VXLAN分布式网关场景配置错误产生的问题
- 0关注
- 0收藏,60浏览
问题描述:
在VXLAN分布式网关的场景下,其他配置都正确,将evpn m-lag local local-ip remote remote-ip中的 local-ip和remote-ip配置错误时(本端写成对端,对端写成本端),LF设备单挂的服务器通过备设备的peerlink链路进行绕行时封装会产生什么影响吗?(比如LF3-B下挂的服务器A去ping 服务器B时,将流量发给F4-B,F4-B解封装后走peer-link横连)---正常配置的情况下应该带上s-vid和c-vid两层tag进行转发,在主设备上剥离tag,目前通过测试发现只有第一个包带上双层tag,后续的报文都只带上一层s-vid内层tag
在EVPN VXLAN + M-LAG分布式网关场景下,若两台Leaf设备的 evpn m-lag local-ip 和 remote-ip 配置错误(即本端误配了对端的IP地址),会导致控制平面与数据平面出现严重分裂,引发你描述的 "只有第一个包带双层Tag,后续报文只有单层Tag" 的异常行为。
具体影响机制如下:
一、控制平面影响:隧道建立失败,所有转发依赖Peer-link
当 evpn m-lag local 配置错误(local/remote互换),两台Leaf之间的BGP EVPN邻居关系实际上已经断裂。
正常情况下:Leaf-A以
Local-IP=A与 Leaf-B的Remote-IP=B建立BGP EVPN邻居,双方互相传递Type 2(MAC/IP路由)、Type 3(Inclusive Multicast)等路由信息,并自动建立VXLAN隧道。错误配置下:Leaf-A认为自己是
Local-IP=B,Leaf-B认为自己是Local-IP=A,BGP邻居无法正常建立,导致:两台Leaf之间未建立VXLAN隧道(
display vxlan tunnel看不到对端隧道)所有的EVPN Type 2/Type 3路由无法正常同步
在隧道缺失的情况下,Leaf设备必须通过Peer-link进行二层绕行转发(Flow-through)来兜底,这正是你流量路径的本质。
二、数据平面转发分析:双层Tag → 单层Tag 的根本原因
2.1 正常情况下的绕行转发
本地VXLAN VSI的报文在通过Peer-link透传时,通常要求携带外层S-VLAN和内层C-VLAN双层Tag。这是标准设计中Peer-link作为Trunk透传流量时的封装规范。
2.2 错误配置下的异常行为
不正确的local/remote-ip配置会导致Leaf在维护转发硬件表项时出现混乱:
报文在Peer-link绕行时,硬件转发表中并未稳定记录该流量需要携带双层Tag
流量虽能通过"MAC-in-MAC"互通,但帧格式违规
关键机制:当Leaf设备通过Peer-link转发VXLAN剥VLAN的报文时,会先自动学习并生成对应的转发处理方式。第一个包(首包)触发慢路径处理,由CPU或软件层面生成符合规范的双层Tag封装并下发至硬件。硬件在记录这个学习及入方向/出方向处理方式时,按规范记录了 "双层Tag" 的约束规则。
然而,由于local/remote-ip配置错误导致设备的状态机不一致,后续流量到达时,硬件查表处理时并未应用完整的"双层Tag + 相关AC规则匹配" 约束——导致表项错误地退化成了一个简化规则——即按单层Tag(仅S-VLAN)进行处理。
因此出现:首包带双Tag(CPU走慢路径送的),后续包缺了内层Tag(直接按硬件降级规则走)。
三、总结
| 现象 | 根本原因 | 结论 |
|---|---|---|
| 只有第一个包带双层Tag | 首包走慢路径触发CPU/软件学习,生成双Tag封装并下发硬件表项 | 配置错误导致表项熵增 |
| 后续报文只带单层Tag | 硬件表项因错误配置导致"降级",未稳定记录完整的双Tag映射规则 | Double Tag被错误地"优化"成了Single Tag |
| 物理Peer-link连通但VXLAN不通 | BGP EVPN邻居因local/remote配置错误无法建立 | 隧道缺失,流量依赖绕行Peer-link |
建议将两台Leaf设备的 evpn m-lag local 配置修正为 local 使用本端LoopBack,remote 使用对端LoopBack,且双方配置互为镜像,恢复BGP邻居和VXLAN隧道后,双Tag封装缺失的问题也将随之解决。
核心结论先给你
evpn m-lag local local-ip remote remote-ip 中 local-ip 和 remote-ip 写反 时,会直接破坏 EVPN M-LAG 的分布式网关协同逻辑,导致你测试中观察到的「仅首包带双层 tag、后续仅带一层 s-vid」的异常封装,根源是对端设备误将绕行流量识别为跨设备流量而非本设备二层转发。一、为什么写反会导致双层 tag 异常?
1. EVPN M-LAG 的正常协同逻辑
local-ip/remote-ip建立跨设备 MAC/ARP 同步通道,同时约定:- 单挂设备(如 LF3-B 下的服务器)的流量绕行对端时,peer-link 链路上的流量会被标记为 “跨设备流量”,仅在本端设备剥离内层 tag,不额外封装双层 tag。
- 对端设备(如 LF4-B)收到 VXLAN 报文后,解封装后识别到是本设备二层转发,仅带一层 s-vid 转发到 peer-link。
2. 写反配置后的逻辑错误
- 首包 ARP/ICMP 请求时,LF3-B 向 AGG 发送 VXLAN 报文,AGG 转发给 LF4-B,LF4-B 解封装后按正常逻辑封装 s-vid+c-vid 双层 tag,通过 peer-link 发给 LF4-A。
- 但 LF4-A 收到后,因对端的 M-LAG 协同 IP 写反,无法识别这是跨设备绕行流量,误判为普通二层转发,后续报文仅保留 s-vid 外层 tag,丢弃内层 c-vid。
二、你观察到的现象的直接解释
- 首包带双层 tag:首包是 ARP/ICMP 请求,LF4-B 按正常 VXLAN 解封装流程,为了跨设备转发,封装了
S-VLAN(VXLAN段)+ C-VLAN(业务VLAN)双层 tag,通过 peer-link 发送给 LF4-A。 - 后续报文仅带一层 s-vid:由于 LF4-A 和 LF4-B 的 M-LAG 协同 IP 写反,LF4-A 收到后续报文时,无法识别这是本设备 M-LAG 对端发来的绕行流量,误将其当作普通二层流量处理,仅保留外层 S-VLAN tag,剥离了内层 C-VLAN tag,导致你看到的单 tag 现象。
三、更严重的潜在影响(不止是 tag 异常)
- 跨设备 MAC/ARP 同步失效:协同 IP 写反会导致 EVPN M-LAG 的 MAC/ARP 同步通道建立失败,单挂设备的 MAC/ARP 无法在对端设备同步,后续流量会出现 MAC 漂移、ARP 学习异常。
- peer-link 流量防环机制失效:设备无法识别跨设备流量,peer-link 的单向隔离机制误判,可能导致流量在 M-LAG 设备间循环转发,产生广播风暴。
- 分布式网关功能失效:对端设备无法识别绕行流量,会将其当作普通三层流量处理,导致网关 ARP 学习错误,跨网段流量中断。
四、紧急修复与验证步骤
- 立即修正配置:在 LF3-A/LF3-B、LF4-A/LF4-B 上,将
evpn m-lag local local-ip remote remote-ip恢复为正确的本地 IP 和对端 IP(local-ip 为本设备 loopback 地址,remote-ip 为对端 loopback 地址)。 - 验证协同状态:确认 Peer 状态为bash运行
display evpn m-lag peer-infoEstablished,且本地 / 对端 IP 显示正确。 - 验证 tag 封装:用
display interface peer-link 1查看流量统计,确认跨设备绕行流量的 tag 封装为正常双层,无单 tag 异常。
关键总结
- 你观察到的 tag 异常,本质是M-LAG 协同 IP 写反导致的跨设备流量识别失败,不是 VXLAN 本身的封装问题。
- 写反配置不仅会导致 tag 异常,还会破坏分布式网关的核心协同机制,必须立即修正。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论