Ne zaman L2 VLAN için SVI oluşturmak için * değil *?

Bir anahtarda yalnızca L2 için VLAN'lar oluştururken - yönlendirme, yük dengeleyici gibi bir VLAN içindeki bir cihaz tarafından ele alınacaktır - vlan arabirimini oluşturmak gerekli değildir . Bir alışkanlık olarak, her zaman yine de arabirimi oluşturuyorum - IP adresi yok - bu yüzden tüm arayüz bitlerini ve paket istatistiklerini "sh arabiriminde" alıyorum.

Sadece L2 arayüzünü oluşturmak için en iyi uygulama olduğunu düşündüğüm herhangi bir olumsuzluk var mı?

Ne zaman oluşturmak veya do not bir L2 VLAN için arayüz oluşturmak?

L3 VLAN SVI'ların esaslarını ve kullanım durumlarını değil, yalnızca L2 VLAN'ları tartışan cevaplar arıyorum.

Cisco, L00 arayüzünü 6500'ümde EtherSVI olarak bildiriyor - IP adresim yok. Her zamanki kullanım durumunun yönlendirme için bir IP adresine sahip olduğunu bilsek de, bir L2 arayüzünü hala bir SVI olarak düşünmek doğru mu yanlış mı? Soru sadece bu L2 arayüzüne ilk başta sahip olup olmamamla ilgili. Yalnızca L2 sayaçlarının arttığını, ancak yine de bir miktar değer verdiğini görebilirsiniz .

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

VTP budama kullanıyorsanız L2 SVI yapmak istemeyebilirsiniz. Budama açıksa, kullanılmayan bir VLAN bagajdan budanır ve bu da gereksiz yayın / sel trafiğine yol açar. Ancak, bir SVI oluşturmak, anahtarınızda "etkin" bir arayüz oluşturur. GNS3'te hızlı bir kontrol aşağıdakileri sağlar:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

Şimdi, eğer R2'ye gidersem, Fa1 / 0'a bağlı ve yazdığımda R2(config)#int vlan 3, aşağıdakileri göreceğiz:

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

Gördüğünüz gibi, VLAN 3'te SVI dışında arayüz yok. Ve R1'e geri dönelim:

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

Gördüğünüz gibi, VLAN 3 bagajda yeni ortaya çıktı ve bagajlarınızdaki trafik seviyelerine eklendi.

SVI oluşturmanın en iyi yöntem olduğunu söyleyemem. Ancak, bunu yaratırsanız çok fazla sorun olacağını düşünmüyorum. Örneğin, Catalyst 3750, vurmanız muhtemel olmayacak 1000 SVI'yi destekler.

S.Cisco Catalyst 3750 Serisi Anahtarlarda kaç tane SVI oluşturulabilir? A. 1000'e kadar SVI oluşturulabilir. Ancak, maksimum SVI sayısı rota sayısına ve çok noktaya yayın girişlerine bağlıdır. Örneğin, anahtar 8000 yol ve 250 çok noktaya yayın girişi olan 64 SVI'yi destekleyebilir.

Deneyimlerime göre, SVI'lara karşı olan sayaçlara gerçekten güvenilemez.

Özel bir gereklilik olmadığında asla SVI oluşturmam. Hiçbir dezavantaj görmüyorum, ancak işe yaramaz çizgiler eklemeden cihaz yapılandırmanızı temiz tutuyorsunuz. Bu, sorun giderme oturumları sırasında yardımcı olabilir.

SVI, bağlı ethernet anahtar bağlantılarına Layer3 hizmeti vermeniz gerektiğinde kullanışlıdır .

SVI'ler, bir anahtarda zaten bulunan bir Ethernet Vlan'a IP yönlendirme hizmetlerini bağlamak için etkili bir yol sağlar. Yalnızca HSRP veya dinamik yönlendirme protokolleri sunmak için sizi harici bir yönlendirici satın almaktan etkili bir şekilde kurtarır.

Ne zaman L2 VLAN için SVI oluşturmazsınız?

Kullanıcıların bu özelliklere maruz kalmasını istemediğinizde veya yapılandırmayı karmaşıklaştırmak istemediğinizde. Bu sadece bir zevk meselesidir ... Bir Vlan'da IP yönlendirme hizmetlerine ihtiyaç duymadıkça asla bir SVI tanımlamam ... ancak mümkün olduğunda minimum yapılandırmayı tercih ederim.

Anahtarın L3 işlevselliği sağlamasını istemiyormuşsunuz gibi, bunun en iyi uygulama olduğunu düşünmem. Şimdi, L3 işlevselliğini istemediğim sürece bunu asla yapmayacağımı söyleyerek geri kalanını önceden yazmak istiyorum, bu yüzden yanlış olabilirim.

Sayaçlardan bahsediyorsunuz, ancak trafik arabirimin "içine" veya "dışına" gitmediği sürece sayaçlar artmamalıdır. Bahsettiğiniz gibi bir SVI kullanırsanız, beklediğiniz trafiği görmeyeceğinizden şüpheleniyorum.

Ayrıca, anahtarın belirli özelliklerle ne yapacağına dair endişelerim olurdu ve bunları test ederken kendimi rahat hissetmeyeceğim. Örneğin, SVI'da proxy-arp'yi devre dışı bırakmadıysanız, diğer VLAN'lardaki ana makineler için yine de SVI MAC adresiyle yanıt verir mi? Yapabileceğinden şüpheleniyorum ve eğer varsa, bu trafiği başka bir VLAN'a yönlendirecek mi?

VLAN için erişilebilir IP eklemek güvenlik açısından potansiyel olarak tehlikelidir.

IP'ye giden trafik (ARP, IPv6 ND vb. Dahil) CPU sırasına çarptığından, istikrar açısından da bir tehdittir. Yalnızca L2'li basit VLAN'ınız varsa, anahtarın durumunu ve kontrol düzlemini etkileyebilecek L2 protokollerinden (haha) başka hiçbir şey yoktur. L3 erişilebilirlik bilgisi eklerseniz, aniden yönlendirme protokolleri, karartma, sınırlı FIB girişleri, L2 ve L3 ile çalışırken potansiyel olarak farklı QoS modelleri de dahil olmak üzere L3'ün sunduğu şeylerle ilgileniyorsunuz.

Herhangi bir şekilde, ağa karmaşıklık eklersiniz. Karmaşıklık kötü.

KISS kuralının dediği gibi, L2 VLAN'a "otomatik" SVI eklemezsiniz. Sadece L2 işlemi içinse, arayüzün 'açıklamasına' bile eklerdim.

Bir "SVI" oluşturduğunuzda, yönlendiriciden tamamen geçiş yapmanın iyi olduğu bazı trafik türlerine veya miktarlarına güçlü olumsuz tepkiler verebilecek "favori" 6500'üm gibi bazı platformlar var. genellikle bu ip olmayan trafik olurdu, ama tahmin etmek çok zor.

Söz konusu VLAN, 'özel' ise herhangi bir yere yönlendirilen L3 olmayan (bir küme kalp atışı diyelim), katman 2 anahtarındaki bir SVI, NOC'nizin arayüzlere ping atmasını sağlar ve sorun giderme konusunda çok yardımcı olan ARP tablolarını alır. Söz konusu VLAN yönlendirilirseniz, anahtardan VLAN için varsayılan ağ geçidine ping yaparak bir VLAN'ın bu anahtara (bazı sunucuların ispatlanması gerekir) indirildiğini kanıtlamak için geçici bir önlem dışında büyük bir fayda yoktur.