch 4900, siga estas etapas e configure a porta promíscua. A PVLAN termina na porta misturada.
Switch(config-if)#switchport mode trunk[an error occurred while processing this directive]
switchport private-vlan mapping 266 166
switchport mode private-vlan promiscuous
No roteador upstream, crie uma subinterface somente para a VLAN 266. Nesse nível, os requisitos dependem da configuração de rede que você usa:
Este procedimento descreve como configurar o N1K como um tronco padrão, não um tronco PVLAN.
Switch(config)#port-profile type ethernet pvlan_uplink[an error occurred while processing this directive]
Switch(config-port-prof)# vmware port-group
Switch(config-port-prof)# switchport mode trunk
Switch(config-port-prof)# switchport trunk allowed vlan 166,266
Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle
traffic coming back from the promiscuous port.
Switch(config-port-prof)# channel-group auto mode on mac-pinning
Switch(config-port-prof)# no shut
Switch(config-port-prof)# state enabled
Switch(config)# port-profile type vethernet pvlan_guest[an error occurred while processing this directive]
Switch(config-port-prof)# vmware port-group
Switch(config-port-prof)# switchport mode private-vlan host
Switch(config-port-prof)# switchport private-vlan host-association 266 166
Switch(config-port-prof)# no shut
Switch(config-port-prof)# state enabled
Este procedimento descreve como testar a configuração.
Nessa configuração, você contém o tráfego de PVLAN para o N1K com apenas a VLAN principal usada upstream.
Este procedimento descreve como adicionar a VLAN principal ao vNIC. Não há necessidade de configuração de PVLAN, pois você precisa apenas da VLAN principal.
Note: Este exemplo usa 266 como principal e 166 como isolado; as IDs de VLAN serão determinadas pelo local.
Esses procedimentos descrevem como configurar os dispositivos de upstream. Nesse caso, os switches upstream precisam apenas de portas de tronco, e precisam apenas de VLAN 266 de tronco porque é a única VLAN que os switches upstream veem.
No Nexus 5K, digite estes comandos e verifique a configuração de uplink:
Nexus5000-5(config-vlan)# vlan 266[an error occurred while processing this directive]
No switch 4900, siga estas etapas:
No roteador upstream, crie uma subinterface somente para a VLAN 266. Nesse nível, os requisitos dependem da configuração de rede que você usa.
Este procedimento descreve como configurar o N1K.
Switch(config)# vlan 166[an error occurred while processing this directive]
Switch(config-vlan)# private-vlan isolated
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 166
Switch(config)#port-profile type ethernet pvlan_uplink[an error occurred while processing this directive]
Switch(config-port-prof)# vmware port-group
Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to
allow the primary VLAN
Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must
be mapped at this point
Switch(config-port-prof)# channel-group auto mode on mac-pinning
Switch(config-port-prof)# no shut
Switch(config-port-prof)# state enabled
Switch(config)# port-profile type vethernet pvlan_guest[an error occurred while processing this directive]
Switch(config-port-prof)# vmware port-group
Switch(config-port-prof)# switchport mode private-vlan host
Switch(config-port-prof)# switchport private-vlan host-association 266 166
Switch(config-port-prof)# no shut
Switch(config-port-prof)# state enabled
Este procedimento descreve como testar a configuração.
Essa é a única configuração suportada para VLAN de comunidade com UCS.
Essa configuração é a mesma definida na seção PVLAN Isolado em N1K com Porta Promíscua no Perfil de Porta de Uplink N1K. A única diferença entre comunidade e isolado é a configuração da PVLAN.
Para configurar o N1K, crie e associe as VLANs como fez no Nexus 5K:
Switch(config)# vlan 166[an error occurred while processing this directive]
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16
Todas as outras configurações são as mesmas que a PVLAN isolada em N1K com porta promíscua no perfil de porta de uplink N1K.
Uma vez configurado, você pode se comunicar com todas as VMs conectadas ao perfil de porta vEthernet usado para sua PVLAN.
Este procedimento descreve como testar a configuração.
Devido aos problemas de configuração no DVS e no sistema UCS, as PVLANs com DVS e UCS não são suportadas antes da versão 2.2(2c).
No momento, não há procedimentos de verificação disponíveis para essas configurações.
As seções anteriores forneceram informações que você pode usar para solucionar problemas de suas configurações.
A ferramenta Output Interpreter (exclusiva para clientes registrados) é compatível com alguns comandos de exibição.. Use a ferramenta Output Interpreter para visualizar uma análise do resultado gerado pelo comando show..
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
17-Jun-2013 |
Versão inicial |