leaf直连终端

得先看下网关设备上可以学习到终端的ARP信息吗

在AD-Campus网络中，Leaf交换机直连终端后无法ping通网关，这是一个典型的配置或状态同步问题。接口配置与文档标准有差异，很可能是导致故障的根本原因。

在AD-Campus这种控制器驱动的SDN架构下，配置必须严格遵循标准模板，任何差异都可能导致业务不通。

 核心排查思路：从最可能的“认证与配置差异”入手

在AD-Campus网络里，绝大多数此类问题的根源在于“控制与转发的不一致”。我强烈建议你按以下优先级和步骤来排查：

• 优先排查项：认证信息不一致与BGP路由引入。

• 其次排查项：接口与服务实例配置差异。

• 基础排查项：物理层、VLAN、ARP等。

 1. 优先排查项：认证信息不一致

AD-Campus网络依赖控制器进行集中认证和管理，若终端在控制器上的认证信息与实际接入点（Leaf）的信息不匹配，会导致网络不通。

排查步骤：

1. 检查控制器与设备的认证信息：登录AD-Campus控制器，检查该终端的认证信息，确认其显示的接入Leaf设备和接口，是否与实际连接的物理端口完全一致。如果不一致，通常是信息未及时同步。

2. 检查终端MAC地址表项：在Leaf交换机上使用 display mac-address mac-address <终端MAC> 命令，检查终端的MAC地址表项。

3. 手动清理并重新认证（关键步骤）：如果发现不一致，最有效的解决办法是：

   • 在控制器上找到该终端的认证信息并删除。

   • 在Leaf交换机上，将终端的接入接口执行 shutdown 后再 undo shutdown，或让终端直接重新拔插网线。

   • 让终端重新进行802.1X认证。正常情况下，控制器会下发正确的配置，终端即可恢复正常。

 2. 其次排查项：BGP路由引入与ARP同步

在AD-Campus的VXLAN Fabric中，Leaf之间通过BGP EVPN同步路由信息。如果配置不当，可能出现去程和回程路由路径不一致的问题，导致ping不通。

排查与修复步骤：

1. 分析路由路径：检查Leaf交换机上VPN实例的路由表。如果发现去往终端的路由下一跳指向其他Leaf而非本机，很可能是BGP路由引入的问题。

2. 修复BGP配置：在Leaf设备上，检查并修改BGP配置：

   • 进入BGP视图 bgp as-number <AS号>。

   • 进入需要引入直连路由的VPN实例地址族视图 ipv4-family vpn-instance <VPN实例名>。

   • 在该视图下，确保配置了 import-route direct 命令，将直连路由引入BGP。

3. 检查ARP通告：在Leaf设备的业务VSI视图下，检查ARP通告配置是否正确。可以执行 display this 查看是否有 arp-advertising disable 命令，若有，尝试执行 undo arp-advertising disable 恢复。

 3. 专项排查：接口配置与标准文档的差异

你怀疑的配置差异确实是一个核心原因。AD-Campus环境中，接入终端的接口配置有严格标准，以下是一些关键点：

1. 接口类型必须为Trunk：直连终端的Leaf下行口，其端口类型必须配置为 port link-type trunk。

2. VLAN与VXLAN映射：接口下必须配置从VLAN到VXLAN的“服务实例”（Service Instance），这是实现VXLAN转发的关键。如果你的配置缺少或错误定义了这一步，业务必然不通。

3. MAC认证相关配置：接口下通常需要配置MAC认证相关命令，例如 mac-based ac、mac-authentication domain isp 等。

4. 接口加入正确的策略组：需要将接口加入名为 “用户直连-Leaf接口组” 的策略组中，以便控制器进行策略下发。

建议：将你当前Leaf下行口的配置，与官方配置指南或控制器下发的标准模板进行逐行对比，这是找出问题的直接方法。

 4. 基础排查清单

在完成以上专项排查前，建议先快速确认以下基础项，避免走弯路：

• 物理层与VLAN：确认网线/光模块、端口状态、双工模式正常。确认终端的IP、掩码、网关配置无误。确认Leaf接入接口的PVID（即Access VLAN）与终端所属VLAN一致。

• ARP与MAC地址表：在Leaf上执行 display arp 检查是否学到终端的ARP信息，以及 display mac-address 检查MAC地址表项。

• 控制器状态：在控制器上确认该Leaf设备和终端的接入接口已成功激活和纳管，状态均为“Up”。

• 安全策略与ACL：检查交换机上是否有ACL或端口安全策略错误地阻止了终端的ICMP流量。

一、先判断：是二层不通，还是三层不通

1. 终端能获取到 IP 吗？
   • 能获取 IP → 二层基本通，问题大概率在 网关 / VRF / 路由 / SVI
   • 不能获取 IP → 纯 二层问题（端口、VLAN、fabric 绑定、认证）
2. 终端 ping 网关
   • 直接不通、无回包 → 多半是 VLAN 没透传 / 接口模式错 / 绑定错误
   • 通一下就断、时通时不通 → STP、环路、认证策略、MAC 限制

二、Leaf 直连终端，接口配置必须严格一致的关键点

1. 接口模式必须是 access

2. 必须加入正确的业务 VLAN

3. 必须绑定 fabric（关键）

4. 必须配置 service-instance（很多文档必配）

5. 不能开认证（没部署 EIA/Portal 时）

6. STP 边缘端口

7. 接口不能 shutdown

三、网关层面（SVI / VBDIF）检查

1. Spine 或 Border 上 VBDIF 接口必须 UP
2. 必须绑定正确的 VPN 实例（VRF）
3. 同一 VNI/VLAN 在全网一致
4. 路由发布正常（BGP EVPN 有 IRB 路由）

四、你现在的 “接口配置与文档不一样” 会不会影响？

• port link-type 错
• VLAN 错
• 没绑 fabric
• service-instance 漏配
• 开了认证
• 接口被策略控制

五、最快定位步骤

1. 把 Leaf 下行口配置完全照文档抄一遍
2. 去掉认证（mac-authen/dot1x/portal）
3. 确认 VLAN、VNI、fabric 名全程一致
4. 查看接口状态：dis int g1/0/1、dis port vlan
5. 查看 fabric 绑定：dis fabric-binding interface
6. 看是否有丢包 / 阻塞：dis stp interface

补充一下，AD平台看绑定的接入用户是在线状态，但是在leaf上看不到ARP信息