L2 VLAN에 대한 SVI를 작성하지 않을 때?

스위치에서 L2에 대해서만 VLAN을 생성 할 때 라우팅은로드 밸런서와 같은 해당 VLAN 내의 장치에 의해 처리됩니다 . VLAN 인터페이스를 생성 할 필요는 없습니다 . 습관적으로, 나는 항상 IP 주소가없는 인터페이스를 만듭니다. 그래서 모든 인터페이스 비트와 패킷 통계를 "sh interface"로 얻습니다.

L2 인터페이스를 만드는 가장 좋은 방법이라고 생각하는 것에 부정적인 점이 있습니까?

언제 L2 VLAN에 대한 인터페이스를 작성하거나 작성 하지 않습니까?

L3 VLAN SVI의 장점과 사용 사례가 아닌 L2 VLAN 만 다루는 답변을 찾고 있습니다.

Cisco는 IP 주소가없는 6500에서 L2 인터페이스를 EtherSVI로보고합니다. L2 인터페이스를 여전히 SVI로 생각하는 것이 맞거나 틀리는가? 우리 모두가 일반적인 유스 케이스가 라우팅을 위해 IP 주소를 갖는 것임을 알고 있습니까? 문제는 처음 에이 L2 인터페이스를 가져야하는지 여부에 관한 것입니다. L2 카운터 만 증가하지만 여전히 일부 값을 제공 하는 것을 볼 수 있습니다 .

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

VTP 정리를 사용하는 경우 L2 SVI를 작성하지 않을 수 있습니다. 정리가 설정되어 있으면 사용하지 않는 VLAN이 트렁크에서 정리되어 불필요한 브로드 캐스트 / 홍수 트래픽이 줄어 듭니다. 그러나 SVI를 생성하면 스위치에 "활성"인터페이스가 생성됩니다. GNS3에서 빠른 검사는 다음을 제공합니다.

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

이제 R2로 이동하여 Fa1 / 0에 연결하고을 입력 R2(config)#int vlan 3하면 다음이 표시됩니다.

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

보다시피, SVI를 제외한 VLAN 3의 인터페이스는 없습니다. 그리고 R1로 돌아갑니다.

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

보시다시피, VLAN 3은 트렁크에 올라와 트렁크 의 트래픽 수준에 추가되었습니다.

SVI를 작성하는 것이 가장 좋습니다. 그러나 나는 당신이 그것을 만들면 많은 문제가있을 것이라고 생각하지 않습니다. 예를 들어 Catalyst 3750은 1000 개의 SVI를 지원하므로 적중하지 않을 수 있습니다.

Q. Cisco Catalyst 3750 Series 스위치에는 몇 개의 SVI를 만들 수 있습니까? A. 최대 1000 개의 SVI를 생성 할 수 있습니다. 그러나 최대 SVI 수는 경로 수와 멀티 캐스트 항목에 따라 다릅니다. 예를 들어, 스위치는 8000 개의 경로와 250 개의 멀티 캐스트 항목이있는 64 개의 SVI를 지원할 수 있습니다.

내 경험상 SVI의 카운터는 실제로 신뢰할 수 없습니다.

특별한 요구 사항이 없을 때 SVI를 만들지 않습니다. 단점은 없지만 쓸모없는 라인을 추가하지 않으면 장치 구성을 깨끗하게 유지할 수 있습니다. 세션 문제 해결 중에 도움이 될 수 있습니다.

SVI는 연결된 이더넷 스위치 포트에 Layer3 서비스를 제공해야 할 때 유용합니다 .

SVI는 스위치에 이미 존재하는 이더넷 Vlan에 IP 라우팅 서비스를 연결하는 효율적인 방법을 제공합니다. HSRP 또는 동적 라우팅 프로토콜을 제공하기 위해 외부 라우터를 구입할 필요가 없습니다.

언제 L2 VLAN에 대한 SVI를 작성하지 않습니까?

사용자가 이러한 기능에 노출되는 것을 원하지 않거나 구성을 복잡하게하고 싶지 않은 경우. 이것은 단지 맛의 문제입니다 ... Vlan에서 IP 라우팅 서비스가 필요하지 않으면 SVI를 정의하지 않습니다 ...하지만 가능한 경우 최소 구성을 선호합니다.

스위치가 L3 기능을 제공하지 않으려는 경우 필요하지 않거나 유용하지 않으므로이 방법을 모범 사례로 간주하지 않습니다. 이제 L3 기능을 원하지 않는 한 절대 안한다고 말함으로써 나머지 부분의 서문을 작성하고 싶기 때문에 잘못되었을 수 있습니다.

카운터를 언급했지만 트래픽이 인터페이스에서 "입력"또는 "아웃"되지 않으면 카운터가 증가하지 않아야합니다. 언급 한대로 SVI를 사용하면 예상 트래픽이 표시되지 않을 것입니다.

또한 스위치가 특정 기능으로 무엇을 할 것인지에 대해 우려 할 것이며 테스트에 익숙하지 않을 것입니다. 예를 들어, SVI에서 proxy-arp를 비활성화하지 않은 경우 다른 VLAN의 호스트에 대해 SVI MAC 주소로 계속 응답합니까? 가능한지 의심 스럽지만 트래픽이 다른 VLAN으로 라우팅됩니까?

VLAN에 도달 가능한 IP를 추가하는 것은 보안 관점에서 위험 할 수 있습니다.

또한 IP (ARP, IPv6 ND 등 포함) 트래픽이 CPU 간 대기열에 도달하면 안정성 관점에서 위협이됩니다. L2 만있는 간단한 VLAN이있는 경우 스위치의 상황과 제어 평면에 영향을 줄 수있는 L2 프로토콜 (haha) 외에는 아무것도 없습니다. L3 도달 가능성 정보를 추가하면 라우팅 프로토콜, 블랙홀 링, 제한된 FIB 항목, L2 대 L3을 처리 할 때 가능한 다른 QoS 모델 등 L3이 제공하는 기능을 갑자기 처리하게됩니다.

어쨌든 네트워크에 복잡성을 추가하고 있습니다. 복잡성이 나쁘다.

KISS 규칙에 따르면 SVI를 L2 VLAN에 "자동으로"추가하지 마십시오. L2 작업 전용 인 경우 인터페이스의 '설명'에 추가합니다.

내 "favorite"6500과 같은 일부 플랫폼이 있습니다. SVI를 생성하면 라우터를 통해 완전히 전환되는 것이 좋을 수도있는 일부 유형 또는 트래픽 양에 강한 부정적인 반응을 보일 수 있습니다. 일반적으로 이것은 IP가 아닌 트래픽이지만 예측하기는 매우 어렵습니다.

문제의 VLAN이 L3가 아닌 (클러스터 하트 비트와 같이) L3 라우팅되지 않은 '비공개'인 경우 계층 2 스위치의 SVI는 NOC에서 핑 인터페이스를 활성화하고 ARP 테이블을 가져와 문제 해결에 큰 도움이됩니다. 문제의 VLAN이 라우팅 된 경우 스위치에서 해당 VLAN의 기본 게이트웨이를 핑하여 VLAN이 해당 스위치로 트렁크 (일부 서버 사용자는 증거가 필요함)로 트렁크됨을 증명하는 임시 조치를 제외하고는 큰 이점이 없습니다.