Kiedy * nie * utworzyć SVI dla sieci V2 L2?

16

Podczas tworzenia sieci VLAN tylko dla L2 na przełączniku - routing będzie obsługiwany przez urządzenie w tej sieci VLAN, takie jak moduł równoważenia obciążenia - nie jest konieczne tworzenie interfejsu Vlan . W ramach przyzwyczajenia zawsze i tak tworzę interfejs - bez adresu IP - więc otrzymuję wszystkie bity interfejsu i statystyki pakietów w „interfejsie sh”.

Czy są jakieś negatywy, co moim zdaniem jest najlepszą praktyką, aby po prostu stworzyć interfejs L2?

Kiedy tworzysz lub nie tworzyć interfejs dla L2 VLAN?

Szukam odpowiedzi, które omawiają tylko sieci L2 VLAN, a nie zalety i przypadki użycia dla LI VLAN SVI.

Cisco zgłasza interfejs L2 jako EtherSVI na moim 6500 - brak adresu IP. Czy poprawne, czy niepoprawne jest nadal postrzeganie interfejsu L2 jako SVI, chociaż wszyscy wiemy, że zwykłym przypadkiem użycia jest adres IP do routingu? Pytanie dotyczy tylko tego, czy powinienem mieć ten interfejs L2. Widać tylko, że liczniki L2 są zwiększane, ale nadal dają pewną wartość.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco switch vlan generalnetworkerror
źródło
1
Wiem, że większość uważa, że ​​SVI oznacza, że ​​mamy interfejs z adresem IP. Interfejs L2 jest nadal zgłaszany jako SVI przez Cisco (EtherSVI). Czy błędnie używam terminu SVI zarówno dla interfejsów L3, jak i L2?
generalnetworkerror
1
Dlaczego tworzysz L2 SVI w pierwszej kolejności (z ciekawości)? Jeśli to urządzenie nie ma interfejsu L3 w tej sieci VLAN, to skąd pochodzą statystyki w sh int vl281powyższym wyjściu polecenia? Czy to urządzenie w pytaniu przetworzyło 74604ramki Ethernet we wszystkich portach warstwy 2 w sieci VLAN? Co możesz powiedzieć z tego wyjścia? Zakładam, że tworzysz te LI SVI do zbierania statystyk oraz debugowania / rozwiązywania problemów. Czy tworzysz je do użycia z pseudodrutami, mostkami i xconnectami?
jwbensley
2
Tworzę przede wszystkim SVI L2 do raportowania statystycznego (choć w ograniczonym stopniu) i widoczności na przełączniku, a także dla interfejsu SNMP dla Cacti (wykresy RRDTool). Pakiety 74604 poniżej L3 to tylko transmisje pokazane w następnym wierszu „Odebrano transmisje 74604”. Nie ma innego powodu, aby je tworzyć, z wyjątkiem wygody zdefiniowania wszystkich interfejsów, czy to L2 czy L3.
generalnetworkerror

Odpowiedzi:

11

Możesz nie chcieć tworzyć LI SVI, jeśli używasz przycinania VTP. Jeśli przycinanie jest włączone, nieużywana sieć VLAN zostanie przycięta z pnia, co spowoduje mniej niepotrzebnego ruchu nadawczego / zalewającego. Jednak utworzenie SVI powoduje utworzenie „aktywnego” interfejsu na przełączniku. Szybkie sprawdzenie w GNS3 zapewnia:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Teraz, jeśli przejdę do R2, połączonego z Fa1 / 0 i piszę R2(config)#int vlan 3, zobaczymy:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Jak widać, w VLAN 3 nie ma interfejsów, z wyjątkiem SVI. I z powrotem na R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Jak widać, VLAN 3 właśnie pojawił się na bagażniku , zwiększając natężenie ruchu na twoich łączach.

JelmerS
źródło
8

Nie powiedziałbym, że najlepszą praktyką jest utworzenie SVI. Jednak nie sądzę, że będzie dużo problemu, jeśli go utworzysz. Na przykład Catalyst 3750 obsługuje 1000 SVI, których prawdopodobnie nie trafisz.

P: Ile plików SVI można utworzyć na przełącznikach Cisco Catalyst 3750 Series? A. Można utworzyć do 1000 SVI. Jednak maksymalna liczba plików SVI zależy od liczby tras i wpisów multiemisji. Na przykład przełącznik może obsługiwać 64 SVI z 8000 trasami i 250 wpisami multiemisji.

Z mojego doświadczenia nie można ufać licznikom SVI.

Daniel Dib
źródło
Wymagane jest, aby nie mieć SVI z adresem IP. To stworzyłoby pozycję tablicy routingu i naprawdę bałaganiłoby routingu za pomocą modułu równoważenia obciążenia. Rozumiem, że liczniki zwiększają się tylko, gdy nie są przełączane sprzętowo.
generalnetworkerror
Przepraszam, chodziło mi o to, że nie sądzę, że najlepszą praktyką jest tworzenie SVI, ale nie widzę też w tym żadnej szkody. Edytowałem moją odpowiedź.
Daniel Dib
1
Tłumaczenie: zajmuje przestrzeń tcam / fib / idb / etc, którą można wykorzystać do innych pożądanych funkcji.
Ricky Beam
6

Nigdy nie tworzę SVI, jeśli nie ma specjalnych wymagań. Nie widzę żadnych wad, ale bez dodawania bezużytecznych linii utrzymujesz czystość konfiguracji urządzenia. Może to pomóc podczas sesji rozwiązywania problemów.

Calin Chiorean
źródło
5

SVI jest przydatny, gdy musisz zapewnić usługę Layer3 podłączonym portom Ethernet.

Interfejsy SVI zapewniają skuteczny sposób dołączania usług routingu IP do sieci Ethernet Vlan, która już istnieje na przełączniku. Skutecznie oszczędza to kupowania zewnętrznego routera tylko w celu oferowania HSRP lub dynamicznych protokołów routingu.

Kiedy nie tworzysz SVI dla sieci V2 L2?

Gdy nie chcesz, aby użytkownicy mieli dostęp do tych funkcji lub nie chcesz komplikować konfiguracji. To tylko kwestia gustu ... Nigdy nie definiuję SVI, chyba że potrzebuję usług routingu IP na Vlan ... ale wolę minimalne konfiguracje tam, gdzie to możliwe.

Mike Pennington
źródło
Wyjaśniłem pytanie ... nie szukam odpowiedzi L3.
generalnetworkerror
4

Nie uważam tego za najlepszą praktykę, ponieważ jeśli nie chcesz, aby przełącznik zapewniał funkcjonalność L3, nie jest on potrzebny ani przydatny. Teraz chcę poprzedzić resztę tego, mówiąc, że nigdy tego nie zrobię, chyba że chcę funkcjonalności L3, więc mogę się mylić.

Wspominasz o licznikach, ale liczniki nie powinny się zwiększać, chyba że ruch będzie wchodził lub wychodził z interfejsu. Podejrzewam, że jeśli użyjesz SVI, jak wspomniałeś, nie zobaczysz oczekiwanego ruchu.

Miałbym również obawy co do tego, co zrobiłby przełącznik z niektórymi funkcjami i nie czułbym się komfortowo, testując je. Na przykład, jeśli nie wyłączyłeś również proxy-arp na SVI, czy nadal będzie odpowiadał adresem MAC SVI dla hostów w innych sieciach VLAN? Podejrzewam, że tak, a jeśli tak, to czy przekieruje ten ruch do innej sieci VLAN?

YLearn
źródło
2

Dodanie osiągalnego adresu IP dla sieci VLAN jest potencjalnie niebezpieczne z punktu widzenia bezpieczeństwa.

Jest to również zagrożenie z punktu widzenia stabilności, ponieważ ruch w kierunku adresu IP (w tym ARP, IPv6 ND itd.) Trafia do kolejki na procesor. Jeśli masz prostą sieć VLAN tylko z L2, oprócz protokołów L2 (haha) nie ma nic, co mogłoby wpłynąć na sytuację przełącznika i jego płaszczyzny sterowania. Jeśli dodasz informacje o osiągalności L3, nagle masz do czynienia z tym, co L3 ma do zaoferowania, w tym z protokołami routingu, blackholingiem, ograniczonymi wpisami FIB, potencjalnie także różnymi modelami QoS możliwymi w przypadku L2 vs L3.

W jakikolwiek sposób zwiększasz złożoność sieci. Złożoność jest zła.

Jak mówi reguła KISS, NIE „automatycznie” dodajesz SVI do L2 VLAN. Jeśli dotyczy tylko L2, dodałbym go nawet do „opisu” interfejsu.

Łukasz Bromirski
źródło
Wszyscy się rozłączają na L3 w SVI. Może używam niepoprawnego terminu. Pytam o po utworzeniu vlan x, czy są zalety lub wady przejścia do interfejsu vlan x, który tworzy interfejs vlan i nie jest skonfigurowany z adresem IP.
generalnetworkerror
3
W tym sensie wszystko będzie zależeć od architektury danego pudełka. Dzięki Cisco Catalysts dodajesz interfejs IDB do IDB, ale nie dodajesz wpisu trasy (wraz z żądaniem miejsca w TCAM). W każdym razie operacyjnym pro jest to, że możesz „ustabilizować” indeksy SNMP w ten sposób, a oszustwo może w pewnym momencie chcieć „naprawić” konfigurację niektórych usług, dodając adres IP, gdy zobaczy interfejs utworzony bez adresu IP .
Łukasz Bromirski
0

Istnieje kilka platform, takich jak mój „ulubiony” 6500, które mogą wywoływać silne negatywne reakcje na niektóre rodzaje lub ilości ruchu, który po prostu całkowicie przełączony przez router staje się inną historią po utworzeniu SVI. zwykle byłby to ruch nie-ip, ale bardzo trudny do przewidzenia.

Aaron
źródło
0

Jeśli przedmiotowa sieć VLAN jest „prywatna”, która nie jest nigdzie trasowana przez L3 (powiedzmy pulsem klastra), SVI na przełączniku warstwy 2 pozwoli Twojemu NOC na pingowanie interfejsów i uzyskanie tabel ARP, co jest wielką pomocą w rozwiązywaniu problemów. Jeśli twoja sieć VLAN jest przekierowywana, nie ma żadnej wielkiej korzyści, z wyjątkiem tymczasowego działania w celu udowodnienia, że ​​sieć VLAN jest połączona z tym przełącznikiem (niektórzy serwery potrzebują dowodu) przez pingowanie domyślnej bramy dla tej sieci VLAN z przełącznika

Fredpbaker
źródło