DC内交换机VXLAN二层网络不通问题排查

2023年12月23日发(作者：)

DC内交换机VXLAN二层网络不通问题排查一、开始

在控制平面EVPN方式下，数据中心内（DC内）VXLAN二层网络不通排查思路如下：

1）步骤1：确定EVPN邻居是否建立，如果没有建立，需要排查BGP配置是否正确及VTEP IP是否可达。 2）步骤2：确定VXLAN

版权所有:杭州华三通信技术有限公司

tunnel是否UP，如果VXLAN隧道不UP，拨打4008100504寻求帮助。

3）步骤3：确定AC口VLAN与VXLAN映射配置是否正确，如果AC口配置不正确，需要更改成正确的配置。

4）步骤4：确定MAC地址是否相互学习到，确保不同站点设备相同VSI视图下的RT值有交集。

5）步骤5：确定是否是大包不通，小包可通，如果是，那么需要检查网络中软转设备的MTU值。

6）步骤6：如果以上问题都不存在，那么收集信息，拨打4008100504寻求帮助。1、确定EVPN邻居是否建立 首先需要查看两端设备的EVPN邻居是否建立 命令： display

bgp [instance instance ] peer l2vpn evpn

如下：正常情况下，两端的EVPN邻居状态为established表示邻居建立。

2、确定VTEP IP是否可达及排查BGP配置是否正确

如果EVPN邻居不能建立，那么需要先排查underlay网络VTEP

IP是否可达及BGP配置是否正确。通过ping测试VTEP IP是否可达，例如：

版权所有:杭州华三通信技术有限公司

如果VTEP IP不可达，需要排查underlay网络是否将VTEP IP引入路由，如果VTEP

IP可达，但是BGP邻居还是不能建立，那么需要排查BGP EVPN配置是否正确。

通过命令：display current-configuration con bgp 查看BGP EVPN配置是否正确。

例如：

EVPN的配置主要是在BGP中增加了EVPN地址族：address-family l2vpn

evpn，需要在该地址族中使能bgp peer。3、确定VXLAN隧道是否正常建立

如果EVPN邻居能正常建立，但是网络依旧不通，那么需要看看VXLAN隧道是否正常建立。 命令：display interface tunnel 例如：通过这条命令可以查看隧道口是否UP。

版权所有:杭州华三通信技术有限公司

在EVPN中，只要EVPN邻居建立成功，并且两个站点有VSI所属的VXLAN相同，那么就会动态建立VXLAN隧道，隧道的源目的IP就是VTEP

IP，如果发现EVPN邻居成功建立，但是VXLAN隧道不能建立，那么先确定两个站点VSI所属的VXLAN是否配置成不一致了，如果一致，那么需要收集设备诊断信息，拨打4008100504寻求帮助。4、确定AC口VLAN与VXLAN映射配置是否正确

如果EVPN邻居建立成功，VXLAN隧道UP了，网络依旧不通，那么需要看看AC口的VLAN与VXLAN映射是否正确。

如果AC口VXLAN映射正确，那么是能学习到AC口下终端的MAC地址的。如下，正常情况下可以在本地AC口动态学习到下行终端的mac地址的。

版权所有:杭州华三通信技术有限公司

L2VTEP不能学习到下联终端的情况大多数是由于AC与VXLAN映射不正确：

例如，现场发现ten1/2/1下面的vlan

7的业务跨VXLAN二层不通，排查该AC口配置，只有vlan 18的报文映射到VXLAN

18,而，vlan 7的业务没有映射到vxlan当中，因此网络出现问题。

注意：还有其他映射不正确的情况，例如报文没有携带vlan标签，而AC口下是需要匹配VLAN的。5、修改AC口配置

需要在AC口修改正确的VLAN与VXLAN的映射，如上这个例子，需要增加VLAN

7和VXLAN 7的映射配置

版权所有:杭州华三通信技术有限公司

如果报文没有携带VLAN标签，那么需要更改AC口的封装模式为default，如下：

6、确定MAC地址是否能正常学习到

如果EVPN邻居正常，VXLAN隧道也UP，并且AC口配置也正常，但是网络不通，那么需要看远端MAC是否正确学习在正确的tunnel口上。虽然没有MAC地址，默认情况下，二层网络也可以由于流量泛洪互通，但是正常情况，设备都可以通过EVPN学习到远端MAC，因此需要通过命令：display l2vpn mac-address看看是否能正确学习到MAC地址。如下：正常情况下，可以学习到本地物理口的MAC地址和从tunnel学到的远端MAC地址。

版权所有:杭州华三通信技术有限公司

可以通过命令查看通过EVPN学习MAC的情况： 例如：

其中标红的字段表示EVPN的路由类型，这里的2表示第二类路由，代表MAC。

注：缺省情况下，VTEP从本地站点内接收到目的MAC地址未知的单播数据帧后，会在该VXLAN内除接收接口外的所有本地接口和VXLAN隧道上泛洪该数据帧，将该数据帧发送给VXLAN内的所有站点。为了防止大量未知单播流量泛洪到其他站点，一般建议不通过VXLAN隧道将其转发到远端站点，可以通过下面命令手工禁止VX版权所有:杭州华三通信技术有限公司

LAN对应VSI的泛洪功能。

7、确保不同站点设备相同VSI视图下的RT值有交集

EVPN中，可以通过RT值来进行MAC地址的取舍，ARP的取舍及路由的取舍。

VSI视图下的RT值来表示MAC地址的取舍，因此如果不同站点设备相同VSI视图下的RT值没有交集，那么将不能相互学到MAC地址。 例如：leaf1 vsi

SDN_VSI_10的RT值都为100：1，leaf2 vsi

SDN_VSI_10的RT值都为200：1，那么这两台设备不能相互学到MAC地址。

因此需要将RT值修改成有交集。 例如：

版权所有:杭州华三通信技术有限公司

注： 1. VSI实例中的RT值控制EVPN二类路由中MAC地址的学习 2.

VPN实例中EVPN协议族中的RT值控制EVPN二类路由中MAC/IP地址，也就是主机路由或者说是ARP的学习 3.

VPN实例中IPV4协议族中的RT值控制EVPN五类路由中IP前缀，也就是网段路由的学习 4.

如果VPN实例中无明确EVPN协议族和IPV4协议族RT值配置，则继承VPN实例中全局RT值。 5.

当路由需要在不同的VPN之间互引时，需要配置不同VPN的RT值相同，则需要配置路由策略，并且在VPN实例EVPN协议族和IPV4协议族视图中引用该路由策略实现。8、确定是否是大包不通

对于VXLAN网络，由于报文增加了50字节的包头，如果网络中仅仅是大包不通，小包通，那么可以怀疑报文超过了网络中某设备的MTU值。可以通过ping大包测试。

注：如果现场是12500-S/10500/7600/7600X/7500E/7500EX设备，并且并不只是大包不通，小包也不通，那么请确定VXLAN公网侧端口所在接口板类型是否为SG单板。如果不符合，那么转发会存在问题。 例如：12500-S/10500/7600X配置EVPN时，VXLAN公网侧端口必须位于以下SG接口板上：

版权所有:杭州华三通信技术有限公司

LSUM2QGS12SG0、LSUM2TGS32QSSG0、LSUM2TGS48SG0

具体单板类型请参考配置指导里面的EVPN限制章节。9、排查网络中软转设备的MTU值

我司交换机是硬件转发设备，对于转发的报文是看jumbo帧，不会受MTU影响，如果VXLAN网络中，有出现大包不通的情况，需要排查网络中是否有软转设备，可以全网调大软转设备的MTU值。请拨打热线400-810-0504版权所有:杭州华三通信技术有限公司