¿Cuándo * no * para crear un SVI para una VLAN L2?

16

Al crear VLAN para solo L2 en un conmutador, el enrutamiento será manejado por un dispositivo dentro de esa VLAN, como un equilibrador de carga, no es necesario crear la interfaz vlan . Como costumbre, siempre creo la interfaz de todos modos, sin dirección IP, por lo que obtengo todos los bits de interfaz y estadísticas de paquetes en "interfaz sh".

¿Hay algo negativo en lo que creo que es una mejor práctica para crear la interfaz L2?

¿Cuándo crea o no crea la interfaz para una VLAN L2?

Estoy buscando respuestas que discutan solo las VLAN L2, no los méritos y los casos de uso para SVI VLAN L3.

Cisco informa una interfaz L2 como EtherSVI en mi 6500, sin dirección IP. ¿Es correcto o incorrecto seguir pensando en una interfaz L2 como un SVI aunque todos sabemos que el caso de uso habitual es tener una dirección IP para el enrutamiento? La pregunta es solo si debo tener o no esta interfaz L2 en primer lugar. Puede ver que solo los contadores L2 se incrementan, pero aún así dan cierto valor.

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco switch vlan generalnetworkerror
fuente
1
Sé que casi todos consideran que un SVI significa que tenemos una interfaz con una dirección IP. Cisco aún informa de una interfaz L2 como SVI (EtherSVI). ¿Me equivoco al usar el término SVI para las interfaces L3 y L2?
generalnetworkerror
1
¿Por qué creas el L2 SVI en primer lugar (por curiosidad)? Si este dispositivo no tiene una interfaz L3 en esta VLAN, ¿de dónde sh int vl281provienen las estadísticas en la salida de comando anterior? ¿Este dispositivo en su pregunta ha procesado 74604tramas Ethernet en todos los puertos de capa 2 en la VLAN? ¿Qué puedes decir de esa salida? Supongo que crea estos SVI L2 para la recopilación de estadísticas y la depuración / solución de problemas. ¿Los creas para usar con pseudowires, briding y xconnects en su lugar?
jwbensley
2
Principalmente creo SVI L2 para informes estadísticos (aunque limitados como es) y visibilidad en el conmutador, así como para una caminata de interfaz SNMP para Cacti (gráficos RRDTool). Los paquetes 74604 bajo L3 son solo transmisiones que se muestran en la línea siguiente "Transmisiones 74604 recibidas". No hay otra razón para crearlos, excepto por la comodidad de tener todas las interfaces definidas, ya sea L2 o L3.
generalnetworkerror

Respuestas:

11

Es posible que no desee hacer un SVI L2 si utiliza la poda VTP. Si la poda está activada, se eliminará una VLAN no utilizada de la troncal, lo que generará un tráfico de difusión / inundación menos innecesario. Sin embargo, al crear un SVI, se crea una interfaz "activa" en su conmutador. Una comprobación rápida en GNS3 ofrece lo siguiente:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Ahora, si voy a R2, conectado a Fa1 / 0 y escribo R2(config)#int vlan 3, veremos lo siguiente:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Como puede ver, no hay interfaces en la VLAN 3, excepto el SVI. Y de vuelta en R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Como puede ver, la VLAN 3 acaba de aparecer en la troncal , lo que aumenta los niveles de tráfico en sus troncales.

JelmerS
fuente
8

No diría que es una buena práctica crear un SVI. Sin embargo, no creo que haya mucho problema si lo creas. Por ejemplo, Catalyst 3750 admite 1000 SVI que no es probable que golpee.

Q. ¿Cuántos SVI se pueden crear en los switches Cisco Catalyst 3750 Series? A. Se pueden crear hasta 1000 SVI. Sin embargo, el número máximo de SVI depende del número de rutas y entradas de multidifusión. Por ejemplo, el conmutador puede admitir 64 SVI con 8000 rutas y 250 entradas de multidifusión.

Desde mi experiencia, no se puede confiar en los contadores en SVI.

Daniel Dib
fuente
Es un requisito no tener el SVI con una IP. Eso crearía una entrada en la tabla de enrutamiento y realmente complicaría el enrutamiento con el equilibrador de carga. Entiendo que los contadores solo se incrementan cuando no se cambia el hardware.
generalnetworkerror
Lo siento, lo que quise decir es que no creo que sea una buena práctica crear un SVI, pero tampoco veo ningún daño en hacerlo. Edité mi respuesta.
Daniel Dib
1
Traducción: ocupa tcam / fib / idb / etc espacio que podría usarse para otras funciones deseables.
Ricky Beam
6

Nunca creo un SVI cuando no hay un requisito especial para ello. No veo inconvenientes, pero sin agregar líneas inútiles mantienes limpia la configuración de tu dispositivo. Esto puede ayudar durante las sesiones de solución de problemas.

Calin Chiorean
fuente
5

Un SVI es útil cuando debe proporcionar un servicio Layer3 a puertos de conmutación ethernet conectados .

Los SVI proporcionan una forma eficiente de conectar servicios de enrutamiento IP a un Vlan de Ethernet que ya existe en un conmutador. Le ahorra efectivamente comprar un enrutador externo solo para ofrecer HSRP o protocolos de enrutamiento dinámico.

¿Cuándo no crea el SVI para una VLAN L2?

Cuando no desea que los usuarios tengan exposición a esas características, o no quiere complicar la configuración. Esto es solo cuestión de gustos ... Nunca defino un SVI, a menos que necesite servicios de enrutamiento IP en un Vlan ... pero prefiero configuraciones mínimas siempre que sea posible.

Mike Pennington
fuente
Aclaré la pregunta ... no busco respuestas L3.
generalnetworkerror
4

No lo consideraría una práctica recomendada, ya que si no desea que el conmutador proporcione la funcionalidad L3, no es necesario ni útil. Ahora, quiero comenzar el resto de esto diciendo que nunca hago esto a menos que quiera la funcionalidad L3, por lo que puedo estar equivocado.

Usted menciona los contadores, pero los contadores no deberían incrementarse a menos que el tráfico entre o salga de la interfaz. Sospecho que si abarcas un SVI utilizado como mencionas, no verás el tráfico que esperas.

También me preocuparía qué haría el conmutador con ciertas funciones, y no me sentiría cómodo probando estas. Por ejemplo, si no ha deshabilitado también proxy-arp en el SVI, ¿seguirá respondiendo con la dirección MAC de SVI para hosts en otras VLAN? Sospecho que puede y, si lo hace, ¿enrutará ese tráfico a otra VLAN?

YLearn
fuente
2

Agregar IP accesible para VLAN es potencialmente peligroso desde el punto de vista de la seguridad.

También es una amenaza desde el punto de vista de la estabilidad, ya que el tráfico hacia la IP (incluido ARP, IPv6 ND, etc.) llega a la cola de la CPU. Si tiene una VLAN simple solo con L2, no hay nada aparte de los protocolos L2 (jaja) que pueden influir en la situación del conmutador y su plano de control. Si agrega información de accesibilidad L3, de repente se enfrenta a lo que L3 tiene para ofrecer, incluidos los protocolos de enrutamiento, blackholing, entradas FIB limitadas, posiblemente también diferentes modelos de QoS posibles cuando se trata de L2 vs L3.

De cualquier manera, estás agregando complejidad a la red. La complejidad es mala.

Como dice la regla KISS, NO agregue "automáticamente" SVI a la VLAN L2. Si es solo para la operación L2, incluso lo agregaría a la 'descripción' de la interfaz.

Łukasz Bromirski
fuente
Todos están colgados en L3 en el SVI. Tal vez estoy usando el término incorrecto. Pregunto después de que se crea el vlan x, ¿hay ventajas o desventajas de entrar en la interfaz vlan x que crea la interfaz vlan y no está configurada con una IP?
generalnetworkerror
3
En este sentido, todo dependerá de la arquitectura de la caja que le den. Con Cisco Catalysts, está agregando una interfaz lógica a IDB pero no agrega la entrada de ruta (junto con la solicitud de espacio TCAM). De todos modos, el pro operativo es que usted puede "estabilizar" los índices SNMP de esta manera, y alguien en algún momento puede estar ansioso por "arreglar" la configuración de algún servicio agregando la IP una vez que vea la interfaz creada sin dirección IP .
Łukasz Bromirski
0

Hay algunas plataformas como mi 6500 "favorita" que pueden tener fuertes reacciones negativas a algunos tipos o cantidades de tráfico que está bien si se cambia completamente a través del enrutador se convierte en una historia diferente una vez que crea un SVI. normalmente esto sería tráfico no ip, pero es muy difícil de predecir.

Aaron
fuente
0

Si la VLAN en cuestión es 'privada' que no se enruta L3 a ninguna parte (digamos un latido del clúster), un SVI en el conmutador de capa 2 permitirá que su NOC haga ping a las interfaces y obtenga tablas ARP, lo que es de gran ayuda para la resolución de problemas. Si la VLAN en cuestión está enrutada, no hay un gran beneficio, excepto como una medida temporal para demostrar que una VLAN está conectada a ese conmutador (algunos servidores necesitan pruebas) haciendo ping a la puerta de enlace predeterminada para esa VLAN desde el conmutador

fredpbaker
fuente