Коли * не *, щоб створити SVI для V2 V2?

Під час створення VLAN для просто L2 на комутаторі - маршрутизацією буде оброблятися пристрій у межах цієї VLAN, такий як балансир навантаження - не потрібно створювати інтерфейс vlan . Як правило, я завжди створюю інтерфейс у будь-якому випадку - немає IP-адреси - тому я отримую всі біти інтерфейсу та статистику пакетів у "sh-інтерфейсі".

Чи є якісь негативи щодо того, що, на мою думку, є найкращою практикою просто створити інтерфейс L2?

Коли ви створюєте чи не створюєте інтерфейс для V2 V2 L2?

Я шукаю відповіді, які обговорюють лише L2 VLAN, а не достоїнства та випадки використання для SV3 V3 VLAN.

Cisco повідомляє про інтерфейс L2 як EtherSVI на моїй 6500 - немає IP-адреси. Правильно чи неправильно все-таки вважати інтерфейс L2 як SVI, хоча всім відомим випадком використання є наявність IP-адреси для маршрутизації? Питання лише в тому, чи повинен я мати цей інтерфейс L2 в першу чергу. Ви можете бачити, що лише лічильники L2 збільшуються, але все ж надають певного значення.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Можливо, ви не хочете робити L2 SVI, якщо використовуєте обрізку VTP. Якщо обрізка включена, невикористаний VLAN буде обрізаний з магістралі, що призведе до менш зайвого трансляції / затоплення трафіку. Однак, створюючи SVI, створюється "активний" інтерфейс на вашому комутаторі. Швидка перевірка в GNS3 дає наступне:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Тепер, якщо я перейду до R2, підключений до Fa1 / 0 і введу R2(config)#int vlan 3, ми побачимо наступне:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Як бачите, в VLAN 3 немає інтерфейсів, крім SVI. І повернутися до R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Як бачите, VLAN 3 щойно вийшов на багажник , додавши до рівня трафіку на ваших багажниках.

Я б не сказав, що найкращою практикою є створення SVI. Однак я не думаю, що проблем буде, якщо створити його. Наприклад, Catalyst 3750 підтримує 1000 SVI, які ви, швидше за все, не потрапите.

В. Скільки SVI можна створити на комутаторах Cisco Catalyst 3750? A. Можна створити до 1000 SVI. Однак максимальна кількість SVI залежить від кількості маршрутів та записів в багатоадресну передачу. Наприклад, комутатор може підтримувати 64 SVI з 8000 маршрутами і 250 записами для багатоадресної передачі.

З мого досвіду лічильникам SVI не можна довіряти.

Я ніколи не створюю SVI, коли до нього немає особливих вимог. Я не бачу ніяких недоліків, але без додавання непотрібних ліній ви зберігаєте конфігурацію пристрою в чистоті. Це може допомогти під час сеансів усунення несправностей.

SVI корисний, коли ви повинні надати послугу Layer3 для підключених комутаційних мереж Ethernet.

SVI надають ефективний спосіб приєднати послуги маршрутизації IP до Ethernet Vlan, який вже існує на комутаторі. Це ефективно заощаджує вас від покупки зовнішнього маршрутизатора просто для пропонування HSRP або динамічних протоколів маршрутизації.

Коли ви не створите SVI для V2 V2?

Якщо ви не хочете, щоб користувачі мали такі дії, або ви не хочете ускладнювати конфігурацію. Це лише питання смаку ... Я ніколи не визначаю SVI, якщо мені не потрібні послуги маршрутизації IP на Vlan ... але я віддаю перевагу мінімальній конфігурації, де це можливо.

Я б не вважав це найкращою практикою, так як якщо ви не хочете, щоб комутатор забезпечував функціонал L3, він не потрібен або корисний. Тепер я хочу передбачити решту цього, сказавши, що я ніколи цього не роблю, якщо не хочу функціоналу L3, тому я можу помилятися.

Ви згадуєте лічильники, але лічильники не повинні збільшуватися, якщо трафік не йде "в" або "поза" інтерфейсу. Я підозрюю, що якщо ви перейдете на SVI, який ви використовуєте, як згадуєте, ви не побачите очікуваний трафік

У мене також будуть побоювання щодо того, що комутатор буде робити з певними функціями, і я не відчував би себе комфортно під час тестування їх. Наприклад, якщо ви також не відключили проксі-арп на SVI, він все ще буде відповідати SVI MAC-адресою для хостів в інших VLAN? Я підозрюю, що це може, і якщо це станеться, чи буде він спрямовувати цей трафік до іншої VLAN?

Додавання доступного IP для VLAN потенційно небезпечно з точки зору безпеки.

Це також загроза з точки зору стабільності, оскільки трафік до IP (включаючи ARP, IPv6 ND тощо) потрапляє до черги CPU. Якщо у вас проста VLAN з L2, нічого, крім протоколів L2 (ха-ха), не може впливати на ситуацію комутатора та його контрольну площину. Якщо ви додасте інформацію про доступність L3, раптом ви маєте справу з тим, що може запропонувати L3, включаючи протоколи маршрутизації, blackholing, обмежені записи FIB, можливі також різні моделі QoS, можливі при роботі з L2 проти L3.

У будь-якому випадку ви додаєте складності мережі. Складність погана.

Як говорить правило KISS, ви НЕ "автоматично" додаєте SVI до L2 VLAN. Якщо це лише для роботи з L2, я навіть додав би її до "опису" інтерфейсу.

Є деякі платформи на зразок мого "улюбленого" 6500, які можуть мати сильну негативну реакцію на деякі типи або кількість трафіку, що просто прекрасно, повністю перемикаючись через маршрутизатор, стає іншою історією, коли ви створюєте SVI. зазвичай це буде не-ip трафік, але його дуже важко передбачити.

Якщо VLAN, про який йде мова, "приватний", який L3 не перенаправляє кудись (скажімо, серцебиття кластера), SVI на перемикачі рівня 2 дозволить вашому NOC здійснювати пінг-інтерфейси та отримувати таблиці ARP, що чудово допомагає у вирішенні проблем. Якщо ви перебуваєте в маршрутизованій локальній мережі VLAN, немає великої користі, окрім як тимчасової міри, щоб довести, що VLAN підключений до цього комутатора (деякі хлопці сервера потребують доказів), пінгуючи шлюз за замовчуванням для цієї VLAN від комутатора