Depuis la nuit des temps du CCNA, on nous martèle sans cesse, il ne faut jamais utiliser Vlan 1 dans un réseau. Ceci dit, on ne nous explique jamais pourquoi. Vlan 1 est le meilleur moyen de mettre en place un réseau rapide. Rien à faire : il suffit juste de brancher les hôtes sur le switch, les configurer dans le même réseau, et boom tout marche😃.
Je voudrai cependant attirer votre attention sur l’interaction de OTV avec ce fameux Vlan 1.
Il faut retenir les choses suivantes :
- Vlan 1 existe dans tous les switchs
- Il ne peut pas être supprimer de la base de vlan.
- no vlan 1 ne va pas t’aider
- Un SVI Vlan 1 est toujours créé dans un switch même s’il n’est pas visible.
- Le SVI Vlan 1 ne peut être supprime
- no interface vlan 1 ne va pas t’aider
Le problème :
Dans un design OTV, il existe toujours un Adjacency Edge Device (AED). L’AED est bridge entre le monde L2 et L3. Il prend les vlans L2 et les encapsule en OTV avant de les envoyer vers ses autres peers OTV. Comme illustre ci-dessus avec les liens blues pour le L2 et les liens rouges pour le L3.
Il a certaines règles très strictes pour l’AED. On va se focaliser sur celle qui va nous poser des problèmes : le SVI d’un vlan ne peut exister sur l’AED s’il est entendu par OTV.
Voici les FAQ :
Q1 : Le vlan est étendu via OTV. Puis-je créer une interface SVI pour ce vlan dans le même VDC ?
R1 : Prenons l’exemple du vlan 15 ci-dessous
Au moment de créer l’interface SVI, vous aurez ce message d’erreur
N7K-OTV# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-OTV(config)# interface vlan 15
ERROR: Interface vlan/bdi 15 is OTV Extended VLAN
Error: Invalid range: Vlan15
N7K-OTV(config)
Ce message nous rappelle que dès qu’un vlan est étendu via OTV, le SVI ne peut exister sur l’AED.
Q2 : L’interface SVI est déjà créée pour le vlan. Puis-je étendre le vlan via OTV ?
R2 : Considérons l’exemple du vlan 21 dont le SVI est déjà créé.
N7K-OTV# show running-config interface vlan 21
version 7.3(1)D1(1)
interface Vlan21
no shutdown
N7K-OTV#
Ci-dessous on trouve la configuration de OTV. Vlan 21 n’est pas encore étendu via OTV.
N7K-OTV# show running-config otv
version 7.3(1)D1(1)
feature otv
!
otv site-vlan 222
!
interface Overlay1
otv join-interface Ethernet3/18
otv control-group 239.1.1.1
otv data-group 232.1.1.0/24
otv extend-vlan 20
no shutdown
!
otv-isis default
vpn Overlay1
!
otv site-identifier 0000.0000.0002
!
N7K-OTV#
En essayant d’étendre le vlan 21 via OTV, on reçoit le message d’erreur suivant :
N7K-OTV# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-OTV(config)# interface overlay 1
N7K-OTV(config-if-overlay)# otv extend-vlan add ?
<1-3499,3628-4093> VLAN IDs of VLANs to be extended
N7K-OTV(config-if-overlay)# otv extend-vlan add 21
Vlan 21 is configured as SVI. Cannot have same vlan extended.
N7K-OTV(config-if-overlay)#
Ce message d’erreur nous rappelle que lorsqu’une interface SVI est configurée, le vlan ne peut plus être entendu via OTV.
Q3 : Je voudrai configurer un SVI comme join-interface, et je ne prévois pas d’étendre le vlan de ce dernier via OTV. Est-il possible ?
R3 : Utiliser une interface SVI comme join-interface est supporté tant que le vlan de ce dernier n’est pas étendu via OTV.
Q4 : J’utilise une interface SVI et le vlan de ce dernier est entendu via OTV. L’AED n ‘a pas généré de message d’erreur comme illustre plus haut en rouge. Est-ce une confirmation que la combinaison SVI et vlan entendu marche ?
R4 : Les versions NXOS avant 7.3 ne font pas de check de compatibilité. Bien vrai que les commandes sont acceptées par le switch, le feature configuré en premier sera accepté par le switch (le SVI ou l’extension).
Maintenant que les limitations sont claires, revenons à notre problème du Vlan 1. Comme mentionne plus haut, le vlan 1 existe dans tous les switchs. Aussi il existe toujours le SVI du Vlan 1. En essayant d’entendre Vlan 1, cela ne marchera jamais car comme évoqué dans la réponse 4, le SVI « invisible » prendra le dessus par rapport à l’extension 😉.
On peut penser à désactiver l’interface SVI du Vlan 1 comme illustre ci-dessous :
N7K-OTV# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N7K-OTV(config)# interface overlay 1
N7K-OTV(config-if-overlay)# otv extend-vlan add vlan 1
Vlan 1 is configured as SVI. Cannot have same vlan extended.
N7K-OTV(config-if-overlay)# exit
N7K-OTV(config)# no interface vlan 1
Warning : Interface vlan/bdi 1 is the default interface vlan and cannot be deleted.
Rappel règle 1 & 2 : Ni le Vlan 1 ni l’interface SVI Vlan 1 ne peuvent être supprimes
PS : Même si le SVI du Vlan 1 existe en dehors de l’AED, le problème reste le même.
Solutions de contournement :
S0 : Éviter d’utiliser le Vlan 1 en production. SVP 😇
S1 : Migrer Vlan 1.
Cette solution va fortement dépendre de votre infrastructure, de la criticité des hôtes et de la taille qu’occupe le vlan 1 dans votre infra. Malheureusement, dans la plupart des cas, ce vlan fut un des premiers crée et est hyper critique.
La migration consiste aux étapes suivantes :
- Créer un vlan X non utilise en guise de remplacement
- Propager le vlan X dans toutes les parties où existe le vlan 1
- Migrer les fonctionnalités de l’interface vlan 1 vers interface vlan X
- Remplacer le vlan X vers vlan 1 (access port et trunk)
Il va de soit sans dire qu’il y aura un impact et coupure. Il faudra aussi le faire dans tous les sites où vlan 1 est utilisé. Aussi il faut prendre en compte les hôtes qui utilisent le vlan 1 en mode 802.1Q.
S2 : Vlan Translation
Cette solution, plus flexible, permet de présenter un nouveau vlan X à OTV afin de le transporter jusqu’aux site d’extension et le représenter en Vlan 1 à la destination. Cool non. Ce feature est très efficace aussi en cas de fusion de 2 entités qui utilisent les mêmes vlans IDs.
En conclusion :
Vlan 1 ne pourra pas être étendu via OTV pour les raisons évoquées plus haut donc gare à ceux qui s’entêtent d’utiliser le vlan 1 en production.