Quand * pas * pour créer un SVI pour un VLAN L2?

16

Lors de la création de VLAN pour seulement L2 sur un commutateur - le routage sera géré par un périphérique au sein de ce VLAN tel qu'un équilibreur de charge - il n'est pas nécessaire de créer l'interface vlan . Par habitude, je crée toujours l'interface de toute façon - pas d'adresse IP - donc j'obtiens tous les bits d'interface et les statistiques de paquets dans "sh interface".

Y a-t-il des inconvénients à ce que je pense être une meilleure pratique pour simplement créer l'interface L2?

Quand créez-vous ou non l'interface pour un VLAN L2?

Je suis à la recherche de réponses qui ne traitent que des VLAN L2, pas des avantages et des cas d'utilisation des SVI VLAN L3.

Cisco signale une interface L2 comme EtherSVI sur mon 6500 - pas d'adresse IP. Est-il correct ou incorrect de toujours considérer une interface L2 comme une SVI bien que nous savons tous que le cas d'utilisation habituel est d'avoir une adresse IP pour le routage? La question est seulement de savoir si je devrais avoir cette interface L2 en premier lieu. Vous pouvez voir que seuls les compteurs L2 sont incrémentés, mais donnent quand même une certaine valeur.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco switch vlan erreur générale de réseau
la source
1
Je sais que presque tout le monde considère qu'un SVI signifie que nous avons une interface avec une adresse IP. Une interface L2 est toujours signalée comme SVI par Cisco (EtherSVI). Ai-je tort d'utiliser le terme SVI pour les interfaces L3 et L2?
generalnetworkerror
1
Pourquoi créez-vous le L2 SVI en premier lieu (par curiosité)? Si cet appareil n'a pas d'interface L3 dans ce VLAN, d'où sh int vl281viennent les statistiques de la sortie de commande ci-dessus? Cet appareil dans votre question a-t-il alors traité 74604les trames Ethernet sur tous les ports de couche 2 du VLAN? Que pouvez-vous dire de cette sortie? Je suppose que vous créez ces SVI L2 pour la collecte de statistiques et le débogage / dépannage. Les créez-vous plutôt pour les pseudowires, les mariées et les xconnects?
jwbensley
2
Je crée principalement des SVI L2 pour les rapports statistiques (bien que limités) et la visibilité sur le commutateur ainsi que pour une marche d'interface SNMP pour Cacti (graphiques RRDTool). Les paquets 74604 sous L3 ne sont que des diffusions affichées par la ligne suivante "Diffusions 74604 reçues". Aucune autre raison de les créer, sauf pour le confort d'avoir toutes les interfaces définies, qu'elles soient L2 ou L3.
generalnetworkerror

Réponses:

11

Vous ne voudrez peut-être pas créer un SVI L2 si vous utilisez l'élagage VTP. Si l'élagage est activé, un VLAN inutilisé sera élagué du tronc, ce qui réduira le trafic de diffusion / inondation inutile. Cependant, la création d'un SVI crée une interface "active" sur votre commutateur. Une vérification rapide dans GNS3 donne les informations suivantes:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Maintenant, si je passe à R2, connecté à Fa1 / 0 et R2(config)#int vlan 3que je tape , nous verrons ce qui suit:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Comme vous pouvez le voir, aucune interface dans VLAN 3, sauf le SVI. Et de retour sur R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Comme vous pouvez le voir, le VLAN 3 vient d'arriver sur le tronc , ajoutant au niveau de trafic sur vos troncs.

JelmerS
la source
8

Je ne dirais pas qu'il est préférable de créer un SVI. Cependant, je ne pense pas qu'il y aura beaucoup de problème si vous le créez. Par exemple, Catalyst 3750 prend en charge 1000 SVI que vous ne risquez pas de frapper.

Q. Combien de SVI peuvent être créés sur les commutateurs de la gamme Cisco Catalyst 3750? A. Jusqu'à 1 000 SVI peuvent être créés. Cependant, le nombre maximal de SVI dépend du nombre de routes et d'entrées de multidiffusion. Par exemple, le commutateur peut prendre en charge 64 SVI avec 8 000 itinéraires et 250 entrées de multidiffusion.

D'après mon expérience, les compteurs des SVI ne peuvent pas vraiment faire confiance.

Daniel Dib
la source
C'est une exigence de ne pas avoir le SVI avec une IP. Cela créerait une entrée de table de routage et gâcherait vraiment le routage avec l'équilibreur de charge. Je comprends que les compteurs n'augmentent que lorsqu'ils ne sont pas commutés par le matériel.
generalnetworkerror
Désolé, ce que je voulais dire, c'est que je ne pense pas que ce soit la meilleure pratique de créer un SVI mais je ne vois aucun mal à le faire non plus. Modifié ma réponse.
Daniel Dib
1
Traduction: il occupe l'espace tcam / fib / idb / etc qui pourrait être utilisé pour d'autres fonctions souhaitables.
Ricky Beam
6

Je ne crée jamais de SVI lorsqu'il n'y a pas d'exigence particulière pour celui-ci. Je ne vois aucun inconvénient, mais sans ajouter de lignes inutiles, vous gardez la configuration de votre appareil propre. Cela peut vous aider lors des sessions de dépannage.

Calin Chiorean
la source
5

Un SVI est utile lorsque vous devez fournir un service Layer3 aux ports de commutation Ethernet connectés .

Les SVI fournissent un moyen efficace d'attacher des services de routage IP à un Vlan Ethernet qui existe déjà sur un commutateur. Il vous évite efficacement d'acheter un routeur externe uniquement pour proposer HSRP ou des protocoles de routage dynamique.

Quand ne créez-vous pas le SVI pour un VLAN L2?

Lorsque vous ne voulez pas que les utilisateurs soient exposés à ces fonctionnalités ou que vous ne voulez pas compliquer la configuration. C'est juste une question de goût ... Je ne définis jamais de SVI, sauf si j'ai besoin de services de routage IP sur un Vlan ... mais je préfère les configurations minimales lorsque cela est possible.

Mike Pennington
la source
J'ai clarifié la question ... ne cherchant pas de réponses L3.
generalnetworkerror
4

Je ne considérerais pas cela comme une meilleure pratique, car si vous ne voulez pas que le commutateur fournisse la fonctionnalité L3, il n'est pas nécessaire ou utile. Maintenant, je veux faire précéder le reste de cela en disant que je ne fais jamais cela à moins que je ne veuille la fonctionnalité L3, donc je peux me tromper.

Vous mentionnez les compteurs, mais les compteurs ne doivent pas être incrémentés à moins que le trafic n'entre ou ne sorte de l'interface. Je soupçonne que si vous utilisez un SVI utilisé comme vous le mentionnez, vous ne verrez pas le trafic que vous attendez.

Je serais également préoccupé par ce que le commutateur ferait avec certaines fonctionnalités, et je ne me sentirais pas à l'aise de les tester. Par exemple, si vous n'avez pas également désactivé proxy-arp sur le SVI, est-ce qu'il répondra toujours avec l'adresse MAC SVI pour les hôtes dans d'autres VLAN? Je soupçonne que c'est possible et si c'est le cas, acheminera-t-il ce trafic vers un autre VLAN?

YApprendre
la source
2

L'ajout d'IP accessibles pour le VLAN est potentiellement dangereux du point de vue de la sécurité.

C'est également une menace du point de vue de la stabilité, car le trafic vers l'IP (y compris ARP, IPv6 ND et ainsi de suite) atteint la file d'attente vers le processeur. Si vous avez un VLAN simple avec L2 uniquement, rien en dehors des protocoles L2 (haha) ne peut influencer la situation du commutateur et de son plan de contrôle. Si vous ajoutez des informations d'accessibilité de L3, vous avez soudainement affaire à ce que L3 a à offrir, y compris les protocoles de routage, le blackholing, les entrées FIB limitées, potentiellement également différents modèles de QoS possibles lorsque vous traitez avec L2 vs L3.

De toute façon, vous ajoutez de la complexité au réseau. La complexité est mauvaise.

Comme le dit la règle KISS, vous N'AJOUTEZ PAS "automatiquement" SVI au V2 L2. Si c'est uniquement pour le fonctionnement L2, je l'ajouterais même à la «description» de l'interface.

Łukasz Bromirski
la source
Tout le monde se bloque sur L3 dans le SVI. Peut-être que j'utilise le terme incorrect. Je demande après la création du vlan x, y a-t-il des avantages ou des inconvénients à entrer dans l' interface vlan x qui crée l'interface vlan, et non configuré avec une IP.
generalnetworkerror
3
En ce sens, tout dépendra de l'architecture de la boîte qui vous sera donnée. Avec Cisco Catalysts, vous ajoutez une interface logique à l'IDB mais pas l'ajout d'entrée de route (avec la demande d'espace TCAM). Quoi qu'il en soit, le pro opérationnel est que vous pouvez "stabiliser" les index SNMP de cette façon, et con est que quelqu'un à un moment donné peut être désireux de "corriger" la configuration d'un service en ajoutant l'IP une fois qu'il / elle voit l'interface créée sans adresse IP .
Łukasz Bromirski
0

Il existe des plates-formes comme mon 6500 "préféré" qui peuvent avoir de fortes réactions négatives à certains types ou quantités de trafic, ce qui est très bien d'être complètement basculé via le routeur devient une histoire différente une fois que vous créez un SVI. généralement, ce serait du trafic non IP, mais c'est très difficile à prévoir.

Aaron
la source
0

Si le VLAN en question est `` privé '' qui n'est pas acheminé par L3 (disons un battement de cœur de cluster), un SVI sur le commutateur de couche 2 permettra à votre NOC de pinguer les interfaces et d'obtenir des tables ARP, ce qui est d'une grande aide pour le dépannage. Si vous le VLAN en question est routé, il n'y a pas de grand avantage, sauf comme une mesure temporaire pour prouver qu'un VLAN est connecté à ce commutateur (certains serveurs ont besoin d'une preuve) en envoyant une requête ping à la passerelle par défaut pour ce VLAN à partir du commutateur.

Fredpbaker
la source