Когда * не * для создания SVI для VLAN L2?

При создании VLAN только для L2 на коммутаторе - маршрутизация будет обрабатываться устройством в этой VLAN, таким как балансировщик нагрузки, - нет необходимости создавать интерфейс VLAN . По привычке я всегда создаю интерфейс - без IP-адреса - поэтому я получаю все биты интерфейса и статистику пакетов в «sh interface».

Есть ли какие-то недостатки в том, что я считаю лучшей практикой - просто создать интерфейс L2?

Когда вы создаете или не создаете интерфейс для L2 VLAN?

Я ищу ответы, в которых обсуждаются только VLAN L2, а не достоинства и варианты использования SVI L3 VLAN.

Cisco сообщает об интерфейсе L2 как EtherSVI на моем 6500 - нет IP-адреса. Правильно или неправильно все-таки думать об интерфейсе L2 как о SVI, хотя мы все знаем, что обычным вариантом использования является наличие IP-адреса для маршрутизации? Вопрос только в том, должен ли я вообще иметь этот интерфейс L2. Вы можете видеть, что только счетчики L2 увеличиваются, но все еще дают некоторое значение.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Возможно, вы не захотите делать L2 SVI, если используете VTP-отсечение. Если обрезка включена, неиспользуемая VLAN будет удалена из транка, что приведет к уменьшению ненужного широковещательного / затопляющего трафика. Однако, создав SVI, вы создадите «активный» интерфейс на вашем коммутаторе. Быстрая проверка в GNS3 дает следующее:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Теперь, если я пойду в R2, подключусь к Fa1 / 0 и наберу R2(config)#int vlan 3, мы увидим следующее:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Как видите, в VLAN 3 нет интерфейсов, кроме SVI. И вернемся на R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Как вы можете видеть, VLAN 3 только что появился на соединительной линии , увеличивая уровни трафика на соединительных линиях.

Я бы не сказал, что лучше всего создавать SVI. Однако я не думаю, что будет большая проблема, если вы создадите ее. Например, Catalyst 3750 поддерживает 1000 SVI, в которые вы вряд ли попадете.

В. Сколько SVI можно создать на коммутаторах Cisco Catalyst серии 3750? О. Можно создать до 1000 SVI. Однако максимальное количество SVI зависит от количества маршрутов и многоадресных записей. Например, коммутатор может поддерживать 64 SVI с 8000 маршрутов и 250 многоадресных записей.

Исходя из моего опыта, счетчикам SVI нельзя доверять.

Я никогда не создаю SVI, когда к нему нет особых требований. Я не вижу недостатков, но без добавления бесполезных строк вы сохраняете конфигурацию вашего устройства в чистоте. Это может помочь во время сеансов устранения неполадок.

SVI полезен, когда вы должны предоставить сервис Layer3 для подключенных портов Ethernet.

SVI обеспечивают эффективный способ подключения сервисов IP-маршрутизации к Vlan Ethernet, который уже существует на коммутаторе. Это эффективно избавляет вас от покупки внешнего маршрутизатора только для того, чтобы предложить HSRP или протоколы динамической маршрутизации.

Когда вы не создаете SVI для VLAN L2?

Если вы не хотите, чтобы пользователи имели доступ к этим функциям, или не хотите усложнять настройку. Это просто вопрос вкуса ... Я никогда не определяю SVI, если мне не нужны службы IP-маршрутизации на Vlan ... но я предпочитаю минимальные конфигурации, где это возможно.

Я бы не считал это лучшей практикой, так как если вы не хотите, чтобы коммутатор предоставлял функциональность L3, он не нужен или бесполезен. Теперь я хочу предварить остальное, сказав, что никогда не сделаю этого, если не хочу функциональность L3, поэтому я могу ошибаться.

Вы упоминаете счетчики, но счетчики не должны увеличиваться, если трафик не «входит» или «выходит» из интерфейса. Я подозреваю, что если вы охватите SVI, использованный, как вы упомянули, вы не увидите ожидаемый трафик.

Я также был бы обеспокоен тем, что коммутатор будет делать с определенными функциями, и не чувствовал бы себя комфортно при их тестировании. Например, если вы не отключили proxy-arp в SVI, будет ли он по-прежнему отвечать MAC-адресом SVI для хостов в других VLAN? Я подозреваю, что может, и если это произойдет, будет ли он направлять этот трафик в другую VLAN?

Добавление достижимого IP для VLAN потенциально опасно с точки зрения безопасности.

Это также угроза с точки зрения стабильности, так как трафик к IP (включая ARP, IPv6 ND и т. Д.) Попадает в очередь в ЦП. Если у вас есть простая VLAN только с L2, то кроме протоколов L2 (ха-ха) нет ничего, что могло бы повлиять на ситуацию с коммутатором и его плоскостью управления. Если вы добавите информацию о достижимости L3, вы вдруг столкнетесь с тем, что может предложить L3, включая протоколы маршрутизации, черное выделение, ограниченные записи FIB, потенциально также возможные модели QoS при работе с L2 против L3.

В любом случае, вы добавляете сложность в сеть. Сложность плохая.

Как гласит правило KISS, вы НЕ «автоматически» добавляете SVI в L2 VLAN. Если бы он был только для операции L2, я бы даже добавил его в «описание» интерфейса.

Есть некоторые платформы, такие как мой «любимый» 6500, у которых могут быть сильные негативные реакции на некоторые типы или объемы трафика, что просто прекрасно, когда полное переключение через маршрутизатор становится другой историей, когда вы создаете SVI. как правило, это будет не-IP-трафик, но его очень сложно предсказать.

Если рассматриваемая VLAN является «частной», которая нигде не маршрутизируется L3 (скажем, пульс кластера), SVI на коммутаторе уровня 2 позволит вашему NOC пинговать интерфейсы и получит таблицы ARP, что очень поможет при устранении неполадок. Если соответствующая VLAN маршрутизируется, нет большой выгоды, кроме как в качестве временной меры, чтобы доказать, что VLAN соединена с этим коммутатором (некоторые серверные парни нуждаются в подтверждении), пропингуя шлюз по умолчанию для этой VLAN от коммутатора.