L2 VLANのSVIを作成しない場合

スイッチ上でL2のみのVLANを作成する場合-ルーティングはロードバランサーなど、そのVLAN内のデバイスによって処理されます-VLANインターフェイスを作成する必要はありません。習慣として、私は常にとにかくインターフェイスを作成します-IPアドレスはありません-そのため、「shインターフェイス」ですべてのインターフェイスビットとパケットの統計情報を取得します。

L2インターフェースを作成するだけのベストプラクティスだと思うものに否定的な点はありますか？

するときは、作成またはんではない L2 VLANのためのインタフェースを作成しますか？

L3 VLAN SVIのメリットとユースケースではなく、L2 VLANのみを説明する回答を探しています。

シスコは、L2インターフェイスを私の6500上のEtherSVIとして報告します。IPアドレスはありません。L2インターフェイスをSVIとして考えるのは正しいですか、それとも間違っていますか？通常のユースケースはルーティング用のIPアドレスを持つことです。問題は、そもそもこのL2インターフェイスが必要かどうかだけです。L2カウンターのみが増加していることを確認できますが、それでもある程度の値が得られます。

s-oc4-n2-agg1#sh int vl281
Vlan281 is up, line protocol is up
  Hardware is EtherSVI, address is 0019.a925.2000 (bia 0019.a925.2000)
  Description: svi.SLB-FE-Web-Servers
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:02, output 00:00:10, output hang never
  Last clearing of "show interface" counters 1d12h
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 1138722618 pkt, 1070173012274 bytes - mcast: 76471 pkt, 8482399 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     74604 packets input, 8350307 bytes, 0 no buffer
     Received 74604 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     218 packets output, 17658 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

VTPプルーニングを使用する場合、L2 SVIを作成したくない場合があります。プルーニングがオンの場合、未使用のVLANはトランクからプルーニングされ、不要なブロードキャスト/フラッディングトラフィックが減少します。ただし、SVIを作成すると、スイッチに「アクティブな」インターフェイスが作成されます。GNS3のクイックチェックでは、次のことができます。

R1#show vlan-switch

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/1, Fa1/2, Fa1/3, Fa1/4
                                                Fa1/5, Fa1/6, Fa1/7, Fa1/8
                                                Fa1/9, Fa1/10, Fa1/11, Fa1/12
                                                Fa1/13, Fa1/14, Fa1/15
3    VLAN0003                         active
4    VLAN0004                         active
[output omitted]

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1

ここで、Fa1 / 0に接続されたR2に移動してタイプR2(config)#int vlan 3すると、次のように表示されます。

R2#show run interface vlan 3
Building configuration...

Current configuration : 38 bytes
!
interface Vlan3
 no ip address
end
R2#show run | include vlan 3
R2#

ご覧のとおり、SVIを除き、VLAN 3にはインターフェイスがありません。R1に戻ります。

R1#show interfaces trunk

Port      Mode         Encapsulation  Status        Native vlan
Fa1/0     on           802.1q         trunking      1

Port      Vlans allowed on trunk
Fa1/0     1-4094

Port      Vlans allowed and active in management domain
Fa1/0     1,3-4

Port      Vlans in spanning tree forwarding state and not pruned
Fa1/0     1,3

ご覧のように、VLAN 3がトランクで起動したばかりで、トランクのトラフィックレベルが増加しています。

SVIを作成することがベストプラクティスであるとは言いません。しかし、あなたがそれを作成するならば、私は多くの問題があるとは思いません。たとえば、Catalyst 3750は1000のSVIをサポートしていますが、ヒットする可能性は低いでしょう。

Q. Cisco Catalyst 3750シリーズスイッチで作成できるSVIはいくつですか？A.最大1000個のSVIを作成できます。ただし、SVIの最大数は、ルートとマルチキャストエントリの数に依存します。たとえば、スイッチは8000のルートと250のマルチキャストエントリを持つ64のSVIをサポートできます。

私の経験から、SVIのカウンターは実際には信頼できません。

特別な要件がない場合、SVIを作成することはありません。マイナス面はありませんが、無駄な行を追加することなく、デバイス構成をクリーンに保ちます。これは、トラブルシューティングセッションで役立ちます。

SVIは、接続されたイーサネットスイッチポートにLayer3サービスを提供する必要がある場合に役立ちます。

SVIは、スイッチにすでに存在するイーサネットVLANにIPルーティングサービスを接続する効率的な方法を提供します。HSRPまたは動的ルーティングプロトコルを提供するためだけに外部ルーターを購入する必要がなくなります。

L2 VLANのSVIを作成しないのはいつですか？

ユーザーにこれらの機能を公開したくない場合、または構成を複雑にしたくない場合。これは単なる好みの問題です。VlanでIPルーティングサービスが必要な場合を除き、SVIを定義することはありませんが、可能な限り最小限の構成を好みます。

スイッチがL3機能を提供することを望まない場合、それは不要または有用ではないため、これをベストプラクティスとは見なしません。さて、私はこれの残りを序文にしたいと思います。私は、L3機能が必要でない限り、これを絶対にしないと言っているので、間違っているかもしれません。

カウンターに言及しますが、トラフィックがインターフェイスに「入」または「出」ない限り、カウンターは増加しないはずです。言及したとおりに使用されているSVIにまたがる場合、期待するトラフィックが表示されないと思われます。

また、特定の機能でスイッチが何をするかについて懸念があり、それらをテストすることに不安を感じます。たとえば、SVIでproxy-arpも無効にしていない場合、他のVLANのホストのSVI MACアドレスで応答しますか？私はそれができると思いますが、もしそうなら、そのトラフィックを別のVLANにルーティングしますか？

VLANに到達可能なIPを追加することは、セキュリティの観点から潜在的に危険です。

また、IPへのトラフィック（ARP、IPv6 NDなどを含む）がto-CPUキューにヒットするため、安定性の観点からも脅威です。L2のみを使用した単純なVLANがある場合、スイッチとそのコントロールプレーンの状況に影響を与える可能性のあるL2プロトコル（笑）以外には何もありません。L3到達可能性情報を追加すると、ルーティングプロトコル、ブラックホール、制限付きFIBエントリ、L2とL3を扱う場合に可能性のある異なるQoSモデルなど、L3が提供するものを突然扱うことになります。

いずれにせよ、ネットワークに複雑さが加わります。複雑さは悪いです。

KISSのルールにあるように、SVIをL2 VLANに「自動的に」追加しないでください。L2操作専用の場合は、インターフェイスの「説明」に追加します。

私の「お気に入り」6500のようないくつかのプラットフォームがあります。これは、SVIを作成すると、ルーターを介して完全に切り替えられるのは問題ないトラフィックの種類または量に対して強い否定的な反応を示します。通常、これは非IPトラフィックになりますが、予測するのは非常に困難です。

問題のVLANが「プライベート」であり、どこにもL3ルーティングされていない場合（クラスターハートビートなど）、レイヤー2スイッチのSVIは、NOCがインターフェースをpingできるようにし、トラブルシューティングに役立つ大きなARPテーブルを取得します。問題のVLANがルーティングされている場合、VLANがスイッチからそのVLANのデフォルトゲートウェイにpingを送信することにより、VLANがそのスイッチにトランクされていることを証明する一時的な手段（いくつかのサーバーの人が証明する必要がある）を除いて、大きな利点はありません