当仅在交换机上为L2创建VLAN时-路由将由该VLAN中的设备(例如负载均衡器)处理-无需创建VLAN接口。作为一种习惯,无论如何我总是创建接口-没有IP地址-因此我在“ sh interface”中获取所有接口位和数据包统计信息。

创建L2接口对我认为的最佳实践有负面影响吗?

何时创建或不创建L2 VLAN的接口?

我正在寻找仅讨论L2 VLAN而不是L3 VLAN的优缺点的用例。 SVI。

Cisco在我的6500上报告L2接口为EtherSVI-没有IP地址。尽管我们都知道通常的用例是拥有用于路由的IP地址,但仍然将L2接口视为SVI是正确还是不正确的?问题仅在于我是否首先应该具有此L2接口。您可以看到只有L2计数器增加了,但仍给出了一些值。

评论

我知道大多数人都认为SVI意味着我们有一个带有IP地址的接口。思科(EtherSVI)仍将L2接口报告为SVI。我在L3和L2接口上都使用术语SVI是错误的吗?
您为什么首先要创建L2 SVI(出于好奇)?如果此设备在此VLAN中没有L3接口,那么上面的sh int vl281命令输出中的统计信息从何而来?您所质疑的设备是否已在VLAN中的所有第2层端口上处理了74604以太网帧?您可以从输出中看出什么?我假设您创建这些L2 SVI用于统计信息收集和调试/故障排除。您是否创建了它们以用于伪线,桥接和xconnects?
我主要创建L2 SVI,用于统计报告(尽管有其局限性),交换机的可见性以及Cacti的SNMP接口遍历(RRDTool图)。 L3下的74604数据包只是下一行“接收到的74604广播”所示的广播。除了轻松定义所有接口(无论是L2还是L3)之外,没有其他理由来创建它们。

#1 楼

如果使用VTP修剪,则可能不希望创建L2 SVI。如果进行修剪,则会从中继线修剪未使用的VLAN,从而减少不必要的广播/洪泛流量。但是,创建SVI会在交换机上创建一个“活动”接口。快速检查GNS3会得到以下内容:现在,如果我转到连接到Fa1 / 0的R2并键入R2(config)#int vlan 3,我们将看到以下内容:可以看到,除了SVI,VLAN 3中没有接口。再回到R1:

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1


如您所见,VLAN 3刚出现在中继线上,这增加了中继上的流量级别。

#2 楼

我不会说创建SVI是最佳实践。但是,如果您创建它,我认为不会有太大的问题。例如Catalyst 3750支持1000个SVI,而您不太可能会碰到。


问:在Cisco Catalyst 3750系列交换机上可以创建多少个SVI?最多可以创建1000个SVI。但是,SVI的最大数量取决于路由和多播条目的数量。例如,该交换机可以支持具有8000条路由和250个多播条目的64个SVI。


根据我的经验,SVI上的计数器不能真正被信任。

评论

要求SVI不带IP。这将创建一个路由表条目,并确实使负载平衡器的路由混乱。我了解计数器只有在未进行硬件切换时才会增加。

–generalnetworkerror
13年5月22日在9:03
抱歉,我的意思是我认为创建SVI并不是最佳实践,但我也认为这样做不会有任何危害。编辑了我的答案。

–丹尼尔·迪布(Daniel Dib)
13年5月22日在9:07
翻译:它占用了可用于其他所需功能的tcam / fib / idb / etc空间。

–瑞奇
13年5月22日在18:29

#3 楼

当没有特殊要求时,我永远不会创建SVI。我认为没有缺点,但是如果不添加无用的行,就可以使设备配置保持干净。这可以在故障排除会话期间提供帮助。

#4 楼

当必须为连接的以太网交换机端口提供Layer3服务时,SVI很有用。

SVI提供了一种将IP路由服务附加到交换机上已经存在的以太网Vlan的有效方法。它有效地使您不必为了提供HSRP或动态路由协议而购买外部路由器。


何时不为L2 VLAN创建SVI?


当您不希望用户使用这些功能时,或者您不想使配置复杂化时。这只是一个问题。我从来没有定义一个SVI,除非我需要在Vlan上使用IP路由服务。

评论

我澄清了问题...不寻找L3答案。

–generalnetworkerror
13年5月22日在10:20

#5 楼

我不会认为这是最佳实践,因为您不希望该交换机提供L3功能,则不需要它也没有用。现在,我想在此作为其余部分的序言,说除非我想要L3功能,否则我就不会这样做,所以我可能是错的。流量从接口“进”或“出”。我怀疑如果跨过您提到的SVI,您将看不到预期的流量。对自己进行测试感到很自在。例如,如果您还没有在SVI上禁用proxy-arp,它是否还会以其他VLAN中主机的SVI MAC地址响应?我怀疑它可以,如果可以,它将把流量路由到另一个VLAN吗?

#6 楼

从安全的角度来看,为VLAN添加可访问的IP可能具有危险。 -CPU队列。如果仅具有L2的简单VLAN,那么除了L2协议(haha)之外,没有什么会影响交换机及其控制平面的情况。如果添加了L3可达性信息,那么您突然就在处理L3所提供的功能,包括路由协议,黑洞,有限的FIB条目,以及在处理L2与L3时可能还可能使用不同的QoS模型。

无论如何,您都在增加网络的复杂性。复杂性不好。

正如KISS规则所述,您不要“自动”将SVI添加到L2 VLAN。如果仅用于L2操作,我什至将其添加到界面的“描述”中。

评论

每个人都在SVI中挂接到L3。也许我使用的术语不正确。我问的是创建vlan x之后,进入创建vlan接口且未配置IP的接口vlan x的优缺点。

–generalnetworkerror
13年5月22日在10:47


从这个意义上讲,这完全取决于您所给盒子的体系结构。使用Cisco Catalysts,您要向IDB添加逻辑接口,但不添加路由条目(以及TCAM空间请求)。无论如何,操作上的好处是您可以通过这种方式“稳定” SNMP索引,而且缺点是,某人可能会急于通过在看到一个不带IP地址的接口后添加IP来“修复”某些服务的配置。

–ŁukaszBromirski
13年5月22日在11:23


#7 楼

有些平台,例如我的“收藏夹” 6500,可能会对某些类型或某些流量产生强烈的负面反应,只要创建一个SVI,完全通过路由器交换就可以了。通常这将是非IP流量,但很难预测。

#8 楼

如果所讨论的VLAN是“私有”的,并且没有L3路由到任何地方(例如群集心跳),则第2层交换机上的SVI将使您的NOC能够ping接口,并获得ARP表,这对于故障排除很有帮助。如果您要讨论的VLAN已路由,则除了作为临时措施通过从交换机ping该VLAN的默认网关来证明VLAN已中继到该交换机(某些服务器专家需要证明)以外,没有什么其他好处/>