Wann * nicht * eine SVI für ein L2-VLAN erstellen?

16

Wenn Sie VLANs für nur L2 auf einem Switch erstellen - das Routing wird von einem Gerät in diesem VLAN, z. B. einem Load-Balancer, ausgeführt. Es ist nicht erforderlich, die VLAN-Schnittstelle zu erstellen . Aus Gewohnheit erstelle ich die Schnittstelle sowieso - keine IP-Adresse - damit ich alle Schnittstellenbits und Paketstatistiken in "sh interface" bekomme.

Gibt es irgendwelche Nachteile für die meiner Meinung nach beste Vorgehensweise, um nur die L2-Schnittstelle zu erstellen?

Wann erstellen Sie die Schnittstelle für ein L2-VLAN oder wann nicht ?

Ich suche nach Antworten, die nur L2-VLANs behandeln, nicht die Vorzüge und Anwendungsfälle für L3-VLAN-SVIs.

Cisco meldet eine L2-Schnittstelle als EtherSVI auf meinem 6500 - keine IP-Adresse. Ist es richtig oder falsch, eine L2-Schnittstelle immer noch als SVI zu betrachten, obwohl wir alle wissen, dass der übliche Anwendungsfall darin besteht, eine IP-Adresse für das Routing zu haben? Die Frage ist nur, ob ich diese L2-Schnittstelle überhaupt haben soll oder nicht. Sie können sehen, dass nur die L2-Zähler inkrementiert werden, aber immer noch einen Wert angeben.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco switch vlan generalnetworkerror
quelle
1
Ich weiß, dass fast jeder der Meinung ist, dass ein SVI bedeutet, dass wir eine Schnittstelle mit einer IP-Adresse haben. Eine L2-Schnittstelle wird von Cisco (EtherSVI) weiterhin als SVI gemeldet. Bin ich falsch, den Begriff SVI sowohl für L3- als auch für L2-Schnittstellen zu verwenden?
Generalnetworkerror
1
Warum erstellen Sie die L2-SVI überhaupt (aus Neugier)? Wenn dieses Gerät in diesem VLAN keine L3-Schnittstelle hat, woher stammen die Statistiken in Ihrer sh int vl281Befehlsausgabe oben? Hat dieses Gerät in Ihrer Frage dann 74604Ethernet-Frames über alle Layer-2-Ports im VLAN verarbeitet? Was können Sie aus dieser Ausgabe erkennen? Ich gehe davon aus, dass Sie diese L2-SVIs zum Sammeln und Debuggen von Statistiken und zur Fehlerbehebung erstellen. Erstellen Sie sie stattdessen für die Verwendung mit Pseudodrähten, Brautpaaren und xconnects?
Jwbensley
2
Ich erstelle in erster Linie L2-SVIs für statistische Berichte (obwohl diese begrenzt sind) und die Sichtbarkeit auf dem Switch sowie für eine SNMP-Schnittstelle für Cacti (RRDTool-Diagramme). Die 74604-Pakete unter L3 sind nur Rundsendungen, die in der nächsten Zeile "Empfangene 74604-Rundsendungen" angezeigt werden. Kein anderer Grund, sie zu erstellen, außer dem Komfort, dass alle Schnittstellen definiert sind, ob L2 oder L3.
Generalnetworkerror

Antworten:

11

Möglicherweise möchten Sie keine L2-SVI erstellen, wenn Sie die VTP-Bereinigung verwenden. Wenn die Bereinigung aktiviert ist, wird ein nicht verwendetes VLAN aus dem Trunk entfernt, was zu weniger unnötigem Broadcast- / Flooding-Verkehr führt. Durch das Erstellen einer SVI wird jedoch eine "aktive" Schnittstelle auf Ihrem Switch erstellt. Ein kurzer Check in GNS3 ergibt folgendes:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Wenn ich jetzt zu R2 gehe, mit Fa1 / 0 verbunden und tippe R2(config)#int vlan 3, werden wir Folgendes sehen:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Wie Sie sehen, gibt es in VLAN 3 keine Schnittstellen außer der SVI. Und zurück auf R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Wie Sie sehen, ist VLAN 3 gerade auf dem Trunk hochgefahren und erhöht den Datenverkehr auf Ihren Trunks.

JelmerS
quelle
8

Ich würde nicht sagen, dass es die beste Vorgehensweise ist, eine SVI zu erstellen. Ich denke jedoch nicht, dass es ein großes Problem geben wird, wenn Sie es erstellen. Zum Beispiel unterstützt Catalyst 3750 1000 SVIs, die Sie wahrscheinlich nicht treffen werden.

F. Wie viele SVIs können mit den Cisco Catalyst 3750 Series-Switches erstellt werden? A. Es können bis zu 1000 SVIs erstellt werden. Die maximale Anzahl der SVIs hängt jedoch von der Anzahl der Routen und Multicast-Einträge ab. Beispielsweise kann der Switch 64 SVIs mit 8000 Routen und 250 Multicast-Einträgen unterstützen.

Nach meiner Erfahrung kann man den Zählern für SVIs nicht wirklich vertrauen.

Daniel Dib
quelle
Es ist erforderlich, dass die SVI keine IP hat. Das würde einen Routing-Tabelleneintrag erzeugen und das Routing mit dem Load-Balancer wirklich durcheinander bringen. Ich verstehe die Zähler nur inkrementieren, wenn keine Hardware geschaltet wird.
Generalnetworkerror
Entschuldigung, ich habe gemeint, dass es nicht die beste Methode ist, eine SVI zu erstellen, aber ich sehe auch keinen Schaden, wenn ich das tue. Bearbeitet meine Antwort.
Daniel Dib
1
Übersetzung: Es nimmt tcam / fib / idb / etc Platz in Anspruch, der für andere wünschenswerte Funktionen verwendet werden könnte.
Ricky Beam
6

Ich erstelle niemals eine SVI, wenn dafür keine besonderen Anforderungen bestehen. Ich sehe keinen Nachteil, aber ohne unnötige Zeilen hinzuzufügen, bleibt Ihre Gerätekonfiguration sauber. Dies kann bei der Fehlerbehebung hilfreich sein.

Calin Chiorean
quelle
5

Ein SVI ist nützlich, wenn Sie verbundenen Ethernet-Switchports einen Layer3-Dienst bereitstellen müssen.

SVIs bieten eine effiziente Möglichkeit, IP-Routingdienste an ein Ethernet-Vlan anzuschließen, das bereits auf einem Switch vorhanden ist. Es erspart Ihnen effektiv den Kauf eines externen Routers, nur um HSRP oder dynamische Routing-Protokolle anzubieten.

Wann erstellen Sie die SVI nicht für ein L2-VLAN?

Wenn Sie nicht möchten, dass Benutzer mit diesen Funktionen in Berührung kommen, oder wenn Sie die Konfiguration nicht komplizieren möchten. Dies ist nur eine Frage des Geschmacks ... Ich definiere niemals eine SVI, es sei denn, ich benötige IP-Routing-Dienste auf einem Vlan ... aber ich bevorzuge nach Möglichkeit minimale Konfigurationen.

Mike Pennington
quelle
Ich habe die Frage geklärt ... suche keine L3-Antworten.
Generalnetworkerror
4

Ich halte dies nicht für eine bewährte Methode, da der Switch keine L3-Funktionalität bieten soll. Er wird weder benötigt noch ist er nützlich. Zum Schluss möchte ich noch sagen, dass ich das nur mache, wenn ich die L3-Funktionalität möchte, damit ich mich irre.

Sie erwähnen die Zähler, aber die Zähler sollten nicht inkrementiert werden, es sei denn, der Datenverkehr geht über die Schnittstelle "rein" oder "raus". Ich vermute, dass Sie, wenn Sie eine von Ihnen erwähnte SVI-Nummer verwenden, nicht den erwarteten Datenverkehr sehen.

Ich hätte auch Bedenken, was der Schalter mit bestimmten Funktionen bewirken würde, und würde mich nicht wohl fühlen, wenn ich sie teste. Wenn Sie beispielsweise nicht auch Proxy-Arp auf der SVI deaktiviert haben, antwortet diese weiterhin mit der SVI-MAC-Adresse für Hosts in anderen VLANs? Ich vermute, dass dies der Fall ist, und wird der Datenverkehr dann an ein anderes VLAN weitergeleitet?

YLearn
quelle
2

Das Hinzufügen erreichbarer IP-Adressen für VLAN ist unter Sicherheitsaspekten potenziell gefährlich.

Dies ist auch aus Stabilitätsgründen eine Bedrohung, da der Datenverkehr in Richtung IP (einschließlich ARP, IPv6 ND usw.) auf die Warteschlange zur CPU trifft. Wenn Sie nur über ein einfaches VLAN mit L2 verfügen, gibt es außer L2-Protokollen (haha) nichts, was die Situation des Switches und seiner Steuerebene beeinflussen kann. Wenn Sie L3-Erreichbarkeitsinformationen hinzufügen, haben Sie es plötzlich mit dem zu tun, was L3 zu bieten hat, einschließlich Routing-Protokollen, Blackholing, begrenzten FIB-Einträgen und möglicherweise auch unterschiedlichen QoS-Modellen, die im Umgang mit L2 und L3 möglich sind.

In jedem Fall erhöhen Sie die Komplexität des Netzwerks. Komplexität ist schlecht.

Wie die KISS-Regel besagt, fügen Sie dem L2-VLAN NICHT "automatisch" SVI hinzu. Wenn es nur für den L2-Betrieb ist, würde ich es sogar zur 'Beschreibung' der Schnittstelle hinzufügen.

Łukasz Bromirski
quelle
Jeder wird in der SVI auf L3 gehängt. Vielleicht verwende ich den Begriff falsch. Ich frage nach, ob es nach der Erstellung von vlan x Vor- oder Nachteile gibt, wenn ich in die Schnittstelle vlan x gehe, die die vlan-Schnittstelle erstellt, und nicht mit einer IP konfiguriert bin.
Generalnetworkerror
3
In diesem Sinne hängt alles von der Architektur der Box ab, die Sie erhalten. Mit Cisco Catalysts fügen Sie der IDB eine logische Schnittstelle hinzu, jedoch keinen Routeneintrag (zusammen mit der TCAM-Speicherplatzanforderung). Auf jeden Fall können Sie die SNMP-Indizes auf diese Weise "stabilisieren", und es kann sein, dass irgendwann jemand die Konfiguration eines Dienstes durch Hinzufügen der IP "korrigieren" möchte, sobald er die Schnittstelle ohne IP-Adresse sieht .
Łukasz Bromirski
0

Es gibt einige Plattformen wie mein "Lieblings" 6500, die stark negativ auf bestimmte Arten oder Mengen von Datenverkehr reagieren können. Wenn Sie eine SVI erstellen, wird es zu einer anderen Geschichte, wenn der Router vollständig durchgeschaltet wird. Normalerweise ist dies kein IP-Verkehr, aber es ist sehr schwer vorherzusagen.

Aaron
quelle
0

Wenn es sich bei dem fraglichen VLAN um ein privates VLAN handelt, das nicht über ein L3-Routing (z. B. einen Cluster-Heartbeat) verfügt, kann Ihr NOC mithilfe einer SVI auf dem Layer-2-Switch Ping-Schnittstellen einrichten und ARP-Tabellen abrufen. Dies ist eine große Hilfe bei der Fehlerbehebung. Wenn das betreffende VLAN geroutet wird, gibt es keinen großen Vorteil, außer als vorübergehende Maßnahme, um zu beweisen, dass ein VLAN bis zu diesem Switch verkabelt ist (einige Server-Typen benötigen einen Beweis), indem Sie das Standard-Gateway für dieses VLAN vom Switch aus anpingen

Fredpbaker
quelle