Private VLAN en Cisco UCS Configuration voorafgaand aan 2.2(2C)

Downloadopties

  • PDF     (1.8 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.5 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:3 maart 2016
Document-id:1457021185547915

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft privé VLAN (PVLAN)-ondersteuning in Cisco Unified Computing System (UCS), een functie die in release 1.4 van Cisco UCS Manager (UCS) wordt geïntroduceerd. Het specificeert ook de functies, voorbehouden en de configuratie wanneer PVLAN’s in een UCS-omgeving worden gebruikt.

DIT DOCUMENT WORDT GEBRUIKT VOOR GEBRUIK MET UCSM VERSIE 2.2(2C) EN EERDERE VERSIES. In versies later dan versie 2.2(2C) zijn wijzigingen aangebracht in UCSM en ESXi DVS wordt ondersteund. Er zijn ook wijzigingen in de manier waarop het taggen voor de PVLAN-NIC werkt.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

  • UCS
  • Cisco Nexus 1000 V (N1K)
  • VMware
  • Layer 2 (L2) switching

Gebruikte componenten


Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Achtergrondinformatie

Theorie

Een privé VLAN is een VLAN dat voor L2 isolatie van andere poorten binnen hetzelfde privé VLAN wordt gevormd. PVLAN-poorten die tot een PVLAN behoren, worden gekoppeld aan een gemeenschappelijke reeks VLAN’s voor ondersteuning, die worden gebruikt om de PVLAN-structuur te maken.

Er zijn drie typen PVLAN-poorten:

  • Een veelbelovende poort communiceert met alle andere PVLAN-poorten en is de poort die wordt gebruikt om met apparaten buiten het PVLAN te communiceren.
  • Een geïsoleerde haven heeft een volledige L2-scheiding (met inbegrip van uitzendingen) van andere havens binnen hetzelfde PVLAN met uitzondering van de veelbelovende haven.
  • Een communautaire poort kan met andere havens in het zelfde PVLAN zowel als de veelbelovende haven communiceren. De havens van de Gemeenschap worden in L2 geïsoleerd van havens in andere gemeenschappen of geïsoleerde havens van PVLAN. De uitzendingen worden alleen verspreid naar andere havens in de gemeenschap en naar de veelbelovende haven.

Raadpleeg RFC 5517, Cisco Systems' Private VLAN’s: Schaalbare beveiliging in een omgeving voor meerdere client om de theorie, werking en concepten van PVLAN’s te begrijpen.

PVLAN-implementatie in UCS

UCS lijkt sterk op de Nexus 5000/2000-architectuur, waarin de Nexus 5000 analoog is aan UCS 6100 en de Nexus 2000 aan de UCS 2104 Fabric extenders.

Veel beperkingen van de PVLAN-functionaliteit in UCS worden veroorzaakt door de beperkingen die zijn vastgesteld in de Nexus 5000/2000-implementatie.

Belangrijke aandachtspunten zijn:

  • Alleen geïsoleerde havens worden ondersteund in UCS. Met de N1K in het systeem opgenomen, kunt u gemeenschapsVLAN's gebruiken, maar de veelbelovende poort moet ook op de N1K gericht zijn.
  • Er is geen ondersteuning voor veelbelovende havens/stammen, gemeenschapshavens/stammen of geïsoleerde stammen.
  • Promiscueuze poorten moeten buiten het UCS-domein vallen, zoals een upstream-schakelaar/router of een lagere N1K.

doel

Dit document bevat verschillende beschikbare configuraties voor PVLAN met UCS:

  1. Geïsoleerd PVLAN met veelbelovende cuous port op een upstream apparaat.
  2. Geïsoleerd PVLAN op N1K met veelbelovende poort op een upstream apparaat.
  3. Geïsoleerd PVLAN op N1K met veelbelovende poort op het N1K-uplinks poortprofiel
  4. Community-PVLAN op N1K met veelbelovende poort op het N1K-uplinks poortprofiel.
  5. Geïsoleerd PVLAN op VMware Distributed Virtual Switch (DVS) met een veelbelovende poort op de DVS.
  6. Community PVLAN op VMware DVS-switch met een veelbelovende poort op de DVS.

Configureren

Netwerkdiagrammen

De topologie voor alle voorbeelden met een verdeelde schakelaar is:

116310-config-ucs-pvlan-00-00.png

De topologie voor alle voorbeelden zonder verdeelde schakelaar is:

116310-config-ucs-pvlan-00-01.png

PVLAN op vSwitch: Geïntegreerd PVLAN met Promiscuous Port op een upstreamapparaat

In deze configuratie passeert u PVLAN-verkeer door UCS naar een veelbelovende poort die upstream is. Omdat u niet zowel primaire als secundaire VLAN’s op dezelfde vNIC kunt verzenden, hebt u één vNIC nodig voor elk blad voor elk PVLAN om het PVLAN-verkeer te kunnen dragen.

Configuratie in UCS

Deze procedure beschrijft hoe u zowel de primaire als alle geïsoleerde VLAN’s kunt maken.

Opmerking: In dit voorbeeld wordt 266 als primaire en 166 als geïsoleerde persoon gebruikt; De VLAN-ID’s worden door de site bepaald.

  1. Als u het primaire VLAN wilt maken, klikt u op Primair als het Sharing Type. Voer een VLAN-id van 266 in:

    116310-config-ucs-pvlan-00-02.png

  2. Als u het geïsoleerde VLAN wilt maken, klikt u op geïsoleerd als het type delen, voert u een VLAN-id van 166 in en kiest u VLAN 266 (266) als Primair VLAN:

    116310-config-ucs-pvlan-00-03.png

  3. Als u het VLAN aan de vNIC wilt toevoegen, klikt u op het selectieteken voor VLAN 166 en vervolgens klikt u op de bijbehorende radioknop Native VLAN.

    116310-config-ucs-pvlan-00-04.png

    Alleen het geïsoleerde VLAN wordt toegevoegd, moet het als primair worden ingesteld en er kan slechts één voor elke vNIC zijn. Omdat het inboorlinge VLAN hier is gedefinieerd, moet u het VLAN-taggen niet op de VMware-poortgroepen configureren.

Configuratie van upstreamapparaten

Deze procedures beschrijven hoe u een Nexus 5K kunt configureren om PVLAN door te sturen naar een upstream 4900-switch waar de veelbelovende poort is. Terwijl dit in alle omgevingen niet noodzakelijk zou kunnen zijn, gebruik deze configuratie in het geval dat u PVLAN door een andere schakelaar moet passeren.

Voer in de Nexus 5K deze opdrachten in en controleer de configuratie van de uplinks:

  1. Schakel de functie PVLAN in:

    Nexus5000-5(config)# feature private-vlan
    [an error occurred while processing this directive]
  2. Voeg de VLAN’s toe als primair en geïsoleerd:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
    [an error occurred while processing this directive]
  3. Associate VLAN 266 met het geïsoleerde VLAN 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
    [an error occurred while processing this directive]
  4. Zorg dat alle uplinks zijn geconfigureerd om in de VLAN’s te stappen:

    1. Ethernet1/1-interface
    2. beschrijving van de verbinding met 4900
    3. verbindingsmodems
    4. snelheid 1000
    5. interface Ethernet1/3
    6. beschrijving van de verbinding met FIB poort 5
    7. verbindingsmodems
    8. snelheid 1000
    9. Ethernet1/4-interface
    10. beschrijving van de verbinding met FIA poort 5
    11. verbindingsmodems
    12. snelheid 1000

Doe deze stappen op de 4900-schakelaar en stel de veelbelovende poort in. PVLAN eindigt bij de veelbelovende poort.

  1. Schakel de functie PVLAN in indien nodig.
  2. Maak en associeer de VLAN’s zoals uitgevoerd op Nexus 5K.
  3. Maak de veelbelovende poort op de uitgang van de 4900-schakelaar. Van dit punt op, worden de pakketten van VLAN 166 in dit geval op VLAN 266 gezien.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous
    [an error occurred while processing this directive]

Op de upstream router kunt u alleen een subinterface maken voor VLAN 266. Op dit niveau zijn de eisen afhankelijk van de netwerkconfiguratie die u gebruikt:

  1. interface Gigabit Ethernet0/1.1
  2. insluiting van punt1Q 266
  3. IP-adres 209.165.200.225 255.255.255.224

Probleemoplossing

In deze procedure wordt beschreven hoe de configuratie moet worden getest.

  1. Configuratie van de schakelaar virtuele interface (SVI) op elke schakelaar, die u toestaat om SVI van PVLAN te pingelen:

    (config)# interface vlan 266
    (config-if)# ip address 209.165.200.225 255.255.255.224
    (config-if)# private-vlan mapping 166
    (config-if)# no shut
    [an error occurred while processing this directive]
  2. Controleer de MAC-adrestabellen om te zien waar uw MAC wordt geleerd. Op alle switches moet de MAC in het geïsoleerde VLAN zijn behalve op de switch met de veelbelovende poort. Let op in de veelbelovende schakelaar dat de MAC in het primaire VLAN is.

    1. Op de Fabric Interconnect wordt het MAC-adres 0050.56bd.7bef geleerd op Veth1491:

      116310-config-ucs-pvlan-00-05.png

    2. Op de Nexus 5K wordt het MAC-adres 0050.56bd.7bef op Eth1/4 geleerd:

      116310-config-ucs-pvlan-00-06.png

    3. Op de 4900-schakelaar, wordt het MAC-adres 0050.56bd.7bef op Gigabit Ethernet1/1 geleerd:

      116310-config-ucs-pvlan-00-07.png

In deze configuratie kunnen de systemen in dit geïsoleerde VLAN niet met elkaar communiceren, maar met andere systemen communiceren door de veelbelovende poort op de 4900-schakelaar. Eén kwestie is hoe je downstoomapparaten moet configureren. In dit geval gebruikt u VMware en twee hosts.

Vergeet niet dat u voor elke PVLAN één vNIC moet gebruiken. Deze vNIC's worden aangeboden aan VMware vSphere ESXi, en u kunt vervolgens poortgroepen maken en gasten aan deze poortgroepen hebben.

Als twee systemen op dezelfde switch aan dezelfde poortgroep worden toegevoegd, kunnen ze met elkaar communiceren omdat hun communicatie lokaal op de vSwitch is ingeschakeld. In dit systeem zijn er twee bladen met elk twee hosts.

Op het eerste systeem zijn er twee verschillende poortgroepen opgezet - één genaamd 166, en één genaamd 166A. Elk is aangesloten op één enkele NIC, die in het geïsoleerde VLAN op UCS wordt gevormd. Er is momenteel slechts één gast voor elke havengroep. In dat geval kunnen ze, omdat ze van elkaar gescheiden zijn op ESXi, niet met elkaar praten.

116310-config-ucs-pvlan-00-08.png

Op het tweede systeem is er slechts één havengroep, genaamd 166. Er zijn twee gasten in deze havengroep. In deze configuratie kunnen VM3 en VM4 met elkaar communiceren, ook al wil je dat dit niet gebeurt. Om dit te corrigeren moet u één enkele NIC voor elke virtuele machine (VM) configureren die zich in het geïsoleerde VLAN bevindt en vervolgens een poortgroep maken die aan die vNIC is gekoppeld. Zodra dit is ingesteld, zet u slechts één gast in de poortgroep. Dit is geen probleem met het installeren van een metalen Windows-bestand omdat u deze onderliggende vSwitches niet hebt.

116310-config-ucs-pvlan-00-09.png

Geïntegreerd PVLAN op N1K met Promiscuous Port op een upstreamapparaat

In deze configuratie, ga je PVLAN-verkeer door een N1K en dan UCS door naar een veelbelovende poort die upstream is. Omdat u niet zowel primaire als secundaire VLAN’s op dezelfde vNIC kunt verzenden, hebt u één vNIC nodig voor elk PVLAN-uplink om het PVLAN-verkeer te kunnen uitvoeren.

Configuratie in UCS

Deze procedure beschrijft hoe u zowel de primaire als alle geïsoleerde VLAN’s kunt maken.

Opmerking: In dit voorbeeld wordt 266 als primaire en 166 als geïsoleerde persoon gebruikt; De VLAN-ID’s worden door de site bepaald.

  1. Als u het primaire VLAN wilt maken, klikt u op Primair als het Sharing Type:

    116310-config-ucs-pvlan-00-10.png

  2. Als u het geïsoleerde VLAN wilt maken, klikt u op geïsoleerd als het Sharing Type:

    116310-config-ucs-pvlan-00-11.png

  3. Als u het VLAN aan de vNIC wilt toevoegen, klikt u op het selectieteken voor VLAN 166. VLAN 166 heeft geen Native VLAN geselecteerd.

    116310-config-ucs-pvlan-00-12.png

    Alleen het geïsoleerde VLAN wordt toegevoegd, moet het niet als inheems worden ingesteld en er kan slechts één voor elke vNIC zijn. Omdat het inheemse VLAN niet hier wordt bepaald, tag het inheemse VLAN op N1K. De optie om een Native VLAN te markeren is niet beschikbaar in de VMware DVS, zodat dit niet op DVS wordt ondersteund.

Configuratie van upstreamapparaten

Deze procedures beschrijven hoe u een Nexus 5K moet configureren om PVLAN door te sturen naar een upstream 4900-switch waar de veelbelovende poort is. Terwijl dit in alle omgevingen niet noodzakelijk zou kunnen zijn, gebruik deze configuratie in het geval dat u PVLAN door een andere schakelaar moet passeren.

Voer in de Nexus 5K deze opdrachten in en controleer de configuratie van de uplinks:

  1. Schakel de functie PVLAN in:

    Nexus5000-5(config)# feature private-vlan
    [an error occurred while processing this directive]
  2. Voeg de VLAN’s toe als primair en geïsoleerd:

    Nexus5000-5(config)# vlan 166
    Nexus5000-5(config-vlan)# private-vlan isolated
    Nexus5000-5(config-vlan)# vlan 266
    Nexus5000-5(config-vlan)# private-vlan primary
    [an error occurred while processing this directive]
  3. Associate VLAN 266 met het geïsoleerde VLAN 166:

    Nexus5000-5(config-vlan)# private-vlan association 166
    [an error occurred while processing this directive]
  4. Zorg dat alle uplinks zijn geconfigureerd om in de VLAN’s te stappen:

    1. Ethernet1/1-interface
    2. beschrijving van de verbinding met 4900
    3. verbindingsmodems
    4. snelheid 1000
    5. interface Ethernet1/3
    6. beschrijving van de verbinding met FIB poort 5
    7. verbindingsmodems
    8. snelheid 1000
    9. Ethernet1/4-interface
    10. beschrijving van de verbinding met FIA poort 5
    11. verbindingsmodems
    12. snelheid 1000

Doe deze stappen op de 4900-schakelaar en stel de veelbelovende poort in. PVLAN eindigt bij de veelbelovende poort.

  1. Schakel de functie PVLAN in indien nodig.
  2. Maak en associeer de VLAN’s zoals uitgevoerd op Nexus 5K.
  3. Maak de veelbelovende poort op de uitgang van de 4900-schakelaar. Van dit punt op, worden de pakketten van VLAN 166 in dit geval op VLAN 266 gezien.

    Switch(config-if)#switchport mode trunk
    switchport private-vlan mapping 266 166
    switchport mode private-vlan promiscuous
    [an error occurred while processing this directive]

Op de upstream router kunt u alleen een subinterface maken voor VLAN 266. Op dit niveau zijn de eisen afhankelijk van de netwerkconfiguratie die u gebruikt:

  1. interface Gigabit Ethernet0/1.1
  2. insluiting van punt1Q 266
  3. IP-adres 209.165.200.225 255.255.255.224

Configuratie van N1K

Deze procedure beschrijft hoe u de N1K als standaardstam moet configureren en niet als een PVLAN-stam.

  1. Maak en associeer de VLAN’s zoals uitgevoerd op Nexus 5K. Raadpleeg het gedeelte Configuration of Upstream Devices voor meer informatie.
  2. Maak een uplink poortprofiel voor het PVLAN-verkeer:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode trunk
    Switch(config-port-prof)# switchport trunk allowed vlan 166,266
    Switch(config-port-prof)# switchport trunk native vlan 266 <-- This is necessary to handle 
       traffic coming back from the promiscuous port.
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
    [an error occurred while processing this directive]
  3. Maak de poortgroep voor het geïsoleerde VLAN; om een PVLAN host-poort met de host-associatie te maken voor de primaire en geïsoleerde VLAN’s:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host  
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
    [an error occurred while processing this directive]
  4. Voeg in het vCenter de juiste vNIC toe aan de PVLAN-uplink. Dit is de vNIC waaraan u het geïsoleerde VLAN onder de Configuration in UCS-instellingen hebt toegevoegd.

    116310-config-ucs-pvlan-00-13.png

  5. Voeg de VM toe aan de juiste poortgroep:

    1. Klik in het tabblad Hardware op Netwerkadapter 1.
    2. Kies fotovoltaïsche kaart (VLAN’s) voor het netwerklabel onder Netwerkverbinding:

      116310-config-ucs-pvlan-00-14.png

Probleemoplossing

In deze procedure wordt beschreven hoe de configuratie moet worden getest.

  1. Draai pings aan andere systemen die in de haven-groep zowel als de router of ander apparaat in de veelbelovende haven worden gevormd. Pings aan het apparaat voorbij de veelbelovende haven zou moeten werken, terwijl die aan andere apparaten in het geïsoleerde VLAN zouden moeten mislukken.

    116310-config-ucs-pvlan-00-15.png

  2. Op de N1K staan de VM's vermeld op het primaire VLAN; Dit komt voor omdat u in PVLAN host-poorten hebt die aan PVLAN zijn gekoppeld. Zorg er, gezien de manier waarop de VM's worden geleerd, voor dat u PVLAN niet instelt als native op het UCS-systeem. Let ook op dat u het upstream apparaat van het poortkanaal leert en dat het upstream apparaat ook op het primaire VLAN wordt geleerd. Dit moet in deze methode worden geleerd, wat de reden is dat u het primaire VLAN als het inheemse VLAN op de uplink van PVLAN hebt.

    In deze screenshot zijn de twee apparaten op Veth3 en Veth 4 de VM's. Het apparaat in Po1 is de upstream router die voorbij de veelbelovende poort is.

    116310-config-ucs-pvlan-00-16.png

  3. Op het UCS-systeem zou je alle MAC's moeten leren, voor deze communicatie, in het geïsoleerde VLAN. U dient de bovenloop hier niet te zien:

    116310-config-ucs-pvlan-00-17.png

  4. Op de Nexus 5K bevinden de twee VM's zich op het geïsoleerde VLAN, terwijl het stroomopwaarts apparaat op het primaire VLAN is:

    116310-config-ucs-pvlan-00-18.png

  5. Op de 4900 switch, waar de veelbelovende poort is, is alles op het primaire VLAN:

    116310-config-ucs-pvlan-00-19.png

Geïsoleerd VLAN op N1K met veelbelovende poort op het N1K-uplinks poortprofiel

In deze configuratie, bevat u PVLAN-verkeer naar de N1K met alleen het primaire VLAN dat stroomopwaarts wordt gebruikt.

Configuratie in UCS

Deze procedure beschrijft hoe u het primaire VLAN aan de vNIC kunt toevoegen. Er is geen behoefte aan PVLAN-configuratie omdat u alleen het primaire VLAN nodig hebt. 

Opmerking: In dit voorbeeld wordt 266 als primaire en 166 als geïsoleerde persoon gebruikt; De VLAN-ID’s worden door de site bepaald.

  1. Merk op dat het type delen geen is.

    116310-config-ucs-pvlan-00-20.png

  2. Klik op het selectieteken voor VLAN 266 om het primaire VLAN aan de vNIC toe te voegen. Stel het niet als Native in.

    116310-config-ucs-pvlan-00-21.png

Configuratie van upstreamapparaten

Deze procedures beschrijven hoe u de upstream apparaten kunt configureren. In dit geval, hebben de upstream switches alleen boomstampoorten nodig, en ze hoeven alleen VLAN 266 over te schakelen, omdat het enige VLAN is dat de upstream switches zien.

Voer in de Nexus 5K deze opdrachten in en controleer de configuratie van de uplinks:

  1. Voeg VLAN als primair toe:

    Nexus5000-5(config-vlan)# vlan 266
    [an error occurred while processing this directive]
  2. Zorg dat alle uplinks zijn geconfigureerd om in de VLAN’s te stappen:

    1. Ethernet1/1-interface
    2. beschrijving van de verbinding met 4900
    3. verbindingsmodems
    4. snelheid 1000
    5. interface Ethernet1/3
    6. beschrijving van de verbinding met FIB poort 5
    7. verbindingsmodems
    8. snelheid 1000
    9. Ethernet1/4-interface
    10. beschrijving van de verbinding met FIA poort 5
    11. verbindingsmodems
    12. snelheid 1000

Volg de volgende stappen op de 4900-schakelaar:

  1. Maak de VLAN's die als primair op de N1K worden gebruikt.
  2. Trunk alle interfaces naar en van de 4900 switch zodat het VLAN wordt doorgegeven.

Op de upstream router kunt u alleen een subinterface maken voor VLAN 266. Op dit niveau zijn de eisen afhankelijk van de netwerkconfiguratie die u gebruikt.

  1. interface Gigabit Ethernet0/1.1
  2. insluiting van punt1Q 266
  3. IP-adres 209.165.200.225 255.255.255.224

Configuratie van N1K

Deze procedure beschrijft hoe u de N1K moet configureren.

  1. Maak en associeer de VLAN’s:

    Switch(config)# vlan 166
    Switch(config-vlan)# private-vlan isolated
    Switch(config-vlan)# vlan 266
    Switch(config-vlan)# private-vlan primary
    Switch(config-vlan)# private-vlan association 166
    [an error occurred while processing this directive]
  2. Maak een uplink poortprofiel voor het PVLAN-verkeer met de veelbelovende poort die wordt opgemerkt:

    Switch(config)#port-profile type ethernet pvlan_uplink
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan trunk promiscuous
    Switch(config-port-prof)# switchport private-vlan trunk allowed vlan 266 <-- Only need to 
       allow the primary VLAN
    Switch(config-port-prof)# switchport private-vlan mapping trunk 266 166 <-- The VLANS must 
       be mapped at this point
    Switch(config-port-prof)# channel-group auto mode on mac-pinning
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
    [an error occurred while processing this directive]
  3. Maak de poortgroep voor het geïsoleerde VLAN; om een PVLAN host-poort met de host-associatie te maken voor de primaire en geïsoleerde VLAN’s:

    Switch(config)# port-profile type vethernet pvlan_guest
    Switch(config-port-prof)# vmware port-group
    Switch(config-port-prof)# switchport mode private-vlan host
    Switch(config-port-prof)# switchport private-vlan host-association 266 166
    Switch(config-port-prof)# no shut
    Switch(config-port-prof)# state enabled
    [an error occurred while processing this directive]
  4. Voeg in het vCenter de juiste vNIC toe aan de PVLAN-uplink. Dit is de vNIC waaraan u het geïsoleerde VLAN onder de Configuration in UCS-instellingen hebt toegevoegd.
    116310-config-ucs-pvlan-00-22.png

  5. Voeg de VM toe aan de juiste poortgroep.

    1. Klik in het tabblad Hardware op Netwerkadapter 1.
    2. Kies VLAN_gave (VLAN) voor het label van het netwerk onder Netwerkverbinding.

      116310-config-ucs-pvlan-00-23.png

Probleemoplossing

In deze procedure wordt beschreven hoe de configuratie moet worden getest.

  1. Draai pings aan andere systemen die in de haven-groep zowel als de router of ander apparaat in de veelbelovende haven worden gevormd. Pings aan het apparaat voorbij de veelbelovende haven zou moeten werken, terwijl die aan andere apparaten in het geïsoleerde VLAN zouden moeten mislukken.

    116310-config-ucs-pvlan-00-24.png

  2. Op de N1K staan de VM's vermeld op het primaire VLAN; Dit komt voor omdat u in PVLAN host-poorten hebt die aan PVLAN zijn gekoppeld. Let ook op dat u het upstream apparaat van het poortkanaal leert en dat het upstream apparaat ook op het primaire VLAN wordt geleerd.

    In deze screenshot zijn de twee apparaten op Veth3 en Veth 4 de VM's. Het apparaat in Po1 is het stroomopwaarts apparaat dat voorbij de veelbelovende poort is.

    116310-config-ucs-pvlan-00-25.png

  3. Op het UCS-systeem zou je alle MAC's moeten leren, voor deze communicatie, in het primaire VLAN dat je gebruikt op de N1K. Je zou hier niet meer moeten leren stroomopwaarts.

    116310-config-ucs-pvlan-00-26.png

  4. Op Nexus 5K, zijn alle MAC's in het primaire VLAN dat u hebt geselecteerd:

    116310-config-ucs-pvlan-00-27.png

  5. Op de 4900-schakelaar, is alles op het primaire VLAN dat u hebt geselecteerd:

    116310-config-ucs-pvlan-00-28.png

Community PVLAN op N1K met Promiscuous Port op het N1K-uplinks poortprofiel

Dit is de enige ondersteunde configuratie voor community VLAN met UCS.

Deze configuratie is dezelfde als die welke is ingesteld in het geïsoleerde PVLAN op N1K met Promiscuous Port op het gedeelte N1K Uplink-poortprofiel. Het enige verschil tussen gemeenschap en geïsoleerd is de configuratie van PVLAN.

Om de N1K te configureren maakt en associeert u de VLAN’s zoals u hebt gedaan op Nexus 5K:

Switch(config)# vlan 166
Switch(config-vlan)# private-vlan community
Switch(config-vlan)# vlan 266
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 16
[an error occurred while processing this directive]

Alle andere configuratie is hetzelfde als het geïsoleerde PVLAN op N1K met veelbelovende poort op het N1K uplink poortprofiel.

Als dit eenmaal is ingesteld, kunt u communiceren met alle VM's die zijn aangesloten op het vEthernet-poortprofiel dat voor uw PVLAN wordt gebruikt.

Probleemoplossing

In deze procedure wordt beschreven hoe de configuratie moet worden getest.

  1. Draai pings aan andere systemen die in de haven-groep zowel als de router of ander apparaat in de veelbelovende haven worden gevormd. Pings voorbij de veelbelovende haven en andere systemen in de gemeenschap moeten werken.

    116310-config-ucs-pvlan-00-29.png

  2. Alle andere problemen oplossen is hetzelfde als de geïsoleerde PVLAN.

Geïntegreerd PVLAN en Community PVLAN op VMware DVS Promiscuous Port op de DVS

Vanwege de configuratieproblemen in zowel het DVS- als het UCS-systeem worden PVLAN’s met DVS en UCS niet ondersteund voorafgaand aan versie 2.2(2c).

Verifiëren

Er bestaan momenteel geen verificatieprocedures voor deze configuraties.

Problemen oplossen

De vorige secties verschaften informatie die u kunt gebruiken om uw configuraties met problemen op te lossen.

De Output Interpreter Tool (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de Output Interpreter Tool om een analyse te bekijken van de output van de opdracht show.

TAC Authored

Bijgedragen door Cisco-engineers

  • Tommy Beard and Joseph Ristaino
    Cisco TAC Engineers.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten