模拟器Evpn+Vxlan问题：服务器不能连通

模拟器支持的，检查下配置吧。

配置没问题实机测试b

根源分析：为什么VSI接口会DOWN？

问题的关键在于，H3C Comware V7平台的VSI虚接口状态，并非仅取决于你的配置，而是严格依赖于其底层的AC（接入电路）或VXLAN隧道状态。

一个VSI虚接口状态为UP需要满足两个条件中的至少一个：

1. 存在一个状态为UP的AC：即与该VSI关联的物理/虚拟端口处于正常工作状态。

2. 存在一个状态为UP的VXLAN隧道：即通往其他VTEP（VXLAN隧道端点）的VXLAN隧道已成功建立。

结合你的配置来看：

• 你的VSI接口配置了distributed-gateway local，这说明它是一个分布式网关（VXLAN IP Gateway）。

• 从你提供的信息看，你的环境中可能只有当前这台Leaf节点（GatewayLeaf@A）。在没有对端VTEP的情况下，VXLAN隧道无法建立。

• 因此，唯一能让VSI接口状态变为UP的途径，就是使其关联的AC状态为UP。但目前的AC状态很可能不满足要求。

请按以下顺序进行排查，并在每一步记录关键输出。

第一步：确认VSI接口状态

这是定位问题的第一步，确认问题现象。

第二步：检查底层AC与隧道状态（核心）

这是解决问题的核心，需要找出底层的AC或隧道为何未生效。

• 检查VSI详细信息：

  display l2vpn vsi verbose name SDN_VSI_110 在输出中，重点查看以下部分：

  • VSI State：是否为Up。

  • Tunnels部分：State是否为Up，如果为空或状态为Down，则说明没有建立隧道。

  • ACs部分：Link ID和State是否为Up。

• 检查物理端口及服务实例：

  • display interface GigabitEthernet 1/0/1：确认物理端口GigabitEthernet1/0/1状态为UP。

  • display l2vpn service-instance verbose interface GigabitEthernet1/0/1：检查服务实例110的状态。

第三步：验证VSI与网关的关联

确认VSI虚接口与VSI之间是否已正确关联。

• 检查VSI配置：

  display current-configuration vsi SDN_VSI_110 确认其下有gateway vsi-interface 110的配置。

第四步：排查网络与邻居

如果VXLAN隧道状态为DOWN，需要进一步检查BGP EVPN邻居状态，因为VXLAN隧道的建立通常依赖于BGP EVPN。

• display bgp evpn peer：检查BGP EVPN邻居是否为Established状态。

• display ip routing-table：检查到达对端VTEP的Loopback地址的路由是否可达。

第五步：查看系统日志

检查系统日志中是否有相关错误信息。

一、核心问题定位
你遇到的 VSI 网关（Vsi-interface1100）DOWN + 服务器能查 ARP 但 ping 不通网关，是 H3C EVPN+VXLAN 部署中最典型的配置错误组合，根因和解决步骤如下：
二、先看你现有配置的问题（逐行拆解）
1. 接口状态异常的直接原因
display ip int brief 中 Vsi-interface110 状态 DOWN，核心原因是：
VSI 接口绑定的 VSI 实例未正常建立，或EVPN 邻居未 UP，导致三层网关无法激活
你能查到 ARP，是因为二层 VXLAN 隧道通了（服务器 ARP 能泛洪到网关），但三层网关接口没起来，无法处理 ICMP 请求
2. 现有配置的关键错误
（1）VSI 接口配置错误
bash
运行
interface Vsi-interface110
description Net#DHCP_Server
ip binding vpn-instance Net#Mgt # 错误1：绑定了VPN实例，但VSI未关联该VPN
ip address 10.1.110.1 255.255.255.0
arp route-direct advertise
distributed-gateway local # 错误2：分布式网关配置，但未开启集中网关
#
错误 1：ip binding vpn-instance 会清空接口 IP，且必须在 VSI 中关联对应 VPN 实例，否则接口直接 DOWN
错误 2：distributed-gateway local 是分布式网关模式，此时集中网关（Vsi-interface）默认不生效，接口会 DOWN
（2）VSI 实例配置缺失
bash
运行
vsi SDN_VSI_110
gateway vsi-interface 110
arp suppression enable
vxlan 110
evpn encapsulation vxlan
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
#
缺失 ip binding vpn-instance Net#Mgt：和 VSI 接口绑定的 VPN 实例不匹配，导致接口无法激活
缺失 EVPN 邻居配置：evpn enable、peer X.X.X.X enable，导致 EVPN 邻居未 UP，VXLAN 隧道未建立
（3）接入接口配置冲突
bash
运行
interface GigabitEthernet1/0/1
port link-mode bridge
description Link-to-DHCP_Server
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 110
port trunk pvid vlan 110
combo enable fiber
stp edged-port
#
service-instance 110
encapsulation untagged
xconnect vsi SDN_VSI_110 access-mode ethernet
#
严重冲突：接口同时配置了 Trunk（VLAN110） 和 Service-instance（untagged 绑定 VXLAN）
Trunk 模式下，服务器流量会被二层转发到 VLAN110，不会进入 VXLAN
Service-instance 配置完全失效，导致 VXLAN 和 VLAN 流量混乱，ARP 能通但三层不通
三、完整修复方案（直接复制可用）
1. 第一步：修复 VSI 接口（解决 DOWN 问题）
bash
运行
system-view
# 1. 先删除错误配置，重新配置VSI接口
undo interface Vsi-interface110
interface Vsi-interface110
description Net#DHCP_Server_Gateway
# 若不需要VPN实例，直接删除ip binding，否则必须在VSI中关联
# ip binding vpn-instance Net#Mgt # 如需VPN，保留并在VSI中同步
ip address 10.1.110.1 255.255.255.0
# 分布式网关模式下，必须开启集中网关，否则接口DOWN
distributed-gateway local central-gateway
arp route-direct advertise
quit
2. 第二步：修复 VSI 实例（关联 VPN+EVPN 邻居）
bash
运行
# 2. 重新配置VSI实例，同步VPN实例，开启EVPN
vsi SDN_VSI_110
# 同步VSI接口的VPN实例（若接口绑定了VPN，必须加这行）
# ip binding vpn-instance Net#Mgt
gateway vsi-interface 110
arp suppression enable
vxlan 110
evpn encapsulation vxlan
# 配置EVPN邻居（对端Leaf的Loopback地址，即BGP EVPN peer）
evpn enable
peer 10.255.0.2 enable # 替换为对端Leaf的Loopback0 IP
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
quit
3. 第三步：修复接入接口（解决 Trunk+Service-instance 冲突）
bash
运行
# 3. 彻底删除Trunk配置，仅保留Service-instance（VXLAN接入）
interface GigabitEthernet1/0/1
port link-mode bridge
description Link-to-DHCP_Server
# 删除所有Trunk相关配置，改为Access模式（或直接清空）
default
# 仅保留Service-instance，untagged接入VXLAN
service-instance 110
encapsulation untagged
xconnect vsi SDN_VSI_110 access-mode ethernet
quit
stp edged-port
quit
4. 第四步：验证 EVPN 邻居和 VXLAN 状态
bash
运行
# 1. 查看EVPN邻居是否UP
display evpn peer verbose
# 2. 查看VXLAN隧道是否建立
display vxlan tunnel
# 3. 查看VSI接口状态（必须UP/UP）
display ip interface brief Vsi-interface110
# 4. 查看ARP表项（确认服务器ARP已学到）
display arp interface Vsi-interface110
四、关键原理说明（为什么会出现这个问题）
1. 为什么能查 ARP 但 ping 不通？
ARP 是二层报文：服务器发 ARP 请求，通过 VXLAN 二层隧道泛洪到 Leaf 的 VSI 接口，网关回复 ARP，所以能查到 ARP
ICMP 是三层报文：需要 VSI 接口（三层网关）UP 才能处理，接口 DOWN 时，网关无法响应 ICMP 请求，导致 ping 不通
2. 为什么 VSI 接口会 DOWN？
分布式网关模式下，默认仅分布式网关生效，集中网关（Vsi-interface）不激活，必须加 distributed-gateway local central-gateway 才能让集中网关 UP
若 VSI 接口绑定了 VPN 实例，但 VSI 未关联该 VPN，接口会直接 DOWN
EVPN 邻居未 UP，VXLAN 隧道未建立，三层网关无法激活
3. 为什么 Trunk+Service-instance 会冲突？
H3C 交换机中，接口配置 Trunk 后，Service-instance 仅对 Tagged 流量生效，你配置了encapsulation untagged，导致服务器 untagged 流量被 Trunk 转发到 VLAN110，完全不进入 VXLAN
正确做法：接入接口仅配置 Service-instance，删除所有 Trunk/VLAN 配置，让 untagged 流量直接进入 VXLAN
五、额外排查点（若修复后仍不通）
BGP EVPN 邻居是否 UP：
需在 Spine/Leaf 上配置 BGP EVPN，邻居必须 UP，否则 VXLAN 隧道无法建立
命令：display bgp evpn peer
VXLAN 隧道是否建立：
命令：display vxlan tunnel，必须有对端 Leaf 的隧道
服务器网关是否正确：
服务器网关必须配置为 10.1.110.1，和 VSI 接口 IP 一致
ARP 路由直连是否生效：
命令：display arp route-direct，确认服务器 ARP 已生成直连路由
六、极简版正确配置（无 VPN 场景）
bash
运行
# 1. VSI接口
interface Vsi-interface110
ip address 10.1.110.1 255.255.255.0
distributed-gateway local central-gateway
arp route-direct advertise
quit

# 2. VSI实例
vsi SDN_VSI_110
gateway vsi-interface 110
vxlan 110
evpn encapsulation vxlan
evpn enable
peer 10.255.0.2 enable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
quit

# 3. 接入接口
interface GigabitEthernet1/0/1
port link-mode bridge
service-instance 110
encapsulation untagged
xconnect vsi SDN_VSI_110 access-mode ethernet
quit
stp edged-port
quit