Networking

Um Mandantenfähigkeit und Sicherheit zu gewährleisten, nutzt ONTAP eine hierarchische Netzwerkstruktur. Dies ermöglicht es, verschiedene Vserver über isolierte VLANs und IP-Bereiche anzubinden.

Die Netzwerk-Hierarchie

Die Struktur baut logisch aufeinander auf:

  1. Ethernet Port: Die physikalische Schnittstelle (z. B. e0a).
  2. VLAN Interface: Ein logischer Port auf Basis einer VLAN-ID (z. B. e0a-10).
  3. Broadcast Domain: Gruppiert Ports (physikalisch oder VLANs), die Layer-2 Erreichbarkeit haben.
  4. Subnet (Optional): Definiert den IP-Pool und das Gateway für eine Broadcast Domain.
  5. LIF (Logical Interface): Die IP-Adresse, die einem Vserver zugewiesen wird.

VLAN Management

VLANs ermöglichen es, den Traffic verschiedener Vserver auf Layer-2 Ebene zu trennen, selbst wenn sie dieselben physikalischen Ports nutzen.

VLAN erstellen

network port vlan create -node ontap-01 -port e0c -vlan-id 100

VLANs anzeigen

network port vlan show

Broadcast Domains

Eine Broadcast Domain (BD) definiert eine Menge von Netzwerk-Ports, die sich im selben Layer-2-Netzwerk befinden. ONTAP nutzt diese Information für das Failover: Eine IP (LIF) kann nur auf Ports innerhalb derselben BD migrieren.

Broadcast Domain erstellen

Hier werden die zuvor erstellten VLAN-Ports gruppiert:

network port broadcast-domain create -broadcast-domain BD_NFS_Prod -mtu 1500 -ports ontap-01:e0c-100,ontap-02:e0c-100

Ports einer Domain hinzufügen

network port broadcast-domain add-ports -broadcast-domain BD_NFS_Prod -ports ontap-01:e0d-100

Subnets (IP-Pool Management)

Subnets innerhalb einer Broadcast Domain vereinfachen die Zuweisung von IPs an LIFs und verwalten das Default Gateway.

Subnet erstellen

network subnet create -subnet-name Subnet_NFS -broadcast-domain BD_NFS_Prod -subnet 10.10.10.0/24 -gateway 10.10.10.1 -ip-ranges 10.10.10.10-10.10.10.50

Multi-Tenancy Setup

Sollen zwei Vserver über unterschiedliche VLANs isoliert werden, sieht der Workflow wie folgt aus:

  1. VLANs anlegen: e0a-10 für Vserver_A, e0a-20 für Vserver_B.
  2. Broadcast Domains:
    • BD_VLAN10 bekommt Port e0a-10.
    • BD_VLAN20 bekommt Port e0a-20.
  3. LIF Erstellung: Beim Erstellen der IP-Schnittstelle für den Vserver wird nun die entsprechende Broadcast Domain oder das Subnet gewählt.
network interface create -vserver svm_nfs_prod -lif lif_nfs_01 -service-policy default-data-files -home-node ontap-01 -home-port e0a-10 -subnet-name Subnet_NFS

Durch die Trennung in unterschiedliche Broadcast Domains verhinderst du, dass eine LIF von Vserver_A versehentlich auf einen Port von Vserver_B springt, wo sie aufgrund fehlender VLAN-Tagging-Konfiguration am Switch keine Verbindung hätte.

Troubleshooting

Erreichbarkeit prüfen (Ping vom Vserver)

Da der Cluster selbst viele IPs hat, muss ein Ping immer aus dem Kontext des jeweiligen Vservers und der LIF gesendet werden:

network ping -vserver svm_nfs-DR -lif lif_nfs_01 -destination 10.10.10.100

Port-Status und MTU-Check

Oft führen unterschiedliche MTU-Werte (z. B. 1500 vs. 9000 für Jumbo Frames) zu Performance-Problemen:

network port show -fields speed,mtu,link