Configuración de VLAN privada y UCS con VMware DVS o Cisco Nexus 1000v

Opciones de descarga

  • PDF     (448.8 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (701.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.4 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:9 de diciembre de 2019
ID del documento:201045

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el soporte de VLAN privada (PVLAN) para Cisco Unified Computing System (UCS) en la versión 2.2(2c) y posteriores.

    Precaución: Hay un cambio en el comportamiento que comienza con la versión 3.1(3a) del firmware de UCS, como se describe en la sección Cambio de comportamiento con la versión 3.1(3) y posteriores de UCS.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • UCS
    • Switch virtual distribuido (DVS) Cisco Nexus 1000V (N1K) o VMware
    • VMware
    • Switching de capa 2 (L2)

    Componentes Utilizados

    Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Antecedentes

    Una VLAN privada es una VLAN configurada para el aislamiento de L2 de otros puertos dentro de la misma VLAN privada. Los puertos que pertenecen a una PVLAN están asociados con un conjunto común de VLAN de soporte, que se utilizan para crear la estructura PVLAN.

    Hay tres tipos de puertos PVLAN:

    • Un puerto promiscuo se comunica con todos los demás puertos PVLAN y es el puerto utilizado para comunicarse con los dispositivos fuera de la PVLAN.
    • Un puerto aislado tiene separación L2 completa (que incluye broadcasts) de otros puertos dentro de la misma PVLAN, con la excepción del puerto promiscuo.
    • Un puerto de comunidad puede comunicarse con otros puertos en la misma PVLAN así como con el puerto promiscuo. Los puertos comunitarios se aíslan en L2 de los puertos de otras comunidades o de los puertos PVLAN aislados. Las transmisiones sólo se propagan a otros puertos de la comunidad y al puerto promiscuo.

    Consulte RFC 5517, VLAN privadas de Cisco Systems: Seguridad escalable en un entorno de varios clientes para comprender la teoría, el funcionamiento y los conceptos de las PVLAN.

    Configurar

    Diagrama de la red

    Con Nexus 1000v o DVS de VMware

    Nota: Este ejemplo utiliza VLAN 1750 como la principal, 1785 como aislada y 1786 como VLAN de comunidad.

    UCS con DVS de VMware

    1. Para crear la VLAN principal, haga clic en el botón de radio Primary como el Tipo de uso compartido, e ingrese un ID de VLAN de 1750 como se muestra en la imagen.

    2. Cree las VLAN Aisladas y comunitarias en consecuencia como se muestra en las imágenes. Ninguno de estos debe ser una VLAN nativa.

    3. La tarjeta de interfaz de red virtual (vNIC) en el perfil de servicio lleva VLAN regulares y PVLAN, como se ve en la imagen.

    4. El canal de puerto de enlace ascendente en UCS transporta VLAN regulares así como PVLAN:

    interface port-channel1
description U: Uplink
switchport mode trunk
pinning border
switchport trunk allowed vlan 1,121,221,321,1750,1785-1786
speed 10000

F240-01-09-UCS4-A(nxos)#


F240-01-09-UCS4-A(nxos)# show vlan private-vlan
Primary Secondary Type Ports
------- --------- --------------- -------------------------------------------

1750     1785          isolated
1750     1786          community

    DVS de VMware

    Switch ascendente N5k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

interface Vlan1750

ip address 10.10.175.252/24 private-vlan mapping 1785-1786

no shutdown

 

interface port-channel114

Description To UCS
switchport mode trunk
switchport trunk allowed vlan 1,121,154,169,221,269,321,369,1750,1785-1786
spanning-tree port type edge
spanning-tree bpduguard enable
spanning-tree bpdufilter enable
vpc 114 <=== if there is a 5k pair in vPC configuration only then add this line to both N5k

    Cambio de comportamiento con UCS versión 3.1(3)

    Antes de la versión 3.1(3) de UCS, podría tener una VM en una VLAN comunitaria para comunicarse con una VM en la VLAN principal en VMware DVS donde reside la VM de VLAN principal dentro de UCS. Este comportamiento era incorrecto, ya que la VM principal siempre debe estar en sentido ascendente o fuera de UCS. Este comportamiento se documenta a través del ID de defecto CSCvh87378 .

    A partir de la versión 2.2(2) de UCS en adelante, debido a un defecto en el código, la VLAN de la comunidad pudo comunicarse con la VLAN principal que estaba presente detrás de la FI. Pero Aislado nunca pudo comunicarse con el primario detrás de la FI. Tanto las VM (aisladas como las comunitarias) todavía pueden comunicarse con el primario fuera de la FI.

    A partir de 3.1(3), este defecto permite a la comunidad comunicarse con el primario detrás de la FI, se rectificó y, por lo tanto, las VM comunitarias no podrán comunicarse con una VM en la VLAN principal que reside dentro de UCS.

    Para resolver esta situación, la VM principal tendría que moverse (hacia el norte) fuera de UCS. Si no es una opción, la VM principal tendría que moverse a otra VLAN que sea una VLAN normal y no una VLAN privada.

    Por ejemplo, antes del firmware 3.1(3), una VM en la VLAN 1786 de la comunidad podría comunicarse con una VM en la VLAN 1750 principal que reside dentro de UCS; sin embargo, esta comunicación se interrumpiría en el firmware 3.1(3) y posterior, como se muestra en la imagen.

    NOTE:

    CSCvh87378 se ha abordado en 3.2(3l) y 4.0.4e y superiores para que podamos tener la Vlan principal detrás de UCS. Sin embargo, tenga en cuenta que la vlan aislada dentro de UCS no podrá comunicarse con la vlan principal dentro de UCS. Solo la vlan de comunidad y la vlan principal pueden comunicarse entre sí cuando ambos están detrás de UCS.

    Switch ascendente 4900

    Nota: En este ejemplo, 4900 es la interfaz L3 a la red externa. Si su topología para L3 es diferente, haga los cambios correspondientes

    En el switch 4900, tome estos pasos y configure el puerto promiscuo. La PVLAN termina en el puerto promiscuo.

    1. Active la función PVLAN si es necesario.
    2. Cree y asocie las VLAN tal como se hace en Nexus 5K.
    3. Cree el puerto promiscuo en el puerto de salida del switch 4900. A partir de este punto, los paquetes de VLAN 1785 y 1786 se ven en VLAN 1750 en este caso.
    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 1785-1786
    switchport mode private-vlan promiscuous

    En el router ascendente, cree una subinterfaz sólo para la VLAN 1750. En este nivel, los requisitos dependen de la configuración de red que utilice:

    interface GigabitEthernet0/1.1

encapsulation dot1Q 1750

IP address10.10.175.254/24

    Verificación

    Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

    Troubleshoot

    En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

    Este procedimiento describe cómo probar la configuración para VMware DVS con el uso de PVLAN.

    1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar como se muestra en las imágenes.

    Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.

    2. UCS como se muestra en la imagen.

    3. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la anterior debe estar presente en n5k y como se muestra en la imagen.

    Configuración con Nexus 1000v con puerto promiscuo en N5k ascendente

    Configuración de UCS

    La configuración de UCS (que incluye la configuración vNIC de perfil de servicio) permanece igual que en el ejemplo con VMware DVS.

    Configuración de N1k

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community


same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

port-profile type ethernet pvlan-uplink-no-prom
switchport mode trunk
mtu 9000
switchport trunk allowed vlan 121,221,1750,1785-1786
channel-group auto mode on mac-pinning

system vlan 121 no shutdown state enabled vmware port-group

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group

port-profile type vethernet pvlan_1786 switchport mode private-vlan host switchport access vlan 1786 switchport private-vlan host-association 1750 1786 no shutdown state enabled vmware port-group

    Este procedimiento describe cómo probar la configuración.

    1. Ejecute pings a otros sistemas configurados en el grupo de puertos, así como al router u otro dispositivo en el puerto promiscuo. Los ping al dispositivo que pasa por el puerto promiscuo deben funcionar, mientras que aquellos a otros dispositivos en la VLAN aislada deben fallar, como se muestra en la sección anterior y en las imágenes.

    2. En el N1K, las VM se enumeran en la VLAN principal; esto ocurre porque se encuentra en los puertos host PVLAN que están asociados a la PVLAN como se muestra en la imagen.

    Verifique las tablas de direcciones MAC para ver dónde se está aprendiendo su MAC. En todos los switches, el MAC debe estar en la VLAN aislada excepto en el switch con el puerto promiscuo. En el switch promiscuo, el MAC debe estar en la VLAN principal.

    3. En el sistema UCS, debe aprender todos los MAC en sus respectivas VLAN privadas, como se muestra en la imagen.

    4. Verifique en el flujo ascendente n5k el mismo MAC, la salida similar a la salida anterior debe estar presente en n5k como se muestra en la imagen.

      

    Configuración con Nexus 1000v con puerto promiscuo en el perfil de puerto de enlace ascendente N1K

    Dado que la PVLAN termina en el puerto promiscuo, en esta configuración, usted contiene el tráfico PVLAN al N1K con sólo la VLAN principal utilizada en sentido ascendente. Por lo tanto, los dispositivos UCS y ascendentes no son conscientes de ninguna PVLAN.

    Configuración de UCS

    Este procedimiento describe cómo agregar la VLAN principal al vNIC. No se necesita configuración de PVLAN porque sólo necesita la VLAN principal.

    Nota: Este ejemplo utiliza 1750 como primario, 1785 como aislado y 1786 como VLAN de comunidad, como también se muestra en la imagen.

    Configuración de dispositivos ascendentes

    Estos procedimientos describen cómo configurar los dispositivos ascendentes. En este caso, los switches ascendentes sólo necesitan puertos troncales, y sólo necesitan una VLAN 1750 troncal porque es la única VLAN que ven los switches ascendentes.

    En Nexus 5K, ejecute estos comandos y verifique la configuración del link ascendente:

    1. Agregue la VLAN como principal: 
      Nexus5000-5(config-vlan)# vlan 1750
    2. Asegúrese de que todos los links ascendentes estén configurados para hacer un trunk de las VLAN.

    Configuración de N1K

    Este procedimiento describe cómo configurar el N1K:

    feature private-vlan

 

vlan 1750 private-vlan primary private-vlan association 1785-1786

 

vlan 1785 private-vlan isolated

vlan 1786 private-vlan community

 

 

same uplink port-profile is being used for regular vlans & pvlans. In this example vlan 121 & 221 are regular vlans but you can change them accordingly

 

port-profile type ethernet pvlan-uplink
switchport mode private-vlan trunk promiscuous

switchport trunk allowed vlan 121,221,1750
switchport private-vlan trunk allowed vlan 121,221,1750 <== Only need to allow Primary VLAN

switchport private-vlan mapping trunk 1750 1785-1786 <=== PVLANs must be mapped at this stage
mtu 9000
channel-group auto mode on mac-pinning
no shutdown
system vlan 121
state enabled
vmware port-group

 

port-profile type vethernet pvlan_1785
switchport mode private-vlan host
switchport private-vlan host-association 1750 1785
switchport access vlan 1785
no shutdown
state enabled
vmware port-group



port-profile type vethernet pvlan_1786
switchport mode private-vlan host
switchport access vlan 1786
switchport private-vlan host-association 1750 1786
no shutdown
state enabled
vmware port-group

    La PVLAN debe terminar en el puerto promiscuo en el perfil de puerto de link ascendente para n1k y UCS y posteriormente todos los dispositivos ascendentes deben ver esas VM en las VLAN principales. Esta es la instantánea de N5k ascendente y UCS.

    Pocas cosas que recordar:

    El comando private-vlan mapping trunk no decide ni anula la configuración del trunk de un puerto.

    • el puerto ya está configurado en un modo trunk normal antes de agregar las configuraciones troncales PVLAN
    • las VLAN principales se deben agregar a la lista de VLAN permitidas para el puerto troncal promiscuo
    • las VLAN secundarias no se configuran en la lista de VLAN permitidas
    • el puerto troncal puede transportar VLAN normales además de las VLAN principales
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Qamar Anwar
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos