안녕하세요.
이번 포스팅은 기존에 한 줄 알았는 데.. 안 한(?) 정리만 해놓고... 안한 포스팅인 듯 싶습니다.
어쩌면 다른 제목으로 했을지도 모르겠지만.. 최근에 추가한 내용들도 있어서 ^^
Nexus 시리즈로 포스팅해 봅니다. ^^
VLAN
• VDC별로 4094개의 VLAN이 지원되며, 전 시스템에서는 16,384개의 VLAN이 지원이 되지만, 특정 VLAN은 System-Level에 의해서
사용되거나 예약되어 있기 때문에 사용이 불가하다. 이러한 Vlan을 확인하는 명령어는 다음과 같다. [ Show vlan internal usage ]
• 각 VLAN별의 특징은 다음과 같다
- VLAN 1 : Default VLAN으로 수정 및 삭제가 불가
- VLAN 2-1005 : Normal VLAN으로 생성, 사용, 수정, 삭제가 가능
- VLAN 1006-4094 : Extended VLAN으로 생성, 명명(named), 사용이 가능하며, 항상 Active 상태이며,
항상 Enable 상태로 shutdown이 불가하다.
• 각 VDC간의 VLAN은 독립적으로 운용되기 때문에 VLAN번호가 VDC간에 중복되어도 상관없다
• System-Level에서 예약된 VLAN 정보는 'show vlan internal usage' 명령으로 확인이 가능하다.
• System-Level에서 예약된 VLAN은 Nexus 7K와 Nexus 5K가 서로 다르다.
- Nexus 7K : 128개 - Nexus 5K : 81개
|
NX-OS_7K# show vlan internal usage VLAN DESCRIPTION ---------------- ---------------------------------------------------- 3968-4031 Multicast
NX-OS_5K# show vlan internal usage VLAN DESCRIPTION ---------------- ---------------------------------------------------- 3968-4031 Multicast |
• System-Level에서 설정된 Reserved VLAN 번호를 변경하고자 할 때에는 'system vlan Start_Vlan_Number reserve' 로 변경한다.
변경 시에는 지정한 Reserved VLAN의 첫 번째 번호부터, N7K는 연속된 128개의 VLAN이 Reserved VLAN으로 할당되고
N5K는 연속된 80개의 VLAN과 4094가 Reserved VLAN으로 사용할 수 있게 된다.
Private VLAN 개념
• Private VLAN은 하나의 VLAN을 독립된 다수의 VLAN처럼 쓸 수 있게 해준다.
이는 Data Center의 Server Farm 안의 동일 Subnet에서 각 서버들을 분리시켜주어 보안을 강화시켜준다.
Private VLAN 구분
• Primary VLAN
- Promiscuous Port : Secondary VLAN이 외부와 통신하기 위한 목적으로 사용된다.
Community / Isolated VLAN 를 포함한 모든 Port와 통신 가능.
• Secondary VLAN
- Community VLAN : 동일한 Community VLAN과 Promiscuous Port와 통신이 가능하지만
다른 Community VLAN이나, Isolated VLAN과는 통신 불가.
- Isolated VLAN : 각각 독립적 port로 통신. Isolated VLAN 간은 통신 불가. 단, Promiscuous Port와는 통신이 가능.
Private VLAN 유용성
• IP Address 관리 측면
: IP Address의 사용할 수 있는 범위가 많아짐. (불필요하게 VLAN을 많이 나누게 되면 그만큼 사용 가능한 IP범위가 줄어 듬)
: IP Subnet이 많아지면, latency 가 증가함. (성능적인 측면?)
• 보안 측면
: Community VLAN은 동일한 Community VLAN 간에서만 통신 가능하고, Isolated는 독립적으로 통신이 되기 때문에
L2에서의 보안을 강화 시켜준다.
Private VLAN 특징
• private-vlan : Feature 활성화 필요.
• Private Vlan 동일한 Subnet과 Gateway를 그대로 사용.
• Isolated VLAN 간에는 unicast, multicast, broadcast 모두 통신이 불가하다.
• 하나의 Primary VLAN에는 하나의 Isolated VLAN만 설정이 가능하다.
• 하나의 Primary VLAN에 포함된, Secondary VLAN은 하나 이상의 Promiscuous Port에 연결될 수 있으며,
이는 Load-Balancing이나 redundancy 목적으로 사용이 된다.
• Secondary VLAN이 Promiscuous Port와 연결되지 않으면, 해당 Secondary VLAN은 외부와 통신이 불가능하다.
• Private VLAN에서 Layer3 Switch traffic이 내부 VLAN과 통신하기 위해서 Primary VLAN의 SVI에 Secondary의 VLAN
관계 설정이 되야 한다.
• SVI는 Secondary VLAN으로 설정이 불가하다.
• Ether-Channel이나 SPAN의 목적지 Port는 Private VLAN이 될 수 없다.
Private VLAN 설정
1. Private VLAN feature를 활성화한다.
2. Primary VLAN을 생성 및 설정한다.
3. 필요에 따라 Community Vlan과 Isolated Vlan 을 설정한다.
4. Primary vlan에 Secondary Vlan을 관계를 설정한다.
5. Layer 2 Host Port 설정
6. Promiscuous Port 설정
7. Primary VLAN의 SVI와 Secondary VLAN과의 관계 설정
|
NX-OS(config)# feature private-vlan NX-OS(config)# vlan 10 NX-OS(config-vlan)# private-vlan primary
NX-OS(config)# vlan 20-21 NX-OS(config-vlan)# private-vlan community-vlan NX-OS(config)# vlan 22 NX-OS(config-vlan)# private-vlan isolated NX-OS(config)# vlan 10 NX-OS(config-vlan)# private-valn association 20-21 NX-OS(config-vlan)# private-valn association add 22 NX-OS(config)# interface ethernet 5/2 NX-OS(config-if)# switchport NX-OS(config-if)# switchport mode private-vlan host NX-OS(config-if)# switchport private-vlan host-association 10 21
NX-OS(config)# interface ethernet 3/1 NX-OS(config-if)# switchport NX-OS(config-if)# switchport private-vlan promiscuous NX-OS(config-if)# switchport private-vlan mapping 10 20-22 NX-OS(config)# interface vlan 10 NX-OS(config-if)# private-vlan mapping 20-22 |
녕