El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el soporte de VLAN privada (PVLAN) para Cisco Unified Computing System (UCS) en la versión 2.2(2c) y posteriores.
Precaución: Hay un cambio en el comportamiento que comienza con la versión 3.1(3a) del firmware de UCS, como se describe en la sección Cambio de comportamiento con la versión 3.1(3) y posteriores de UCS.
Cisco recomienda que tenga conocimiento sobre estos temas:
Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Una VLAN privada es una VLAN configurada para el aislamiento de L2 de otros puertos dentro de la misma VLAN privada. Los puertos que pertenecen a una PVLAN están asociados con un conjunto común de VLAN de soporte, que se utilizan para crear la estructura PVLAN.
Hay tres tipos de puertos PVLAN:
Consulte RFC 5517, VLAN privadas de Cisco Systems: Seguridad escalable en un entorno de varios clientes para comprender la teoría, el funcionamiento y los conceptos de las PVLAN.
Con Nexus 1000v o DVS de VMware
Nota: Este ejemplo utiliza VLAN 1750 como la principal, 1785 como aislada y 1786 como VLAN de comunidad.
2. Cree las VLAN Aisladas y comunitarias en consecuencia como se muestra en las imágenes. Ninguno de estos debe ser una VLAN nativa.
3. La tarjeta de interfaz de red virtual (vNIC) en el perfil de servicio lleva VLAN regulares y PVLAN, como se ve en la imagen.
4. El canal de puerto de enlace ascendente en UCS transporta VLAN regulares así como PVLAN:
interface port-channel1 description U: Uplink switchport mode trunk pinning border switchport trunk allowed vlan 1,121,221,321,1750,1785-1786 speed 10000 F240-01-09-UCS4-A(nxos)# F240-01-09-UCS4-A(nxos)# show vlan private-vlan Primary Secondary Type Ports ------- --------- --------------- ------------------------------------------- 1750 1785 isolated 1750 1786 community
feature private-vlan vlan 1750 private-vlan primary private-vlan association 1785-1786 vlan 1785 private-vlan isolated vlan 1786 private-vlan community interface Vlan1750 ip address 10.10.175.252/24 private-vlan mapping 1785-1786 no shutdown interface port-channel114 Description To UCS switchport mode trunk switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786 spanning-tree port type edge spanning-tree bpduguard enable spanning-tree bpdufilter enable vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k
Antes de la versión 3.1(3) de UCS, podría tener una VM en una VLAN comunitaria para comunicarse con una VM en la VLAN principal en VMware DVS donde reside la VM de VLAN principal dentro de UCS. Este comportamiento era incorrecto, ya que la VM principal siempre debe estar en sentido ascendente o fuera de UCS. Este comportamiento se documenta a través del ID de defecto CSCvh87378 .
A partir de la versión 2.2(2) de UCS en adelante, debido a un defecto en el código, la VLAN de la comunidad pudo comunicarse con la VLAN principal que estaba presente detrás de la FI. Pero Aislado nunca pudo comunicarse con el primario detrás de la FI. Tanto las VM (aisladas como las comunitarias) todavía pueden comunicarse con el primario fuera de la FI.
A partir de 3.1(3), este defecto permite a la comunidad comunicarse con el primario detrás de la FI, se rectificó y, por lo tanto, las VM comunitarias no podrán comunicarse con una VM en la VLAN principal que reside dentro de UCS.
Para resolver esta situación, la VM principal tendría que moverse (hacia el norte) fuera de UCS. Si no es una opción, la VM principal tendría que moverse a otra VLAN que sea una VLAN normal y no una VLAN privada.
Por ejemplo, antes del firmware 3.1(3), una VM en la VLAN 1786 de la comunidad podría comunicarse con una VM en la VLAN 1750 principal que reside dentro de UCS; sin embargo, esta comunicación se interrumpiría en el firmware 3.1(3) y posterior, como se muestra en la imagen.
NOTE:
—
CSCvh87378 se ha abordado en 3.2(3l) y 4.0.4e y superiores para que podamos tener la Vlan principal detrás de UCS. Sin embargo, tenga en cuenta que la vlan aislada dentro de UCS no podrá comunicarse con la vlan principal dentro de UCS. Solo la vlan de comunidad y la vlan principal pueden comunicarse entre sí cuando ambos están detrás de UCS.
Nota: En este ejemplo, 4900 es la interfaz L3 a la red externa. Si su topología para L3 es diferente, haga los cambios correspondientes
En el switch 4900, tome estos pasos y configure el puerto promiscuo. La PVLAN termina en el puerto promiscuo.
Switch(config-if)#switchport mode trunk
switchport private-vlan mapping 1785-1786
switchport mode private-vlan promiscuous
En el router ascendente, cree una subinterfaz sólo para la VLAN 1750. En este nivel, los requisitos dependen de la configuración de red que utilice:
interface GigabitEthernet0/1.1 encapsulation dot1Q 1750 IP address10.10.175.254/24
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.
Este procedimiento describe cómo probar la configuración para VMware DVS con el uso de PVLAN.
1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar como se muestra en las imágenes.
Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.
2. UCS como se muestra en la imagen.
3. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la anterior debe estar presente en n5k y como se muestra en la imagen.
La configuración de UCS (que incluye la configuración vNIC de perfil de servicio) permanece igual que en el ejemplo con VMware DVS.
feature private-vlan vlan 1750 private-vlan primary private-vlan association 1785-1786 vlan 1785 private-vlan isolated vlan 1786 private-vlan community same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly port-profile type ethernet pvlan-uplink-no-prom switchport mode trunk mtu 9000 switchport trunk allowed vlan 121,221,1750,1785-1786 channel-group auto mode on mac-pinning system vlan 121 no shutdown state enabled vmware port-group port-profile type vethernet pvlan_1785 switchport mode private-vlan host switchport private-vlan host-association 1750 1785 switchport access vlan 1785 no shutdown state enabled vmware port-group port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group
Este procedimiento describe cómo probar la configuración.
1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar, como se muestra en la sección anterior y en las imágenes.
2. En el N1K, las VM se enumeran en la VLAN principal; esto ocurre porque se encuentra en los puertos host PVLAN que están asociados a la PVLAN como se muestra en la imagen.
Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.
3. En el sistema UCS, debe aprender todos los MAC en sus respectivas VLAN privadas, como se muestra en la imagen.
4. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la salida anterior debe estar presente en n5k como se muestra en la imagen.
Dado que la PVLAN termina en el puerto promiscuo, en esta configuración, usted contiene el tráfico PVLAN al N1K con sólo la VLAN principal utilizada en sentido ascendente. Por lo tanto, los dispositivos UCS y ascendentes no son conscientes de ninguna PVLAN.
Este procedimiento describe cómo agregar la VLAN principal al vNIC. No se necesita configuración de PVLAN porque sólo necesita la VLAN principal.
Nota: Este ejemplo utiliza 1750 como primario, 1785 como aislado y 1786 como VLAN de comunidad, como también se muestra en la imagen.
Estos procedimientos describen cómo configurar los dispositivos ascendentes. En este caso, los switches ascendentes sólo necesitan puertos troncales, y sólo necesitan una VLAN 1750 troncal porque es la única VLAN que ven los switches ascendentes.
En Nexus 5K, ejecute estos comandos y verifique la configuración del link ascendente:
Nexus5000-5(config-vlan)# vlan 1750
Este procedimiento describe cómo configurar el N1K:
feature private-vlan vlan 1750 private-vlan primary private-vlan association 1785-1786 vlan 1785 private-vlan isolated vlan 1786 private-vlan community same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly port-profile type ethernet pvlan-uplink switchport mode private-vlan trunk promiscuous switchport trunk allowed vlan 121,221,1750 switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage mtu 9000 channel-group auto mode on mac-pinning no shutdown system vlan 121 state enabled vmware port-group port-profile type vethernet pvlan_1785 switchport mode private-vlan host switchport private-vlan host-association 1750 1785 switchport access vlan 1785 no shutdown state enabled vmware port-group port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group
La PVLAN debe terminar en el puerto promiscuo en el perfil de puerto de link ascendente para n1k y UCS y posteriormente todos los dispositivos ascendentes deben ver esas VM en las VLAN principales. Esta es la instantánea de N5k ascendente y UCS.
Pocas cosas que recordar:
El comando private-vlan mapping trunk no decide ni anula la configuración del trunk de un puerto.