51CTO下载-Nexus 1000v使用手册1.doc

Nexus 1000v使用手册1. 相关介绍1.1. 产品组成Cisco Nexus 1000v是在VMware vSphere环境下运行的纯软件交换机。由两部分组成：The Virtual Supervisor Module (VSM)控制平面，是一台运行NX-OS的虚拟机；The Virtual Ethernet Module (VEM) 嵌入在每台VMware vSphere主机中的虚拟线卡。虚拟分布式交换机：如果丢失了与虚拟控制引擎模块的连接，VEM具有不间断转发功能，能根据最近了解的配置来继续交换流量。简言之，VEM 为服务器虚拟化环境提供了高级交换功能和数据中心可靠性。1.2. 工作原理VSM和VEM1.3. Private VLAN1.3.1. 概述PVLAN采用两层VLAN隔离技术， 只有高级别VLAN全局可见，下层VLAN相互隔离。如果将交换机每个端口划归到一个低级别VLAN，则实现了所有端口的隔离。1.3.2. PVLAN中的VLAN类型1、每个PVLAN 包含2种VLAN ： 主VLAN（Primary VLAN）。 辅助VLAN（Secondary VLAN）。 2、辅助VLAN （Secondary VLAN）包含两种类型： 隔离VLAN（Isolated VLAN）。 团体VLAN（Community VLAN）。1.3.3. PVLAN中的端口类型处在PVLAN中的交换机物理端口，有两种接口类型：混杂端口（Promiscuous Port）是隶属于“Primary VLAN”的端口，该端口能够容纳多个Secondary VLAN的流量【不管Secondary VLAN的类型是“团体”还是“隔离”】。主机端口（Host Port）隶属于“Secondary VLAN”的。因为“Secondary VLAN”是具有两种属性的，那么，处于“Secondary VLAN”当中的“主机端口”依“Secondary VLAN”属性的不同而不同，也就是说“主机端口”会继承“Secondary VLAN”的属性。那么由此可知，“主机端口”也分为两类“isolated端口”和“community端口”。 1.3.4. PVLAN通信范围： 1、Primary VLAN:可以和所有他所关联的isolated VLAN、community VLAN通信。 2、Community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与PVLAN中的promiscuous端口通信。 （每个PVLAN可以有多个community VLAN） 3、Isolated VLAN:不可以和处于相同isolated VLAN内的其它isolated port通信，只可以与promiscuous端口通信。（每个PVLAN中只能有一个isolated VLAN） 2. 安装2.1. 安装准备2.1.1. 安装准备安装之前，应确保本机能和vCenter能通信，本机应安装java TM插件，推荐6.0版本。到cisco官网上下载Nexus 1000v Switch 软件：2.1.2. 规划准备安装之前应规划好相应的安装参数和所需数据，如下表：vCenter IP7/26用户名/密码administration/*安装的ESXI主机地址7安装的存储名VMdata交换机的管理IP2/192网关manage、packet、control vlan662.2. 安装VSM1、解压从cisco官网上下载的Nexus 1000v软件压缩包，可在XML-API文件夹下找到；2、 通过cmd命令行中输入命令 ：java -jar 文件路径Nexus1000V-install.jar VSM运行VSM安装程序；3、输入vCenter的IP地址、端口、用户名和密码，点击下一步;选择Nexus 1000v安装的主机，点击下一步;选择Install文件夹下的1000v ova模板、设置系统冗余模式、虚拟机名以及安装的存储位置;配置交换机工作模式以及各交换机内部通信参数；配置交换机的初始参数；配置信息汇总；安装程序进行安装部署，可通过vCenter打开该1000v虚拟机查看安装过程；出现下图界面说明VSM与vCenter注册成功，选择NO 不进行迁移；VSM安装完成；用SSH登陆交换机，可以用show module 命令查看交换机模块；用命令show svs connection 可以查看VSM和vCenter的连接信息；2.3. 安装VEM在cmd命令行中输入：Java -jar 路径 Nexus1000V-install.jar VEM即可开始VEM的安装；填写vCenter的相关连接参数；填写VSM的相关连接参数；选择需要安装VEM的主机；安装信息汇总；安装结束及相关安装结果；3. 配置3.1. 基本配置基本配置其实在初始安装的时候就已经做完了，这里也把相关命令列出，以便后期修改用：username admin password Cisco123 建立或修改用户hostname N1000V 设置或修改交换机名feature private-vlan 开启pvlan特性vrf context management ip route /0 设置默认路由interface mgmt0 ip address 2/26 设置管理地址boot kickstart bootflash:/nexus-1000v-kickstart-mz.4.2.1.SV1.5.1.bin sup-1boot system bootflash:/nexus-1000v-mz.4.2.1.SV1.5.1.bin sup-1 boot kickstart bootflash:/nexus-1000v-kickstart-mz.4.2.1.SV1.5.1.bin sup-2boot system bootflash:/nexus-1000v-mz.4.2.1.SV1.5.1.bin sup-2设置镜像启动路径，用于ios升级svs-domain domain id 111 设置域的代号 control vlan 66 控制vlan packet vlan 66 包vlan svs mode L2 设置交换机工作模式 有二层和三层之分svs connection vcenter 设置与vcenter的连接 protocol vmware-vim 连接协议类型 remote ip address 7 port 80 vcenter的ip地址和端口号 Vmware dvs datacenter-name 10Home-58 设置数据中心名 Connect 连接Copy running-config starting-config /保存配置Copy running-config tftp： /保存配置到TFTP服务器3.2. Vlan配置vlan 800-808 /配置vlan号 private-vlan isolated /配置vlan为pvlan的孤立端口vlan 80 /配置vlan号 private-vlan primary /配置vlan为pvlan的主vlan private-vlan association 800 /将孤立vlan800关联到主vlan80中vlan 1,66 /还需建立其他的管理vlan等3.3. 上行端口组配置3.3.1. Pvlan模式port-profile type ethernet system-uplink /定义端口类型和命名 vmware port-group /定义端口组 switchport mode private-vlan trunk promiscuous /定义端口组的二层模式 switchport trunk allowed vlan 1-3967,4048-4093 /定义允许的vlan switchport private-vlan mapping trunk 80 800 /定义pvlan映射 switchport private-vlan trunk allowed vlan 1-3967,4048-4093/定义允许的pvlan no shutdown /开启端口 system vlan 1,66 /定义系统vlan state enabled /端口组生效3.3.2. 普通模式port-profile type ethernet sys-uplink /定义端口类型和命名 vmware port-group /定义端口组 switchport mode trunk /定义端口组的二层模式 switchport trunk allowed vlan 1-3967,4048-4093 /定义允许的vlan no shutdown /开启端口 system vlan 1,66 /定义系统vlan state enabled /端口组生效3.3.3. 将物理主机添加到上行端口组配置好上行物理链路的port profile后即可在vCenter的主页清单网络里面添加主机，如下图：选择需要添加到Nexus 1000v交换机中的主机；将各主机的相应网卡选中并分配到上行链路物理端口组中；在下一步的是否将标准交换机的网络迁移到1000v上选择不迁移；确认最后的配置信息，添加主机完成；添加成功后可以看到各网卡状态：3.4. 下行端口组配置3.4.1. Pvlan模式port-profile type vethernet gcb-vdi-80 /定义端口类型和命名 vmware port-group /定义端口组 switchport mode private-vlan host /定义端口组的二层模式 switchport private-vlan host-association 80 800 /定义主次vlan的关联 no shutdown /开启端口 state enabled /端口组生效3.4.2. 普通模式port-profile type vethernet gcb-80 /定义端口类型和命名 vmware port-group /定义端口组 switchport mode access /定义端口组的二层模式 switchport access vlan 80 /分配端口组所属vlan no shutdown /开启端口 state enabled /端口组生效3.4.3. 将VM主机分配到下行端口组建立下行端口组后，即可在vCenter的主页清单网络的1000V交换机中看到新建立的下行端口组。进入主页清单主机和群集中，选中需要分配的VM主机右键然后点击编辑设置，如下：在新出现的选项卡中选中要设置的网络适配器，在网络标签里选中需要分配的端口组，确定即可；3.5. 测试3.5.1. 安装情况测试在Nexus 1000v交换机中用命令 show module 可以看到交换机引擎（VSM）和交换机接口模块（VEM）的连接情况：使用命令show interface brief可以查看各物理接口的状态；在vCenter中，可以通过主机清单网络下的N1000V的配置子选项查看各端口组合接口的状态，如下图：在主机选项卡中可以查看关联到这个交换机的物理主机；这说明VSM和VEM都已正常运行，并关联到vCenter中。3.5.2. 应用测试新建两个VM主机2008和2008-1，并分别将它们分配到同一个port profile（即同一个vlan）里面，如下图所示：分别将两个VM主机的IP地址设置为和，网关设置为，如下图：分别在两个VM主机上用ping命令测试到本机网卡的连通性，均能正常通信，说明网卡正常工作；分别在两个VM主机上用ping命令测试到1000v交换机的连通性，均能正常通信：分别在两个VM主机上用ping命令测试到网关（核心交换机）的连通性，均能正常通信：分别在两个VM主机上用ping命令测试到对方的连通性，均不能通过，这说明pvlan已经将同一个pvlan内的主机隔离，如下图：3.5.3. 高可用测试同时关闭两个N1000V虚拟机（即两个引擎），如下图：关闭两个N1000v虚拟机后，如下图：可以发现交换机引擎关闭前后ping测试没有掉包，且没有延迟波动，这说明即使控制层面当机，也不影响数据转发层面的正常工作。4. 维护4.1. 常用维护命令4.1.1. 常用系统查看命令show system resources /查看系统资源使用情况show processes cpu /查看CPU详细使用情况Show svs connection /查看vecter的连接信息Show module /查看交换机模块Show running-config /查看交换机配置Show license host-id /查看主机ID4.1.2. 常见故障处理Nexus 1000v是软件交换机，稳定性高，通常出现故障都是因为运行环境、配置的改变导致，常见故障及其处理如下：1、 VSM与vCenter的连接故障VSM与vCenter的连接故障可用命令Show svs connection查看详细信息，如下：处理方法：a、 在Nexus 1000v上ping vCenter的IP地址，看网络是否可达，如不可达检查交换机管理vlan与vCenter的vlan是否配置错误或做了控制b、 查看vCenter的80和443端口是否开启。c、 查看vCenter服务器的服务是否开启d、 在交换机上重新连接下vCenter，命令如下：n1000v# config tn1000v(config)# svs connection s1n1000v(config-svs-conn)# no connectn1000v(config-svs-conn)# connect2、 VSM与VEM的连接故障VSM与VEM的连接故障通常是由于网络连通性、packet vlan和control vlan的配置错误导致，现象表现为在vCenter的分布式交换机里找不到主机、在Nexus 1000v里没有相应的VEM，如下：show mac address-table dynamic interface vlan control-vlan /查看control-vlan的mac地址表show mac address-table dynamic interface vlan packet-vlan /查看packet-vlan的mac地址表show mac address-table dynamic interface vlan manage-vlan /查看manage-vlan的mac地址表4.2. 相关授权配置4.2.1. 授权文件的安装Nexus 1000v安装后需要进行相关授权的注册，每个VEM上的每个CPU都需要一个授权，与CPU内核无关。如果有多个license需要导入到VSM上，请更改license名以确保文件名不相同。安装授权方式如下：a、 查看交换机主机ID使用命令show license host-id 查看主机ID，如下：b、 在购买的软件授权证明里找到product authorization key (PAK)。c、 在思科官网上注册一个cco账号。d、 登陆/SWIFT/Licensing/PrivateRegistrationServlet，输入PAK，如下：e、 填写主机IDf、 填写eMail地址等信息，点击完成，相关的授权文件就会通过eMail的形式发送到邮箱，将授权文件下载到本地并放到一个TFTP服务器上。g、 在Nexus 1000v上使用如下命令将授权文件上传到VSM：n1000v copy TFTP:0/n1kv_license.lic bootflash: n1kv_license.lic 100% 252 0.3KB/s 00:00n1000vh、 安装授权文件，如下：n1000v# install license bootflash:license_file.lic Installing license .done i、 查看安装的授权文件及使用情况，如下：n1000v# show license file license_file.licSERVER this_host ANYVENDOR ciscoINCREMENT NEXUS1000V_LAN_S