Kapan * tidak * membuat SVI untuk L2 VLAN?

16

Saat membuat VLAN hanya untuk L2 di sakelar - perutean akan ditangani oleh perangkat di dalam VLAN seperti penyeimbang beban - tidak perlu membuat antarmuka vlan . Sebagai kebiasaan, saya selalu membuat antarmuka - tidak ada alamat IP - jadi saya mendapatkan semua bit antarmuka dan statistik paket di "antarmuka sh".

Apakah ada hal negatif yang menurut saya merupakan praktik terbaik untuk hanya membuat antarmuka L2?

Kapan Anda membuat atau tidak membuat antarmuka untuk VLAN L2?

Saya mencari jawaban yang hanya membahas L2 VLAN, bukan kelebihan dan kasus penggunaan untuk L3 VLAN SVIs.

Cisco melaporkan antarmuka L2 sebagai EtherSVI pada 6500 saya - tanpa alamat IP. Apakah benar atau salah untuk masih menganggap antarmuka L2 sebagai SVI meskipun kita semua tahu kasus penggunaan yang biasa adalah memiliki alamat IP untuk perutean? Pertanyaannya hanya tentang apakah saya harus memiliki antarmuka L2 ini atau tidak. Anda dapat melihat hanya L2 counter bertambah, tapi masih memberikan beberapa nilai.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco switch vlan generalnetworkerror
sumber
1
Saya tahu kebanyakan orang menganggap bahwa SVI berarti kita memiliki antarmuka dengan alamat IP. Antarmuka L2 masih dilaporkan sebagai SVI oleh Cisco (EtherSVI). Apakah saya salah menggunakan istilah SVI untuk antarmuka L3 dan L2?
generalnetworkerror
1
Mengapa Anda membuat L2 SVI di tempat pertama (karena penasaran)? Jika perangkat ini tidak memiliki antarmuka L3 di VLAN ini, dari mana statistik dalam sh int vl281output perintah Anda berasal? Apakah perangkat ini dalam pertanyaan Anda memproses 74604frame Ethernet di semua port layer 2 di VLAN? Apa yang bisa Anda katakan dari hasil itu? Saya berasumsi Anda membuat L2 SVI ini untuk pengumpulan statistik dan debugging / troubleshooting. Apakah Anda membuatnya untuk digunakan dengan pseudowires, briding dan xconnects?
jwbensley
2
Saya terutama membuat L2 SVI untuk pelaporan statistik (meskipun terbatas seperti itu) dan visibilitas pada sakelar serta untuk antarmuka SNMP untuk Cacti (grafik RRDTool). Paket 74604 di bawah L3 hanya siaran yang ditampilkan oleh baris berikutnya "Menerima siaran 74604". Tidak ada alasan lain untuk membuatnya kecuali untuk kenyamanan dalam memiliki semua antarmuka yang ditentukan apakah L2 atau L3.
generalnetworkerror

Jawaban:

11

Anda mungkin tidak ingin membuat L2 SVI jika Anda menggunakan pemangkasan VTP. Jika pemangkasan aktif, VLAN yang tidak terpakai akan dipangkas dari bagasi, menghasilkan lalu lintas broadcast / flooding yang tidak perlu. Namun, membuat SVI, membuat antarmuka "aktif" di sakelar Anda. Pemeriksaan cepat di GNS3 memberikan yang berikut:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Sekarang, jika saya pergi ke R2, terhubung ke Fa1 / 0 dan ketik R2(config)#int vlan 3, kita akan melihat yang berikut:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Seperti yang Anda lihat, tidak ada antarmuka di VLAN 3, kecuali SVI. Dan kembali pada R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Seperti yang Anda lihat, VLAN 3 baru saja muncul di bagasi , menambah tingkat lalu lintas di bagasi Anda.

JelmerS
sumber
8

Saya tidak akan mengatakan bahwa itu adalah praktik terbaik untuk membuat SVI. Namun saya tidak berpikir akan ada banyak masalah jika Anda membuatnya. Misalnya Catalyst 3750 mendukung 1000 SVI yang kemungkinan besar tidak akan Anda temukan.

Q. Berapa banyak SVI yang dapat dibuat pada Switches Cisco Catalyst 3750 Series? A. Hingga 1000 SVI dapat dibuat. Namun, jumlah maksimum SVI tergantung pada jumlah rute dan entri multicast. Misalnya, switch dapat mendukung 64 SVI dengan 8000 rute dan 250 entri multicast.

Dari pengalaman saya, penghitung di SVI tidak bisa dipercaya.

Daniel Dib
sumber
Ini adalah persyaratan untuk tidak memiliki SVI dengan IP. Itu akan membuat entri tabel routing dan benar-benar kacau dengan routing dengan load-balancer. Saya mengerti kenaikan hanya counter ketika tidak perangkat keras diaktifkan.
generalnetworkerror
Maaf, yang saya maksudkan adalah saya pikir itu bukan praktik terbaik untuk membuat SVI tapi saya juga tidak melihat ada salahnya melakukannya. Mengedit jawaban saya.
Daniel Dib
1
Terjemahan: ini membutuhkan ruang tcam / fib / idb / etc yang dapat digunakan untuk fungsi yang diinginkan lainnya.
Ricky Beam
6

Saya tidak pernah membuat SVI ketika tidak ada persyaratan khusus untuk itu. Saya tidak melihat sisi negatifnya, tetapi tanpa menambahkan garis yang tidak berguna Anda menjaga konfigurasi perangkat Anda tetap bersih. Ini dapat membantu selama sesi pemecahan masalah.

Calin Chiorean
sumber
5

SVI berguna ketika Anda harus menyediakan layanan Layer3 ke switchports ethernet yang terhubung .

SVI menyediakan cara yang efisien untuk melampirkan layanan routing IP ke VLAN ethernet yang sudah ada pada switch. Ini secara efektif menyelamatkan Anda dari membeli router eksternal hanya untuk menawarkan HSRP, atau protokol routing dinamis.

Kapan Anda tidak membuat SVI untuk L2 VLAN?

Ketika Anda tidak ingin pengguna memiliki fitur-fitur tersebut, atau Anda tidak ingin mempersulit konfigurasi. Ini hanya masalah selera ... Saya tidak pernah mendefinisikan SVI, kecuali saya membutuhkan layanan routing IP pada Vlan ... tapi saya lebih suka konfigurasi minimal jika memungkinkan.

Mike Pennington
sumber
Saya mengklarifikasi pertanyaan ... tidak mencari jawaban L3.
generalnetworkerror
4

Saya tidak akan menganggap ini sebagai praktik terbaik, seolah-olah Anda tidak ingin sakelar menyediakan fungsionalitas L3, itu tidak diperlukan atau tidak berguna. Sekarang, saya ingin kata pengantar sisanya dengan mengatakan bahwa saya tidak pernah melakukan ini kecuali saya ingin fungsi L3, jadi saya mungkin salah.

Anda menyebutkan penghitung, tetapi penghitung tidak boleh bertambah kecuali jika lalu lintas masuk "keluar" atau "keluar" dari antarmuka. Saya menduga bahwa jika Anda span SVI digunakan seperti yang Anda sebutkan, Anda tidak akan melihat lalu lintas yang Anda harapkan.

Saya juga akan khawatir tentang apa yang akan dilakukan saklar dengan fitur tertentu, dan saya tidak akan merasa nyaman dengan pengujian mereka. Misalnya, jika Anda belum juga menonaktifkan proxy-arp di SVI, apakah masih akan menanggapi dengan alamat MAC SVI untuk host di VLAN lain? Saya menduga itu bisa dan jika ya, akankah itu mengarahkan lalu lintas ke VLAN lain?

YPelajari
sumber
2

Menambahkan IP yang dapat dijangkau untuk VLAN berpotensi berbahaya dari sudut pandang keamanan.

Ini juga merupakan ancaman dari sudut pandang stabilitas, karena lalu lintas menuju IP (termasuk ARP, IPv6 ND dan sebagainya) mengenai antrian ke-CPU. Jika Anda memiliki VLAN sederhana dengan L2 saja, tidak ada yang lain dari protokol L2 (haha) yang dapat memengaruhi situasi sakelar dan bidang kontrolnya. Jika Anda menambahkan informasi keterjangkauan L3, tiba-tiba Anda berurusan dengan apa yang ditawarkan L3, termasuk protokol perutean, blackholing, entri FIB terbatas, berpotensi juga model QoS yang berbeda ketika berhadapan dengan L2 vs L3.

Dengan cara apa pun, Anda menambahkan kompleksitas ke jaringan. Kompleksitas itu buruk.

Seperti aturan KISS mengatakan, Anda TIDAK "secara otomatis" menambahkan SVI ke L2 VLAN. Jika hanya untuk operasi L2, saya bahkan akan menambahkannya ke 'deskripsi' antarmuka.

Łukasz Bromirski
sumber
Semua orang terpaku pada L3 di SVI. Mungkin saya menggunakan istilah yang salah. Saya bertanya tentang setelah vlan x dibuat, apakah ada kelebihan atau negatif dari masuk ke antarmuka vlan x yang menciptakan antarmuka vlan, dan tidak dikonfigurasi dengan IP.
generalnetworkerror
3
Dalam hal ini semua akan tergantung pada arsitektur kotak yang Anda berikan. Dengan Cisco Catalysts, Anda menambahkan antarmuka logis ke IDB tetapi tidak menambahkan entri rute (bersama dengan permintaan ruang TCAM). Bagaimanapun, pro operasional adalah bahwa Anda dapat "menstabilkan" indeks SNMP dengan cara ini, dan con adalah seseorang di beberapa titik mungkin ingin "memperbaiki" konfigurasi beberapa layanan dengan menambahkan IP begitu dia melihat antarmuka dibuat tanpa alamat IP .
Łukasz Bromirski
0

Ada beberapa platform seperti "favorit" saya 6500 yang dapat memiliki reaksi negatif yang kuat untuk beberapa jenis atau jumlah lalu lintas yang baik-baik saja sepenuhnya beralih melalui router menjadi cerita yang berbeda setelah Anda membuat SVI. biasanya ini adalah lalu lintas non-ip, tetapi sangat sulit untuk diprediksi.

Harun
sumber
0

Jika VLAN yang dimaksud adalah 'pribadi' yang bukan L3 dirutekan di mana saja (katakanlah kluster detak jantung), SVI pada sakelar layer 2 akan memungkinkan NOC Anda untuk melakukan ping antar muka, dan mendapatkan tabel ARP yang sangat membantu dalam pemecahan masalah. Jika Anda VLAN yang dimaksud dialihkan, tidak ada manfaat besar kecuali sebagai tindakan sementara untuk membuktikan bahwa VLAN trunked ke switch itu (beberapa orang server perlu bukti) dengan melakukan ping gateway default untuk VLAN itu dari switch.

fredpbaker
sumber