Когда * not * для создания SVI для L2 VLAN?

При создании виртуальных локальных сетей только для L2 на маршрутизации коммутатора будет выполняться устройство в пределах этой VLAN, такое как балансировка нагрузки - , нет необходимости создавать интерфейс vlan . Как правило, я всегда создаю интерфейс - нет IP-адреса, поэтому я получаю все бит интерфейса и статистику пакетов в интерфейсе «sh».

Есть ли какие-то негативы для того, что я думаю, является лучшей практикой только для создания интерфейса L2?

Когда вы создаете или not создаете интерфейс для L2 VLAN?

Я ищу ответы, которые обсуждают только L2 VLAN, а не достоинства и варианты использования SVI L3 VLAN.

Cisco сообщает интерфейс L2 как EtherSVI на моем 6500 - нет IP-адреса. Правильно или некорректно ли вы думать о интерфейсе L2 как SVI, хотя мы все знаем, что обычный прецедент - это иметь IP-адрес для маршрутизации? Вопрос только в том, должен ли я иметь этот интерфейс L2 в первую очередь. Вы можете видеть, что только счетчики L2 увеличиваются, но все же предоставляют значение some .

  s-oc4-n2-agg1 # sh int vl281
Vlan281 поднят, протокол линии вверх
  Аппаратом является EtherSVI, адрес 0019.a925.2000 (bia 0019.a925.2000)
  Описание: svi.SLB-FE-Web-серверы
  MTU 1500 байт, BW 1000000 Кбит, DLY 10 usec,
     надежность 255/255, txload 1/255, rxload 1/255
  Инкапсуляция ARPA, петля не установлена
  Keepalive не поддерживается
  Тип ARP: ARPA, время ожидания ARP 04:00:00
  Последний вход 00:00:02, выход 00:00:10, выход висит никогда
  Последняя очистка счетчиков «show interface» 1d12h
  Входная очередь: 0/75/0/0 (размер /макс /капли /сбрасывание); Общий выход: 0
  Стратегия очередей: fifo
  Очередь вывода: 0/40 (размер /макс)
  5-минутная скорость ввода 0 бит /с, 0 пакетов /с
  5-минутная скорость вывода 0 бит /с, 0 пакетов /с
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 в Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 байт mcast: 0 pkt, 0 байт
     74604 ввода пакетов, 8350307 байт, 0 нет буфера
     Получено 74604 трансляций (0 многоадресных IP-адресов)
     0 рун, 0 гигантов, 0 дросселей
     0 ошибок ввода, 0 CRC, 0 кадров, 0 превышение, 0 игнорируется
     218 пакетов, 17658 байт, 0 недоработок
     0 ошибок вывода, 0 сброса интерфейса
     0 выходных буферов вывода, 0 выходных буферов
 
16 голосов | спросил generalnetworkerror 22 Maypm13 2013, 12:45:09

8 ответов


10

Возможно, вы не захотите создать L2 SVI, если вы используете обрезку VTP. Если обрезка включена, неиспользуемая VLAN будет обрезана из соединительной линии, что приведет к уменьшению ненужного трафика трансляции /наводнения. Однако создание SVI создает на вашем коммутаторе «активный» интерфейс. Быстрая проверка в GNS3 дает следующее:

  R1 # show vlan-switch

Состояние портов VLAN
---- -------------------------------- --------- ----- --------------------------
1 по умолчанию активен Fa1 /1, Fa1 /2, Fa1 /3, Fa1 /4
                                                Fa1 /5, Fa1 /6, Fa1 /7, Fa1 /8
                                                Fa1 /9, Fa1 /10, Fa1 /11, Fa1 /12
                                                Fa1 /13, Fa1 /14, Fa1 /15
3 VLAN0003 активен
4 VLAN0004 активен
[вывод опущен]

R1 # показывает интерфейс соединительной линии

Состояние инкапсуляции режима порта Native vlan
Fa1 /0 на канале 802.1q 1

Порт-фланы разрешены на багажнике
Fa1 /0 1-4094

Порт Vlans разрешен и активен в домене управления
Fa1 /0 1,3-4

Port Vlans в состоянии переадресации дерева, а не обрезке
Fa1 /0 1
 

Теперь, если я перейду к R2, подключенному к Fa1 /0 и наберите R2 (config) #int vlan 3 , мы увидим следующее:

  R2 # show run interface vlan 3
Конфигурация здания ...

Текущая конфигурация: 38 байт
!
интерфейс Vlan3
 нет ip-адреса
конец
R2 # show run | включить vlan 3
R2 #
 

Как вы видите, в VLAN 3 нет интерфейсов, кроме SVI. И обратно на R1:

  R1 # show interface trunk

Состояние инкапсуляции режима порта Native vlan
Fa1 /0 на канале 802.1q 1

Порт-фланы разрешены на багажнике
Fa1 /0 1-4094

Порт Vlans разрешен и активен в домене управления
Fa1 /0 1,3-4

Port Vlans в состоянии переадресации дерева, а не обрезке
Fa1 /0 1,3
 

Как вы можете видеть, VLAN 3 просто появилась на соединительной линии , добавив уровни трафика на ваших соединительных линиях.

ответил JelmerS 22 Maypm13 2013, 17:53:01
7

Я бы не сказал, что лучше создать SVI. Однако я не думаю, что будет много проблем, если вы его создадите. Например, Catalyst 3750 поддерживает 1000 SVI, которые вы вряд ли ударите.

  

Q. Сколько SVI может быть создано на коммутаторах Cisco Catalyst 3750?   A. Можно создать до 1000 SVI. Однако максимальное количество SVI зависит от количества маршрутов и многоадресных записей. Например, коммутатор может поддерживать 64 SVI с 8000 маршрутами и 250 многоадресными вводами.

По моему опыту нельзя доверять счетчикам SVI.

ответил Daniel Dib 22 Maypm13 2013, 12:59:26
5

SVI полезен, если вы должны предоставить услугу Layer3 для подключенных сетевых коммутаторов.

SVI предоставляют эффективный способ подключения служб маршрутизации IP к Ethernet-порту Vlan, который уже существует на коммутаторе. Это эффективно избавляет вас от покупки внешнего маршрутизатора только для того, чтобы предлагать протоколы HSRP или динамической маршрутизации.

  

Когда вы не создаете SVI для L2 VLAN?

Если вы не хотите, чтобы пользователи подвергались воздействию этих функций, или вы не хотите усложнять конфигурацию. Это просто вопрос вкуса ... Я никогда не определяю SVI, если мне не нужны услуги IP-маршрутизации на Vlan ... но я предпочитаю минимальные конфигурации там, где это возможно.

ответил Mike Pennington 22 Maypm13 2013, 14:03:23
5

Я никогда не создаю SVI, если для этого нет особых требований. Я не вижу недостатков, но без добавления ненужных строк вы сохраняете чистую конфигурацию вашего устройства. Это может помочь во время сеансов устранения неполадок.

ответил Calin Chiorean 22 Maypm13 2013, 13:07:05
4

Я бы не счел это лучшей практикой, как если бы вы не хотели, чтобы коммутатор предоставлял функции L3, это не нужно или полезно. Теперь я хочу предисловие к остальной части этого, сказав, что я никогда не делаю этого, если я не хочу функциональности L3, поэтому я могу ошибаться.

Вы указываете счетчики, но счетчики не должны увеличиваться, если трафик не идет «в» или «выходить» из интерфейса. Я подозреваю, что если вы используете SVI, как вы упоминаете, вы не увидите ожидаемый трафик.

У меня также были бы проблемы с тем, что коммутатор будет делать с определенными функциями, и не чувствовал бы себя комфортно с их тестированием. Например, если вы не отключили прокси-арп в SVI, он все равно будет отвечать MAC-адресом SVI для хостов в других VLAN? Я подозреваю, что это возможно, и если это произойдет, будет ли он маршрутизировать этот трафик в другую VLAN?

ответил YLearn 22 Maypm13 2013, 17:55:11
1

Добавление доступного IP для VLAN потенциально опасно с точки зрения безопасности.

Это также угроза с точки зрения стабильности, поскольку трафик на IP (включая ARP, IPv6 ND и т. д.) попадает в очередь процессоров. Если у вас простая VLAN только с L2, ничего кроме протоколов L2 (ха-ха) ничего не происходит, что может повлиять на ситуацию коммутатора и его контрольную плоскость. Если вы добавите информацию о достижении L3, вы внезапно столкнетесь с тем, что может предложить L3, включая протоколы маршрутизации, черное обращение, ограниченные записи FIB, потенциально также различные модели QoS при работе с L2 против L3.

В любом случае вы добавляете сложность в сеть. Сложность плохая.

Как сказано в правиле KISS, вы НЕ «автоматически» добавляете SVI в L2 VLAN. Если это только для операции L2, я бы даже добавил его в «описание» интерфейса.

ответил Łukasz Bromirski 22 Maypm13 2013, 14:40:37
0

Существуют некоторые платформы, такие как мой «любимый» 6500, который может иметь сильную негативную реакцию на некоторые типы или объемы трафика, который просто отлично переключается через маршрутизатор, становится другой историей, когда вы создаете SVI. обычно это будет не-ip-трафик, но его очень трудно предсказать.

ответил Aaron 22 Maypm13 2013, 23:43:17
0

Если рассматриваемая VLAN является «частной», которая нигде не маршрутизируется L3 (скажем, пульсации в кластере), SVI на коммутаторе уровня 2 позволит вашим NOC подключаться к интерфейсам ping и получать таблицы ARP, что является большой помощью в устранении неполадок , Если вы заинтересованы в VLAN, нет никакой большой пользы, кроме как временная мера, чтобы доказать, что VLAN транкиндирована до этого коммутатора (некоторые серверные парни нуждаются в доказательстве), проверив по умолчанию шлюз для этой VLAN с коммутатора

ответил fredpbaker 30 J0000006Europe/Moscow 2013, 22:20:54

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132