Quando * non * per creare una SVI per una VLAN L2?

16

Quando si creano VLAN solo per L2 su uno switch - il routing verrà gestito da un dispositivo all'interno di quella VLAN come un bilanciamento del carico - non è necessario creare l'interfaccia vlan . Per abitudine, creo sempre comunque l'interfaccia - nessun indirizzo IP - quindi ottengo tutti i bit dell'interfaccia e le statistiche dei pacchetti in "interfaccia sh".

Ci sono aspetti negativi di ciò che penso sia una buona pratica per creare semplicemente l'interfaccia L2?

Quando si crea o meno l'interfaccia per una VLAN L2?

Sto cercando risposte che trattino solo VLAN L2, non meriti e casi d'uso per SVI LLAN V3.

Cisco riporta un'interfaccia L2 come EtherSVI sul mio 6500 - nessun indirizzo IP. È corretto o errato pensare ancora a un'interfaccia L2 come a una SVI anche se sappiamo tutti che il solito caso d'uso è avere un indirizzo IP per il routing? La domanda è solo se dovrei avere questa interfaccia L2 in primo luogo. Puoi vedere solo i contatori L2 sono incrementati, ma danno comunque un certo valore.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco  switch  vlan 
generalnetworkerror
fonte
1
So che quasi tutti ritengono che una SVI significhi che abbiamo un'interfaccia con un indirizzo IP. Un'interfaccia L2 è ancora segnalata come SVI da Cisco (EtherSVI). Sbaglio a usare il termine SVI per entrambe le interfacce L3 e L2?
generalnetworkerror
1
Perché crei SV2 L2 in primo luogo (per curiosità)? Se questo dispositivo non ha un'interfaccia L3 in questa VLAN, da dove sh int vl281provengono le statistiche nell'output dei comandi sopra? Quindi questo dispositivo nella tua domanda ha elaborato 74604frame Ethernet su tutte le porte di livello 2 nella VLAN? Cosa puoi dire da quell'output? Presumo che tu crei questi SVI L2 per la raccolta delle statistiche e il debug / risoluzione dei problemi. Li crei per usarli con pseudowires, spose e xconnects invece?
jwbensley,
2
Creo principalmente SVI L2 per il reporting statistico (anche se limitato) e la visibilità sullo switch, nonché per un'interfaccia SNMP walk for Cacti (grafici RRDTool). I pacchetti 74604 sotto L3 sono solo trasmissioni mostrate dalla riga successiva "Ricevute 74604 trasmissioni". Nessun altro motivo per crearli tranne il comfort nell'avere tutte le interfacce definite se L2 o L3.
generalnetworkerror

Risposte:

11

Potrebbe non essere necessario creare una SVI L2 se si utilizza la potatura VTP. Se la potatura è attiva, una VLAN non utilizzata verrà eliminata dal trunk, con conseguente riduzione del traffico di trasmissione / allagamento non necessario. Tuttavia, la creazione di una SVI crea un'interfaccia "attiva" sul tuo switch. Un rapido controllo in GNS3 fornisce quanto segue:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Ora, se vado a R2, collegato a Fa1 / 0 e digitare R2(config)#int vlan 3, vedremo quanto segue:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Come puoi vedere, nessuna interfaccia in VLAN 3, tranne SVI. E di nuovo su R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Come puoi vedere, VLAN 3 è appena arrivata sul trunk , aggiungendo ai livelli di traffico sui tuoi trunk.

JelmerS
fonte
8

Non direi che è consigliabile creare una SVI. Tuttavia, non penso che ci sarà un grosso problema se lo crei. Ad esempio, Catalyst 3750 supporta 1000 SVI che non si rischia di colpire.

D. Quante SVI possono essere create sugli switch Cisco Catalyst serie 3750? A. È possibile creare fino a 1000 SVI. Tuttavia, il numero massimo di SVI dipende dal numero di route e voci multicast. Ad esempio, lo switch può supportare 64 SVI con 8000 route e 250 voci multicast.

Dalla mia esperienza, i contatori su SVI non possono davvero essere attendibili.

Daniel Dib
fonte
È necessario non avere la SVI con un IP. Ciò creerebbe una voce della tabella di routing e rovinerebbe davvero il routing con il bilanciamento del carico. Comprendo che i contatori si incrementano solo quando non si cambia hardware.
generalnetworkerror
Spiacenti, intendevo dire che non credo sia meglio creare una SVI, ma non vedo alcun danno nel farlo. Modificato la mia risposta.
Daniel Dib,
1
Traduzione: occupa spazio tcam / fib / idb / etc che potrebbe essere usato per altre funzioni desiderabili.
Ricky Beam,
6

Non creo mai una SVI quando non vi sono requisiti speciali per questo. Non vedo alcun aspetto negativo, ma senza l'aggiunta di linee inutili si mantiene pulita la configurazione del dispositivo. Questo può aiutare durante le sessioni di risoluzione dei problemi.

Calin Chiorean
fonte
5

Una SVI è utile quando è necessario fornire un servizio Layer3 agli switchport Ethernet collegati .

Le SVI forniscono un modo efficiente per collegare i servizi di routing IP a un Vlan Ethernet già esistente su uno switch. Ti risparmia efficacemente dall'acquisto di un router esterno solo per offrire HSRP o protocolli di routing dinamico.

Quando non si crea la SVI per una VLAN L2?

Quando non vuoi che gli utenti siano esposti a tali funzionalità o non vuoi complicare la configurazione. Questa è solo una questione di gusti ... Non definisco mai una SVI, a meno che non ho bisogno di servizi di routing IP su un Vlan ... ma preferisco configurazioni minime dove possibile.

Mike Pennington
fonte
Ho chiarito la domanda ... non cercavo risposte L3.
generalnetworkerror
4

Non lo considero una best practice, poiché se non si desidera che lo switch fornisca funzionalità L3, non è necessario o utile. Ora, voglio prefigurare il resto dicendo che non lo faccio mai se non voglio la funzionalità L3, quindi potrei sbagliarmi.

Si menzionano i contatori, ma i contatori non dovrebbero aumentare se il traffico non va "dentro" o "fuori" dall'interfaccia. Ho il sospetto che se attraversi un SVI usato come dici, non vedrai il traffico che ti aspetti.

Avrei anche preoccupazioni su cosa farebbe l'interruttore con determinate funzionalità e non mi sentirei a mio agio nel testarle. Ad esempio, se non hai disabilitato anche proxy-arp sulla SVI, risponderà comunque con l'indirizzo MAC SVI per gli host in altre VLAN? Ho il sospetto che possa e, in caso affermativo, indirizzerà quel traffico verso un'altra VLAN?

YImparare
fonte
2

L'aggiunta di IP raggiungibile per VLAN è potenzialmente pericolosa dal punto di vista della sicurezza.

È anche una minaccia dal punto di vista della stabilità, poiché il traffico verso l'IP (compresi ARP, IPv6 ND e così via) arriva alla coda della CPU. Se hai una VLAN semplice con solo L2, non c'è nulla a parte i protocolli L2 (haha) che possono influenzare la situazione dello switch e il suo piano di controllo. Se aggiungi informazioni sulla raggiungibilità di L3, improvvisamente hai a che fare con ciò che L3 ha da offrire, inclusi protocolli di routing, blackholing, voci FIB limitate, potenzialmente anche diversi modelli QoS possibili quando si tratta di L2 vs L3.

In ogni caso, stai aggiungendo complessità alla rete. La complessità è cattiva.

Come dice la regola KISS, NON "automaticamente" aggiungi SVI alla VLAN L2. Se è solo per l'operazione L2, lo aggiungerei anche alla "descrizione" dell'interfaccia.

Łukasz Bromirski
fonte
Tutti si stanno riattaccando su L3 nella SVI. Forse sto usando il termine errato. Sto chiedendo dopo che il vlan x è stato creato, ci sono vantaggi o aspetti negativi di entrare nell'interfaccia vlan x che crea l'interfaccia vlan e non è configurata con un IP.
generalnetworkerror
3
In questo senso dipenderà tutto dall'architettura della scatola che ti viene data. Con Cisco Catalysts, stai aggiungendo l'interfaccia logica a IDB ma non aggiungendo l'inserimento del percorso (insieme alla richiesta di spazio TCAM). Ad ogni modo, il pro operativo è che puoi "stabilizzare" gli indici SNMP in questo modo, e con qualcuno ad un certo punto potrebbe essere desideroso di "riparare" la configurazione di qualche servizio aggiungendo l'IP una volta che vede l'interfaccia creata senza indirizzo IP .
Łukasz Bromirski
0

Ci sono alcune piattaforme come la mia "preferita" 6500 che può avere forti reazioni negative ad alcuni tipi o quantità di traffico che va benissimo quando si passa completamente attraverso il router diventa una storia diversa una volta creata una SVI. in genere si tratta di traffico non IP, ma è molto difficile da prevedere.

Aaron
fonte
0

Se la VLAN in questione è 'privata' che non è indirizzata L3 da nessuna parte (diciamo un battito cardiaco del cluster), una SVI sull'interruttore di livello 2 consentirà al NOC di eseguire il ping delle interfacce e ottenere tabelle ARP che sono di grande aiuto nella risoluzione dei problemi. Se la VLAN in questione viene instradata, non ci sono grandi vantaggi se non come misura temporanea per dimostrare che una VLAN viene trunking giù a quello switch (alcuni tipi di server hanno bisogno di prove) eseguendo il ping del gateway predefinito per quella VLAN dallo switch

fredpbaker
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.