เมื่อ * ไม่ * เพื่อสร้าง SVI สำหรับ L2 VLAN

เมื่อมีการสร้าง VLANs เพียง L2 สวิตช์ - เส้นทางจะถูกจัดการโดยอุปกรณ์ภายใน VLAN เช่นโหลด Balancer - มันไม่ได้เป็นสิ่งที่จำเป็นในการสร้างอินเตอร์เฟซ VLAN ตามนิสัยฉันสร้างอินเทอร์เฟซอยู่เสมอ - ไม่มีที่อยู่ IP - ดังนั้นฉันจึงรับบิตของอินเตอร์เฟสและสถิติแพ็คเก็ตทั้งหมดใน "sh interface"

มีข้อเสียใด ๆ กับสิ่งที่ฉันคิดว่าเป็นวิธีปฏิบัติที่ดีที่สุดในการสร้างส่วนต่อประสาน L2 หรือไม่

คุณจะสร้างหรือไม่สร้างส่วนต่อประสานสำหรับ L2 VLAN เมื่อใด

ฉันกำลังมองหาคำตอบที่พูดถึง L2 VLAN เท่านั้นไม่ใช่ข้อดีและใช้กรณีสำหรับ L3 VLAN SVIs

Cisco รายงานอินเตอร์เฟส L2 เป็น EtherSVI ใน 6500 ของฉัน - ไม่มีที่อยู่ IP มันถูกต้องหรือไม่ถูกต้องที่จะยังคงคิดว่าอินเตอร์เฟส L2 เป็น SVI แม้ว่าเราทุกคนรู้ว่ากรณีการใช้งานปกติคือมีที่อยู่ IP สำหรับการกำหนดเส้นทาง คำถามนั้นเกี่ยวกับว่าฉันควรจะมีส่วนต่อประสาน L2 นี้หรือไม่ในตอนแรก คุณสามารถเห็นได้เฉพาะตัวนับ L2 เท่านั้นที่เพิ่มขึ้น แต่ยังคงให้ค่าบางอย่าง

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

คุณอาจไม่ต้องการสร้าง L2 SVI ถ้าคุณใช้การตัดแต่ง VTP หากการตัดแต่งเปิดอยู่ VLAN ที่ไม่ได้ใช้จะถูกตัดออกจากท้ายรถซึ่งจะส่งผลให้ปริมาณการใช้ข้อมูลออกอากาศ / น้ำท่วมลดลงโดยไม่จำเป็น อย่างไรก็ตามการสร้าง SVI สร้างอินเทอร์เฟซ "ใช้งาน" บนสวิตช์ของคุณ การตรวจสอบด่วนใน GNS3 ให้สิ่งต่อไปนี้:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

ตอนนี้ถ้าฉันไปที่ R2 เชื่อมต่อกับ Fa1 / 0 แล้วพิมพ์R2(config)#int vlan 3เราจะเห็นสิ่งต่อไปนี้:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

อย่างที่คุณเห็นไม่มีอินเตอร์เฟสใน VLAN 3 ยกเว้น SVI และกลับมาที่ R1:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

อย่างที่คุณเห็นVLAN 3 เพิ่งขึ้นมาบนลำต้นเพิ่มระดับการจราจรบนลำต้นของคุณ

ฉันจะไม่พูดว่ามันเป็นวิธีปฏิบัติที่ดีที่สุดในการสร้าง SVI อย่างไรก็ตามฉันไม่คิดว่าจะมีปัญหามากถ้าคุณสร้างมันขึ้นมา ตัวอย่างเช่น Catalyst 3750 รองรับ 1,000 SVIs ซึ่งคุณไม่น่าจะได้รับผลกระทบ

ถามสามารถสร้าง SVI ได้กี่ตัวบนสวิตช์ Cisco Catalyst 3750 Series A. สามารถสร้าง SVI ได้สูงถึง 1,000 SVI อย่างไรก็ตามจำนวนสูงสุดของ SVI นั้นขึ้นอยู่กับจำนวนเส้นทางและรายการแบบหลายผู้รับ ตัวอย่างเช่นสวิตช์สามารถรองรับ 64 SVI ด้วย 8000 เส้นทางและ 250 รายการมัลติคาสต์

จากประสบการณ์ของฉันตัวนับบน SVIs ไม่น่าเชื่อถือจริง ๆ

ฉันไม่เคยสร้าง SVI เมื่อไม่มีข้อกำหนดพิเศษสำหรับมัน ฉันไม่เห็นข้อเสีย แต่ไม่มีการเพิ่มบรรทัดที่ไม่มีประโยชน์คุณให้การกำหนดค่าอุปกรณ์ของคุณสะอาด สิ่งนี้สามารถช่วยในระหว่างการแก้ไขปัญหาเซสชัน

SVI มีประโยชน์เมื่อคุณต้องจัดเตรียมบริการ Layer3 ให้กับสวิตช์อีเธอร์เน็ตที่เชื่อมต่อ

SVIs มอบวิธีที่มีประสิทธิภาพในการเชื่อมต่อบริการการกำหนดเส้นทาง IP กับอีเธอร์เน็ต Vlan ที่มีอยู่แล้วบนสวิตช์ มันช่วยให้คุณประหยัดจากการซื้อเราเตอร์ภายนอกเพียงเพื่อเสนอ HSRP หรือโปรโตคอลการเราต์แบบไดนามิก

เมื่อใดที่คุณไม่สร้าง SVI สำหรับ L2 VLAN

เมื่อคุณไม่ต้องการให้ผู้ใช้สัมผัสกับคุณสมบัติเหล่านั้นหรือคุณไม่ต้องการให้การกำหนดค่ายุ่งยาก นี่เป็นเพียงเรื่องของรสนิยม ... ฉันไม่เคยกำหนด SVI ยกเว้นว่าฉันต้องการบริการการกำหนดเส้นทาง IP บน Vlan ... แต่ฉันชอบการกำหนดค่าขั้นต่ำที่สุดเท่าที่จะเป็นไปได้

ฉันจะไม่คิดว่านี่เป็นแนวปฏิบัติที่ดีที่สุดหากคุณไม่ต้องการให้สวิตช์ให้ฟังก์ชันการทำงานของ L3 ไม่จำเป็นหรือมีประโยชน์ ตอนนี้ฉันต้องการที่จะนำหน้าส่วนที่เหลือของเรื่องนี้โดยบอกว่าฉันไม่เคยทำเช่นนี้เว้นแต่ฉันต้องการฟังก์ชั่น L3 ดังนั้นฉันอาจผิด

คุณพูดถึงตัวนับ แต่ตัวนับไม่ควรเพิ่มขึ้นเว้นแต่ว่าทราฟฟิกกำลัง "ใน" หรือ "ออก" ของอินเทอร์เฟซ ฉันสงสัยว่าถ้าคุณขยาย SVI ที่ใช้ตามที่คุณพูดถึงคุณจะไม่เห็นปริมาณการใช้งานที่คุณคาดหวัง

ฉันยังมีข้อกังวลเกี่ยวกับสวิตช์ที่จะทำกับคุณสมบัติบางอย่างและจะไม่รู้สึกสะดวกสบายกับการทดสอบพวกเขา ตัวอย่างเช่นหากคุณยังไม่ได้ปิดใช้งาน proxy-arp บน SVI จะยังคงตอบสนองกับที่อยู่ SVI MAC สำหรับโฮสต์ใน VLAN อื่นหรือไม่ ฉันสงสัยว่ามันสามารถทำได้และหากเป็นเช่นนั้นจะกำหนดเส้นทางการรับส่งข้อมูลไปยัง VLAN อื่นหรือไม่

การเพิ่ม IP ที่เข้าถึงได้สำหรับ VLAN อาจเป็นอันตรายจากมุมมองด้านความปลอดภัย

นอกจากนี้ยังเป็นภัยคุกคามจากมุมมองที่มีเสถียรภาพเช่นการรับส่งข้อมูลไปยัง IP (รวมถึง ARP, IPv6 ND และอื่น ๆ ) จะส่งผลต่อคิวไปยัง CPU หากคุณมี VLAN แบบง่ายที่มี L2 เท่านั้นไม่มีอะไรนอกเหนือจากโปรโตคอล L2 (ฮ่าฮ่า) ที่สามารถมีอิทธิพลต่อสถานการณ์ของสวิตช์และระนาบการควบคุม หากคุณเพิ่มข้อมูลการเข้าถึง L3 ทันใดนั้นคุณกำลังจัดการกับสิ่งที่ L3 นำเสนอรวมถึงโปรโตคอลการจัดเส้นทางรายการแบล็กโฮลดิ้งรายการ FIB ที่ จำกัด และอาจมีรูปแบบ QoS ที่แตกต่างกันเมื่อจัดการกับ L2 กับ L3

ไม่ว่าคุณจะเพิ่มความซับซ้อนให้กับเครือข่าย แต่อย่างใด ความซับซ้อนไม่ดี

ดังที่กฎของ KISS บอกว่าคุณไม่ได้ "เพิ่ม" SVI ไปยัง L2 VLAN โดยอัตโนมัติ ถ้ามันใช้สำหรับการทำงาน L2 เท่านั้นฉันจะเพิ่มมันลงไปใน 'คำอธิบาย' ของอินเทอร์เฟซ

มีแพลตฟอร์มบางอย่างเช่น "ชื่นชอบ" 6500 ของฉันซึ่งสามารถตอบสนองเชิงลบอย่างแรงต่อการรับส่งข้อมูลบางประเภทหรือปริมาณที่เปลี่ยนแปลงได้อย่างสมบูรณ์ผ่านเราเตอร์กลายเป็นเรื่องราวที่แตกต่างเมื่อคุณสร้าง SVI โดยทั่วไปแล้วนี่จะเป็นการเข้าชมที่ไม่ใช่ IP แต่มันยากที่จะคาดเดา

หาก VLAN ที่มีปัญหาคือ 'ส่วนตัว' ที่ไม่ได้ส่ง L3 ไปทุกที่ (พูดถึงการเต้นของหัวใจแบบคลัสเตอร์) SVI บนสวิตช์เลเยอร์ 2 จะช่วยให้ NOC ของคุณเชื่อมต่อการ ping และรับตาราง ARP ซึ่งเป็นประโยชน์อย่างมากในการแก้ไขปัญหา หาก VLAN ที่เป็นปัญหาถูกส่งไปแล้วจะไม่มีประโยชน์อย่างมากยกเว้นเป็นการวัดชั่วคราวเพื่อพิสูจน์ว่า VLAN ถูก trunk ลงไปที่สวิตช์นั้น (เซิร์ฟเวอร์บางคนจำเป็นต้องมีการพิสูจน์) โดยการส่งเกตเวย์เริ่มต้นสำหรับ VLAN นั้นจากสวิตช์