VXLAN分布式网关场景配置错误产生的问题

在EVPN VXLAN + M-LAG分布式网关场景下，若两台Leaf设备的 evpn m-lag local-ip 和 remote-ip 配置错误（即本端误配了对端的IP地址），会导致控制平面与数据平面出现严重分裂，引发你描述的 "只有第一个包带双层Tag，后续报文只有单层Tag" 的异常行为。

具体影响机制如下：

一、控制平面影响：隧道建立失败，所有转发依赖Peer-link

当 evpn m-lag local 配置错误（local/remote互换），两台Leaf之间的BGP EVPN邻居关系实际上已经断裂。

• 正常情况下：Leaf-A以 Local-IP=A 与 Leaf-B的 Remote-IP=B 建立BGP EVPN邻居，双方互相传递Type 2（MAC/IP路由）、Type 3（Inclusive Multicast）等路由信息，并自动建立VXLAN隧道。

• 错误配置下：Leaf-A认为自己是 Local-IP=B，Leaf-B认为自己是 Local-IP=A，BGP邻居无法正常建立，导致：

  • 两台Leaf之间未建立VXLAN隧道（display vxlan tunnel 看不到对端隧道）

  • 所有的EVPN Type 2/Type 3路由无法正常同步

在隧道缺失的情况下，Leaf设备必须通过Peer-link进行二层绕行转发（Flow-through）来兜底，这正是你流量路径的本质。

二、数据平面转发分析：双层Tag → 单层Tag 的根本原因

2.1 正常情况下的绕行转发

本地VXLAN VSI的报文在通过Peer-link透传时，通常要求携带外层S-VLAN和内层C-VLAN双层Tag。这是标准设计中Peer-link作为Trunk透传流量时的封装规范。

2.2 错误配置下的异常行为

不正确的local/remote-ip配置会导致Leaf在维护转发硬件表项时出现混乱：

• 报文在Peer-link绕行时，硬件转发表中并未稳定记录该流量需要携带双层Tag

• 流量虽能通过"MAC-in-MAC"互通，但帧格式违规

关键机制：当Leaf设备通过Peer-link转发VXLAN剥VLAN的报文时，会先自动学习并生成对应的转发处理方式。第一个包（首包）触发慢路径处理，由CPU或软件层面生成符合规范的双层Tag封装并下发至硬件。硬件在记录这个学习及入方向/出方向处理方式时，按规范记录了 "双层Tag" 的约束规则。

然而，由于local/remote-ip配置错误导致设备的状态机不一致，后续流量到达时，硬件查表处理时并未应用完整的"双层Tag + 相关AC规则匹配" 约束——导致表项错误地退化成了一个简化规则——即按单层Tag（仅S-VLAN）进行处理。

因此出现：首包带双Tag（CPU走慢路径送的），后续包缺了内层Tag（直接按硬件降级规则走）。

三、总结

建议将两台Leaf设备的 evpn m-lag local 配置修正为 local 使用本端LoopBack，remote 使用对端LoopBack，且双方配置互为镜像，恢复BGP邻居和VXLAN隧道后，双Tag封装缺失的问题也将随之解决。