Configurar VLAN privada e UCS com VMware DVS ou Cisco Nexus 1000v

Opções de download

  • PDF     (416.4 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (700.8 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:9 de dezembro de 2019
ID do documento:201045

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve o suporte de VLAN privada (PVLAN) para o Cisco Unified Computing System (UCS) na versão 2.2(2c) e posterior.

    Caution: Há uma alteração no comportamento a partir do firmware UCS versão 3.1(3a) conforme descrito na seção Alteração do comportamento com UCS versão 3.1(3) e posterior.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • UCS
    • Cisco Nexus 1000V (N1K) ou VMware Distributed Virtual Switch (DVS)
    • VMware
    • Comutação da camada 2 (L2)

    Componentes Utilizados

    Este documento não se restringe a versões de software e hardware específicas.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informações de Apoio

    Uma VLAN privada é uma VLAN configurada para isolamento L2 de outras portas dentro da mesma VLAN privada. As portas que pertencem a uma PVLAN estão associadas a um conjunto comum de VLANs de suporte, que são usadas para criar a estrutura da PVLAN.

    Há três tipos de portas PVLAN:

    • Uma porta promíscua se comunica com todas as outras portas PVLAN e é a porta usada para se comunicar com dispositivos fora da PVLAN.
    • Uma porta isolada tem separação L2 completa (que inclui broadcasts) de outras portas dentro do mesmo PVLAN, com exceção da porta promíscua.
    • Uma porta da comunidade pode se comunicar com outras portas no mesmo PVLAN, bem como com a porta promíscua. As portas da comunidade são isoladas em L2 das portas de outras comunidades ou portas PVLAN isoladas. Os broadcasts só são propagados para outras portas na comunidade e na porta promíscua.

    Consulte RFC 5517, VLANs privadas da Cisco Systems: Segurança escalável em um ambiente multicliente para entender a teoria, a operação e os conceitos de PVLANs.

    Configurar

    Diagrama de Rede

    Com Nexus 1000v ou VMware DVS

    Note: Este exemplo usa a VLAN 1750 como primária, 1785 como isolada e 1786 como VLAN de comunidade.

    UCS com VMware DVS

    1. Para criar a VLAN principal, clique no botão de opção Primary como Sharing Type (Tipo de compartilhamento) e insira um ID de VLAN de 1750 como mostrado na imagem.

    2. Crie VLANs isoladas e comunitárias de acordo com as imagens. Nenhum desses deve ser uma VLAN nativa.

    3. A Virtual Network Interface Card (vNIC) no perfil de serviço transporta VLANs regulares e PVLANs, como visto na imagem.

    4. O uplink port-channel no UCS transporta VLANs regulares, bem como PVLANs:

    interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

    VMware DVS

    Switch N5k de upstream

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

    Mudança de comportamento com o UCS versão 3.1(3)

    Antes do UCS versão 3.1(3), você poderia ter uma VM na VLAN de comunidade se comunicando com uma VM na VLAN primária no VMware DVS, onde a VM da VLAN principal reside no UCS. Esse comportamento estava incorreto, pois a VM principal deve sempre ser northbound ou externa ao UCS. Esse comportamento é documentado por ID de defeito CSCvh87378 .

    A partir da versão 2.2(2) do UCS, devido a um defeito no código, a VLAN da comunidade pôde se comunicar com a VLAN principal presente por trás do FI. Mas Isolado nunca poderia se comunicar com o principal por trás do FI. As VMs (isoladas e de comunidade) ainda podem se comunicar com o principal fora do FI.

    A partir do 3.1(3), esse defeito permite que a comunidade se comunique com o principal por trás do FI, foi retificado e, portanto, as VMs da comunidade não poderão se comunicar com uma VM na VLAN principal que reside no UCS.

    Para resolver essa situação, a VM principal precisaria ser movida (ascendente) para fora do UCS. Se essa não for uma opção, a VM principal precisará ser movida para outra VLAN que seja uma VLAN normal e não uma VLAN privada.

    Por exemplo, antes do firmware 3.1(3), uma VM na VLAN 1786 da comunidade poderia se comunicar com uma VM na VLAN 1750 principal que reside no UCS, entretanto, essa comunicação quebraria o firmware 3.1(3) e posterior, como mostrado na imagem.

    NOTE:

    O CSCvh87378 foi tratado em 3.2(3l) e 4.0.4e e mais recente para que possamos ter a Vlan primária atrás do UCS. No entanto, observe que a vlan isolada dentro do UCS não poderá falar com a vlan primária dentro do UCS. Somente a vlan da comunidade e a vlan primária podem se comunicar quando ambas estão por trás do UCS.

    Switch Upstream 4900

    Note: Neste exemplo, 4900 é a interface L3 para a rede externa. Se a topologia para L3 for diferente, faça as alterações de acordo

    No switch 4900, siga estes passos e configure a porta promíscua. A PVLAN termina na porta promíscua.

    1. Ative o recurso PVLAN, se necessário.
    2. Crie e associe as VLANs como feito no Nexus 5K.
    3. Crie a porta promíscua na porta de saída do switch 4900. A partir desse ponto, os pacotes da VLAN 1785 e 1786 são vistos na VLAN 1750 nesse caso.
    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 1785-1786
    switchport mode private-vlan promiscuous

    No roteador upstream, crie uma subinterface somente para a VLAN 1750. Neste nível, os requisitos dependem da configuração de rede que você usa:

    interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

    Verificar

    No momento, não há procedimento de verificação disponível para esta configuração.

    Troubleshoot

    Esta seção disponibiliza informações para a solução de problemas de configuração.

    Este procedimento descreve como testar a configuração de VMware DVS com o uso de PVLAN.

    1. Execute pings em outros sistemas configurados no grupo de portas, bem como no roteador ou em outro dispositivo na porta promíscua. Os pings para o dispositivo após a porta promíscua devem funcionar, enquanto os pings para outros dispositivos na VLAN isolada devem falhar, como mostrado nas imagens.

    Verifique as tabelas de endereços MAC para ver onde seu MAC está sendo aprendido. Em todos os switches, o MAC deve estar na VLAN isolada, exceto no switch com a porta promíscua. No switch promíscuo, o MAC deve estar na VLAN principal.

    2. UCS como mostrado na imagem.

    3. Verifique no upstream n5k o mesmo MAC, a saída semelhante à saída anterior deve estar presente no n5k e conforme mostrado na imagem.

    Configuração com Nexus 1000v com porta promissora no upstream N5k

    Configuração do UCS

    A configuração do UCS (que inclui a configuração vNIC de perfil de serviço) permanece a mesma como no exemplo com o VMware DVS.

    Configuração N1k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

    Este procedimento descreve como testar a configuração.

    1. Execute pings em outros sistemas configurados no grupo de portas, bem como no roteador ou em outro dispositivo na porta promíscua. Os pings para o dispositivo após a porta promíscua devem funcionar, enquanto os pings para outros dispositivos na VLAN isolada devem falhar, como mostrado na seção anterior e nas imagens.

    2. No N1K, as VMs estão listadas na VLAN principal; isso ocorre porque você está nas portas de host PVLAN que estão associadas à PVLAN como mostrado na imagem.

    Verifique as tabelas de endereços MAC para ver onde seu MAC está sendo aprendido. Em todos os switches, o MAC deve estar na VLAN isolada, exceto no switch com a porta promíscua. No switch promíscuo, o MAC deve estar na VLAN principal.

    3. No sistema UCS, você deve aprender todos os MACs em suas respectivas VLANs privadas, como mostrado na imagem.

    4. Verifique no upstream n5k o mesmo MAC, a saída semelhante à saída anterior deve estar presente no n5k, como mostrado na imagem.

      

    Configuração com Nexus 1000v com porta confiável no perfil de porta de uplink N1K

    Como a PVLAN termina na porta promíscua, nesta configuração, você contém tráfego de PVLAN para o N1K com apenas a VLAN principal usada upstream. Portanto, o UCS e os dispositivos upstream não estão cientes de nenhum PVLAN.

    Configuração do UCS

    Este procedimento descreve como adicionar a VLAN principal ao vNIC. Não há necessidade de configuração de PVLAN porque você só precisa da VLAN principal.

    Note: Este exemplo usa 1750 como primário, 1785 como isolado e 1786 como VLAN de comunidade como também mostrado na imagem.

    Configuração de dispositivos upstream

    Esses procedimentos descrevem como configurar os dispositivos upstream. Nesse caso, os switches upstream só precisam de portas de tronco e precisam apenas de tronco VLAN 1750 porque é a única VLAN vista pelos switches upstream.

    No Nexus 5K, execute estes comandos e verifique a configuração do uplink:

    1. Adicione a VLAN como principal: 
      Nexus5000-5(config-vlan)# vlan 1750
    2. Certifique-se de que todos os uplinks estejam configurados para tronco das VLANs.

    Configuração do N1K

    Este procedimento descreve como configurar o N1K:

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

    A PVLAN deve terminar em uma porta promíscua no perfil de porta de uplink para n1k e UCS e, subsequentemente, todos os dispositivos upstream devem ver essas VMs em VLANs primárias. Aqui está o snapshot do N5k upstream e do UCS.

    Poucas coisas para lembrar:

    o comando private-vlan mapping trunk não decide nem substitui a configuração de tronco de uma porta.

    • a porta já está configurada em um modo de tronco regular antes de você adicionar as configurações de tronco PVLAN
    • as VLANs primárias devem ser adicionadas à lista de VLANs permitidas para a porta de tronco promíscua
    • as VLANs secundárias não estão configuradas na lista de VLANs permitidas
    • a porta de tronco pode transportar VLANs normais além das VLANs primárias
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Qamar Anwar
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos