Khi * không * để tạo SVI cho Vlan L2?

Khi tạo Vlan cho chỉ L2 trên một công tắc - việc định tuyến sẽ được xử lý bởi một thiết bị trong Vlan đó, chẳng hạn như bộ cân bằng tải - không cần thiết phải tạo giao diện vlan . Theo thói quen, tôi luôn tạo giao diện - không có địa chỉ IP - vì vậy tôi nhận được tất cả các bit giao diện và số liệu thống kê gói trong "giao diện sh".

Có bất kỳ tiêu cực nào đối với những gì tôi nghĩ là cách tốt nhất để tạo giao diện L2 không?

Khi nào bạn tạo hoặc không tạo giao diện cho Vlan L2?

Tôi đang tìm kiếm câu trả lời chỉ thảo luận về các Vlan L2, không phải là giá trị và trường hợp sử dụng cho L3 Vlan SVIs.

Cisco báo cáo giao diện L2 là EtherSVI trên 6500 của tôi - không có địa chỉ IP. Là chính xác hay không chính xác khi vẫn nghĩ về giao diện L2 là một SVI mặc dù tất cả chúng ta đều biết trường hợp sử dụng thông thường là có một địa chỉ IP để định tuyến? Câu hỏi chỉ là về việc tôi có nên có giao diện L2 này ngay từ đầu hay không. Bạn chỉ có thể thấy các bộ đếm L2 được tăng lên, nhưng vẫn cho một số giá trị.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Bạn có thể không muốn tạo L2 SVI nếu bạn sử dụng cắt tỉa VTP. Nếu cắt tỉa được bật, một Vlan không được sử dụng sẽ được cắt từ thân cây, dẫn đến lưu lượng truyền phát / ngập không cần thiết. Tuy nhiên, tạo một SVI, tạo giao diện "hoạt động" trên công tắc của bạn. Kiểm tra nhanh trong GNS3 đưa ra các thông tin sau:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Bây giờ, nếu tôi đi đến R2, được kết nối với Fa1 / 0 và nhập R2(config)#int vlan 3, chúng ta sẽ thấy như sau:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Như bạn có thể thấy, không có giao diện nào trong Vlan 3, ngoại trừ SVI. Và trở lại trên R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Như bạn có thể thấy, Vlan 3 vừa xuất hiện trên trung kế , thêm vào các cấp lưu lượng truy cập trên các trung kế của bạn.

Tôi sẽ không nói rằng đó là cách tốt nhất để tạo ra một SVI. Tuy nhiên tôi không nghĩ sẽ có nhiều vấn đề nếu bạn tạo ra nó. Ví dụ: Catalyst 3750 hỗ trợ 1000 SVI mà bạn sẽ không có khả năng trúng.

H: Có bao nhiêu SVI có thể được tạo trên Thiết bị chuyển mạch Cisco Catalyst 3750 Series? A. Có thể tạo tới 1000 SVI. Tuy nhiên, số lượng SVI tối đa phụ thuộc vào số lượng tuyến đường và các mục đa hướng. Ví dụ: công tắc có thể hỗ trợ 64 SVI với 8000 tuyến và 250 mục đa hướng.

Theo kinh nghiệm của tôi, các quầy trên SVIs không thực sự đáng tin cậy.

Tôi không bao giờ tạo ra một SVI khi không có yêu cầu đặc biệt cho nó. Tôi thấy không có nhược điểm, nhưng không thêm các dòng vô dụng, bạn giữ cho cấu hình thiết bị của bạn sạch sẽ. Điều này có thể giúp đỡ trong các phiên xử lý sự cố.

Một SVI rất hữu ích khi bạn phải cung cấp dịch vụ Layer3 cho các tổng đài ethernet được kết nối .

Các SVI cung cấp một cách hiệu quả để gắn các dịch vụ định tuyến IP vào Vlan ethernet đã tồn tại trên một bộ chuyển mạch. Nó có hiệu quả tiết kiệm cho bạn từ việc mua một bộ định tuyến bên ngoài chỉ để cung cấp HSRP hoặc các giao thức định tuyến động.

Khi nào bạn không tạo SVI cho L2 Vlan?

Khi bạn không muốn người dùng tiếp xúc với các tính năng đó hoặc bạn không muốn làm phức tạp cấu hình. Đây chỉ là vấn đề sở thích ... Tôi không bao giờ xác định SVI, trừ khi tôi cần dịch vụ định tuyến IP trên Vlan ... nhưng tôi thích cấu hình tối thiểu nếu có thể.

Tôi sẽ không coi đây là một cách thực hành tốt nhất, vì nếu bạn không muốn công tắc cung cấp chức năng L3, thì nó không cần thiết hoặc hữu ích. Bây giờ, tôi muốn mở đầu phần còn lại của điều này bằng cách nói rằng tôi không bao giờ làm điều này trừ khi tôi muốn chức năng L3, vì vậy tôi có thể sai.

Bạn đề cập đến các bộ đếm, nhưng các bộ đếm không nên tăng trừ khi lưu lượng truy cập đang "vào" hoặc "ra" giao diện. Tôi nghi ngờ rằng nếu bạn mở rộng một SVI được sử dụng như bạn đề cập, bạn sẽ không thấy lưu lượng truy cập mà bạn mong đợi.

Tôi cũng sẽ lo ngại về việc chuyển đổi sẽ làm gì với một số tính năng nhất định và bản thân tôi sẽ không cảm thấy thoải mái khi thử nghiệm chúng. Ví dụ: nếu bạn cũng không tắt proxy-arp trên SVI, nó vẫn đáp ứng với địa chỉ MAC SVI cho các máy chủ trong các Vlan khác chứ? Tôi nghi ngờ nó có thể và nếu có, nó sẽ định tuyến lưu lượng truy cập đó đến một Vlan khác?

Thêm IP có thể truy cập cho Vlan có thể nguy hiểm từ quan điểm bảo mật.

Đây cũng là một mối đe dọa từ quan điểm ổn định, khi lưu lượng truy cập vào IP (bao gồm ARP, IPv6 ND, v.v.) chạm vào hàng đợi đến CPU. Nếu bạn chỉ có Vlan đơn giản với L2, không có gì ngoài giao thức L2 (haha) có thể ảnh hưởng đến tình hình của công tắc và mặt phẳng điều khiển của nó. Nếu bạn thêm thông tin về khả năng tiếp cận L3, đột nhiên bạn đang xử lý những gì L3 cung cấp, bao gồm các giao thức định tuyến, bọc đen, các mục FIB giới hạn, cũng có thể có các mô hình QoS khác nhau khi giao dịch với L2 so với L3.

Theo bất kỳ cách nào, bạn đang thêm sự phức tạp vào mạng. Phức tạp là xấu.

Như quy tắc KISS nói, bạn KHÔNG "tự động" thêm SVI vào L2 Vlan. Nếu nó chỉ dành cho hoạt động L2, tôi thậm chí sẽ thêm nó vào 'mô tả' của giao diện.

Có một số nền tảng như 6500 "yêu thích" của tôi có thể có phản ứng tiêu cực mạnh đối với một số loại hoặc lưu lượng truy cập hoàn toàn tốt khi được chuyển hoàn toàn qua bộ định tuyến trở thành một câu chuyện khác khi bạn tạo SVI. thông thường, đây sẽ là lưu lượng không phải là ip, nhưng rất khó dự đoán.

Nếu Vlan trong câu hỏi là 'riêng tư' không phải là L3 được định tuyến ở bất cứ đâu (giả sử là nhịp tim cụm) thì một SVI trên công tắc lớp 2 sẽ cho phép NOC của bạn ping giao diện và nhận các bảng ARP giúp ích rất nhiều trong việc khắc phục sự cố. Nếu Vlan trong câu hỏi của bạn được định tuyến, sẽ không có lợi ích lớn ngoại trừ một biện pháp tạm thời để chứng minh rằng Vlan được chuyển đến công tắc đó (một số kẻ cần máy chủ) bằng cách đưa cổng mặc định cho Vlan đó từ công tắc