什么时候*不*为L2 VLAN创建SVI?

16

当仅在交换机上为L2创建VLAN时-路由将由该VLAN中的设备(例如负载均衡器)处理- 无需创建VLAN接口。作为一种习惯,无论如何我总是创建接口-没有IP地址-因此我在“ sh interface”中获取所有接口位和数据包统计信息。

我认为创建L2接口的最佳实践是否有负面影响?

什么时候创建或创建L2 VLAN的接口?

我正在寻找仅讨论L2 VLAN而不是L3 VLAN SVI的优点和用例的答案。

思科在我的6500上报告L2接口为EtherSVI-没有IP地址。尽管我们都知道通常的用例是拥有用于路由的IP地址,但仍将L2接口视为SVI是正确还是不正确的?问题仅在于我是否首先应该具有此L2接口。您可以看到只有L2计数器增加了,但仍给出了一些值。

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out
cisco  switch  vlan 
通用网络错误
source
1
我知道大多数人都认为SVI意味着我们有一个带有IP地址的接口。思科(EtherSVI)仍将L2接口报告为SVI。我对L3和L2接口都使用术语SVI是错误的吗?
generalnetworkerror
1
您为什么首先要创建L2 SVI(出于好奇)?如果此设备在该VLAN中没有L3接口,那么sh int vl281上面命令输出中的统计信息从何而来?您所质疑的该设备是否已处理74604VLAN中所有第2层端口上的以太网帧?您可以从输出中看出什么?我假设您创建这些L2 SVI用于统计信息收集和调试/故障排除。您是否创建了它们以用于伪线,桥接和xconnects?
jwbensley
2
我主要创建L2 SVI,用于统计报告(尽管有其局限性),交换机的可见性以及Cacti的SNMP接口遍历(RRDTool图)。L3下的74604数据包仅是下一行“接收到的74604广播”所示的广播。除了轻松定义所有接口(无论是L2还是L3)之外,没有其他理由来创建它们。
generalnetworkerror

Answers:

11

如果使用VTP修剪,则可能不希望创建L2 SVI。如果进行修剪,则将从中继线中修剪掉未使用的VLAN,从而减少不必要的广播/洪泛流量。但是,创建SVI会在交换机上创建一个“活动”接口。快速检查GNS3可得到以下内容:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

现在,如果我转到连接到Fa1 / 0的R2并键入R2(config)#int vlan 3,我们将看到以下内容:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

如您所见,除了SVI,VLAN 3中没有接口。回到R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

如您所见,VLAN 3刚出现在中继线上,从而增加了中继上的流量级别。

耶尔默斯
source
8

我不会说创建SVI是最佳实践。但是,如果您创建它,我认为不会有太大的问题。例如,Catalyst 3750支持1000个SVI,您不太可能会碰到它。

问:在Cisco Catalyst 3750系列交换机上可以创建多少个SVI?答:最多可以创建1000个SVI。但是,SVI的最大数量取决于路由和多播条目的数量。例如,交换机可以支持具有8000条路由和250个多播条目的64个SVI。

根据我的经验,SVI上的计数器真的不能被信任。

丹尼尔·迪伯
source
没有SVI和IP的要求。这将创建一个路由表条目,并确实使负载平衡器的路由混乱。我了解计数器只有在未进行硬件切换时才会增加。
generalnetworkerror
抱歉,我的意思是我认为创建SVI并不是最佳实践,但我也认为这样做不会有任何危害。编辑了我的答案。
Daniel Dib
1
翻译:占用了tcam / fib / idb / etc空间,可用于其他所需功能。
Ricky Beam
6

当没有特殊要求时,我永远不会创建SVI。我认为没有缺点,但是无需添加无用的行,就可以使设备配置保持干净。这可以在故障排除会话期间提供帮助。

卡琳·基里恩(Calin Chiorean)
source
5

当您必须为连接的以太网交换机端口提供Layer3服务时,SVI很有用。

SVI提供了一种将IP路由服务附加到交换机上已经存在的以太网Vlan的有效方法。它有效地使您不必为了购买HSRP或动态路由协议而购买外部路由器。

何时不为L2 VLAN创建SVI?

当您不希望用户使用这些功能时,或者您不想使配置复杂化时。这只是一个问题。我从来没有定义一个SVI,除非我需要Vlan上的IP路由服务...但是我更喜欢尽可能的最小配置。

迈克·彭宁顿
source
我澄清了问题...不寻找L3答案。
generalnetworkerror
4

我不会认为这是最佳实践,因为您不希望该开关提供L3功能,则不需要它也没有用。现在,我想作为其余部分的序言,说除非我想要L3功能,否则我绝不会这样做,所以我可能是错的。

您提到了计数器,但是除非流量从接口“流入”或“流出”,否则计数器不应递增。我怀疑如果您跨度使用了SVI,您将看不到预期的流量。

我也会担心该开关将使用某些功能,并且自己对测试它们感到不自在。例如,如果您还没有在SVI上禁用proxy-arp,它是否仍会以SVI MAC地址响应其他VLAN中的主机?我怀疑它可以,如果可以,它将把该流量路由到另一个VLAN吗?

YLearn
source
2

从安全的角度来看,为VLAN添加可访问的IP有潜在的危险。

从稳定性的角度来看,这也是一种威胁,因为流向IP(包括ARP,IPv6 ND等)的流量到达了CPU队列。如果您只有带有L2的简单VLAN,那么除了L2协议(haha)之外,没有什么会影响交换机及其控制平面的情况。如果添加了L3可达性信息,那么您突然就在处理L3所提供的功能,包括路由协议,黑洞,有限的FIB条目,以及在处理L2与L3时可能还可能使用不同的QoS模型。

无论如何,您都在增加网络的复杂性。复杂性不好。

正如KISS规则所述,您不要“自动”将SVI添加到L2 VLAN。如果仅用于L2操作,我什至将其添加到界面的“描述”中。

ŁukaszBromirski
source
每个人都在SVI中挂接到L3。也许我使用的术语不正确。我问的是在创建vlan x之后,进入创建vlan接口且未配置IP的接口vlan x的优缺点。
generalnetworkerror
3
从这个意义上讲,这完全取决于您所给盒子的体系结构。使用Cisco Catalysts,您要向IDB添加逻辑接口,但不添加路由条目(以及TCAM空间请求)。无论如何,操作上的好处是您可以通过这种方式“稳定” SNMP索引,并且缺点是,某人可能会急于通过在看到一个不带IP地址的接口后添加IP来“修复”某些服务的配置。 。
卢卡斯Bromirski
0

有些平台,例如我的“收藏夹” 6500,可能会对某些类型或某些流量产生强烈的负面反应,只要创建SVI,完全通过路由器交换就可以了。通常,这将是非IP流量,但是很难预测。

亚伦
source
0

如果所讨论的VLAN是“私有”的,并且没有L3路由到任何地方(例如群集心跳),则第2层交换机上的SVI将使您的NOC能够ping接口,并获得ARP表,这对于故障排除很有帮助。如果您要讨论的VLAN已路由,则除了作为临时措施通过从交换机对该VLAN的默认网关执行ping操作来证明VLAN中继到该交换机(某些服务器专家需要证明)以外,没有什么其他好处。

弗雷德贝克
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.