• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

HCL VSR-88配置VxLAN分布式网关-终端ping不通分布式网关

5天前提问
  • 0关注
  • 0收藏,102浏览
zhiliao_Cy3UrL
zhiliao_Cy3UrL 零段
粉丝:0人 关注:0人

问题描述:

在Leaf1、Leaf2、Spine、BoardLeaf上完成了VxLAN配置。

leaf1上配置的分布式网关为192.168.2.2(VxLan5010),BoardLeaf上配置的网关为192.168.2.1(VxLAN5010)。

VM1-1的地址为192.168.2.110/24, 网关地址为192.168.2.2

在leaf1上ping VM1-1(192.168.2.110)、ping BoadeLeaf(192.168.2.1)可以ping通;

但是VM1-1 ping 192.168.2.2 (Leaf1 分布式网关)不通;

从BoardLeaf 上ping192.168.2.2(Leaf1 分布式网关)不通。

组网及组网描述:

HCL版本为V5.10.2

VSR-88软件版本为version 7.1.070, Alpha 7170

 

4 个回答
按时间 按赞数
zhiliao_Gixe
zhiliao_Gixe 六段
粉丝:10人 关注:9人

排查步骤及关键命令
1. 检查Leaf1的VBDIF配置
确认VxLAN5010对应的VBDIF接口状态及绑定关系:
display interface Vbdif 5010(确认IP为192.168.2.2/24、状态Up)
display bridge-domain 5010(确认BD关联VNI5010和Vbdif5010正确)
2. 检查ARP与路由可达性
确认VM1-1的ARP条目及路由存在:
display arp all | include 192.168.2.110(需存在对应ARP条目)
display ip routing-table 192.168.2.110(确认路由可达)
3. 检查VTEP隧道状态
确认Leaf1与BoardLeaf的VxLAN隧道正常:
display nve vni 5010(VNI关联的VTEP隧道状态为Up)
display nve peer(确认BoardLeaf的VTEP地址可达)
4. 排查流量拦截
确认无ACL/防火墙拦截ICMP流量:
display acl all(无规则拦截ICMP)
display firewall session all(ICMP请求未被丢弃)
常见故障点:VBDIF与VNI绑定遗漏、VM1-1的ARP未学习、VTEP隧道异常。

刘浩存
刘浩存 九段
粉丝:17人 关注:1人

在 HCL 模拟器(V5.10.2)中使用 VSR-88 配置 VXLAN 分布式网关时,出现终端(VM)无法 ping 通本地分布式网关(Leaf1)的情况,这在 VXLAN 实验排查中是一个非常经典的问题。
结合你的组网描述和 HCL 模拟器的已知特性,导致该故障的原因主要集中在模拟器软件缺陷、VSR-88 设备自身的限制以及 VXLAN 底层转发机制这三个方面。以下是详细的排查思路和解决方案:

1. HCL 模拟器的已知缺陷与版本问题

HCL 模拟器在处理复杂的 VXLAN/EVPN 转发时,特定版本存在不稳定的情况。
  • 模拟器 Bug:在 HCL V5.10.2 等版本中,VXLAN 的 MAC 学习或 ARP 代理功能可能出现异常。例如,VXLAN 隧道默认启用了 MAC 学习功能,可能导致 Leaf 侧能学到客户端 MAC,但反向学习未正常触发,或者在重启拓扑后需要重新配置 service-instance 才能恢复通信。
  • 版本兼容性:虽然 HCL V5.10.0 及之后的版本支持 VXLAN,但官方和社区强烈建议使用 HCL V5.10.3 或更高版本以获得更稳定的体验。如果你有条件,建议升级模拟器版本后再进行测试。

2. VSR-88 在 VXLAN 中的角色限制

这是最容易被忽略的一点。在 HCL 模拟器中,VSR-88 对 VXLAN 的支持是有限的
  • 设备支持情况:HCL 中完整支持 VXLAN + EVPN 的设备主要是 S6850 交换机。VSR-88 虽然支持部分 VXLAN 三层网关功能,但在分布式网关(特别是本地终结与转发)的场景下,常常出现控制平面与数据平面转发不一致的问题。
  • 建议:如果实验拓扑允许,强烈建议将 VSR-88 替换为 S6850 交换机来充当 Leaf 和 Spine 节点,这能规避绝大多数因设备模拟不完善导致的转发故障。

3. 核心排查点:Underlay 网络的 MTU 问题

VXLAN 会在原始报文外额外封装约 50 字节的头部(外层 MAC + IP + UDP + VXLAN Header)。如果底层物理网络(Underlay)的 MTU 保持默认的 1500 字节,封装后的报文会因为超出 MTU 限制而被丢弃,导致 ARP 请求或 ICMP 报文无法到达网关。
  • 排查方法:在 Leaf1 和 Spine 互联的接口上,尝试调大 MTU(例如设置为 1550 或 1600)。
  • 测试命令:可以在 Leaf1 上尝试带大包测试底层连通性,例如 ping -s 1472 -f <对端VTEP地址>,如果大包不通而小包通,说明就是 MTU 问题。

4. VXLAN 隧道与网关配置核对

请再次确认 Leaf1 上的以下关键配置是否完整生效:
  • VSI 接口状态:确认 interface Vsi-interface 已经正确创建并绑定了 IP 地址(192.168.2.2),且该接口状态为 UP。
  • VNI 与 VSI 绑定:确认 VNI 5010 已经正确关联到了 VSI 接口,并且关联了正确的 VXLAN Tunnel 接口(指向 Spine 或其他 Leaf)。
  • ARP 学习:在 Leaf1 上执行 display arp,查看是否能学习到 VM1-1 (192.168.2.110) 的 ARP 条目。如果学不到 ARP,说明底层的 VXLAN 封装转发(即从 VM 到 Leaf 的流量)就已经失败了。

VXLAN 的 MAC 学习或 ARP 代理功能可能出现异常,包括VTEP站内VxLAN内访问失败吗? 在我这个实验中Leaf下通过1/0/50和1/0/51接口上来的终端都属于Vlan2, 通过service-instance关联到VxLAN5010,但是终端之间互访不通。抓包发现,leaf1不会在1/0/50和1/0/51两个端口之间泛洪ARP报文,只会在vxlan tunnel上泛洪ARP报文。即使leaf1 ARP记录有对应终端,也不会代答。

zhiliao_Cy3UrL 发表时间:4天前 更多>>

感谢指导!问题反馈的时候填写网元版本的时候写错了网元类型。Spine和Leaf节点用的交换机都是S6850,只有用来模拟服务器的Server用是S5820。leaf1上arp的学习是正常的 :<Leaf1>dis arp Type: S-Static D-Dynamic O-Openflow R-Rule M-Multiport I-Invalid IP address MAC address VLAN/VSI name Interface Aging Type 10.10.1.6 9a09-4567-0202 4094 XGE1/0/49 1133 D 192.168.2.1 9a09-4567-0200 vpn5010 Tunnel3 1180 D 192.168.2.110 0050-7966-6808 vpn5010 XGE1/0/50 1177 D 192.168.3.1 9a09-4567-0200 vpn5011 Tunnel3 1180 D

zhiliao_Cy3UrL 发表时间:4天前

VXLAN 的 MAC 学习或 ARP 代理功能可能出现异常,包括VTEP站内VxLAN内访问失败吗? 在我这个实验中Leaf下通过1/0/50和1/0/51接口上来的终端都属于Vlan2, 通过service-instance关联到VxLAN5010,但是终端之间互访不通。抓包发现,leaf1不会在1/0/50和1/0/51两个端口之间泛洪ARP报文,只会在vxlan tunnel上泛洪ARP报文。即使leaf1 ARP记录有对应终端,也不会代答。

zhiliao_Cy3UrL 发表时间:4天前
zhiliao_GeOM0O
zhiliao_GeOM0O 八段
粉丝:10人 关注:2人

一、现象与问题本质梳理

先把你的关键现象整理一下:
表格
测试场景结果
Leaf1 ping VM1-1(192.168.2.110)✅ 通
Leaf1 ping BoardLeaf(192.168.2.1)✅ 通
Leaf1 ping 自己的分布式网关(192.168.2.2)✅ 通(隐含,否则 leaf1 自己也 ping 不通)
VM1-1 ping Leaf1 的分布式网关(192.168.2.2)❌ 不通
BoardLeaf ping Leaf1 的分布式网关(192.168.2.2)❌ 不通
核心问题:
Leaf1 上的 192.168.2.2 这个分布式网关地址,在 VxLAN 网络中,无法被非 Leaf1 本地的设备(VM1-1、BoardLeaf)访问到
这在 VxLAN 分布式网关场景中,90% 以上的概率是这几个配置问题:
  1. Leaf1 的 VBDIF 接口没有发布到 EVPN
  2. Leaf1 上该 VNI 的 ARP 抑制 / 本地 ARP 学习配置错误
  3. BoardLeaf 的 VTEP 或 EVPN 邻居未正常建立
  4. Leaf1 的本地 VLAN 与 VNI 映射 / 三层接口配置错误

二、分步定位与排查(按优先级)

步骤 1:确认 Leaf1 的 VBDIF 接口与 VNI 配置

先检查 Leaf1 上 VxLAN 5010 对应的三层接口配置是否正确:
bash
运行
# 查看VBDIF接口状态 display interface Vbd-interface 5010 # 查看VNI映射 display vsi brief display vsi name 5010
关键检查点:
  • 接口 IP 是否为 192.168.2.2/24,状态是否为 UP
  • vsi 5010 下是否绑定了对应的本地 VLAN(比如你 VM1-1 所在的 VLAN2)
  • vsi 5010 下是否配置了 evpn encapsulation vxlan
  • vsi 5010 下是否配置了 arp distribute enable(EVPN ARP 同步)

步骤 2:确认 EVPN 中发布了 VBDIF 的主机路由

分布式网关的核心是:每个 Leaf 的 VBDIF 地址,必须通过 EVPN Type-5 路由发布到整个 Fabric
bash
运行
# 在Leaf1上查看EVPN路由发布情况 display bgp evpn instance vsi 5010 peer display bgp evpn route-type ip-prefix # 重点看是否有192.168.2.2/32的路由,且Origin为本地,状态为Valid display bgp evpn route-type ip-prefix 192.168.2.2 32
如果看不到这条路由,就是 Leaf1 没有把 VBDIF 地址发布进 EVPN。
修复配置(HCL VSR-88 V7 版本):
bash
运行
# Leaf1配置 vsi 5010 evpn encapsulation vxlan route-distinguisher 1.1.1.1:5010 vpn-target 1:5010 both arp distribute enable # 发布VBDIF地址为EVPN Type-5路由 bgp 1 instance evpn vrf vsi 5010 import direct 192.168.2.2 255.255.255.255
注意:部分版本需要在 VBDIF 接口下开启 evpn route advertise enable

步骤 3:检查 BoardLeaf 是否收到了 Leaf1 的 VBDIF 路由

在 BoardLeaf 上执行:
bash
运行
display bgp evpn route-type ip-prefix 192.168.2.2 32 display ip routing-table 192.168.2.2
  • 如果看不到路由:检查 BGP EVPN 邻居是否正常、RT 导入策略是否配置、BoardLeaf 的 VTEP 是否正确。
  • 如果能看到路由但 ping 不通:检查 BoardLeaf 到 Leaf1 的 VxLAN 隧道是否正常,用 display vxlan tunnel 查看隧道状态。

步骤 4:检查 VM1-1 的 ARP 与网关学习情况

在 Leaf1 上查看 VM1-1 的 ARP 和 MAC 表:
bash
运行
display arp interface Vbd-interface 5010 display mac-address vsi 5010
  • 能看到 VM1-1 的 ARP/MAC,但 VM ping 不通网关:
    大概率是 arp distribute enable 未配置,导致 Leaf1 收到 VM 的 ARP 请求后,无法将 ARP 回复封装成 VxLAN 报文发回 VM,或 VM 的 ARP 请求被丢弃。
  • 看不到 VM1-1 的 ARP:检查 Leaf1 下联交换机的 VLAN 透传、接入端口是否在正确 VLAN。

步骤 5:关键修复命令(通用模板)

给你一份 Leaf1 的完整关键配置模板,你可以对照检查:
bash
运行
# 1. 配置VTEP地址(Loopback0) interface LoopBack0 ip address 1.1.1.1 255.255.255.255 ospf 1 area 0 # 2. 配置VxLAN隧道接口 interface Vxlan1 vxlan source-interface LoopBack0 # 3. 创建VSI并绑定VNI vsi 5010 vxlan 5010 evpn encapsulation vxlan route-distinguisher 1.1.1.1:5010 vpn-target 1:5010 both arp distribute enable # 4. 绑定本地VLAN到VSI interface Bridge-Aggregation 10 port link-type trunk port trunk permit vlan 2 interface Vlan-interface 2 vsi 5010 # 5. 创建VBDIF接口(分布式网关) interface Vbd-interface 5010 ip address 192.168.2.2 255.255.255.0 mac-address 0001-0001-0001 # 建议手动配置,避免冲突 # 6. BGP EVPN配置 bgp 1 instance evpn peer 2.2.2.2 as-number 1 peer 3.3.3.3 as-number 1 peer 192.168.2.1 as-number 1 # BoardLeaf的VTEP vrf vsi 5010 import direct 192.168.2.2 255.255.255.255

三、为什么 Leaf1 ping VM1-1 能通,VM ping Leaf1 网关不通?

  • Leaf1 ping VM1-1:Leaf1 直接通过本地 ARP/VSI 表转发,不需要走 EVPN 或 ARP 同步,所以能通。
  • VM ping Leaf1 网关:VM 发 ARP 请求找 192.168.2.2,Leaf1 收到后:
    1. 如果没配置 arp distribute enable,Leaf1 无法将 ARP 回复通过 VxLAN 发回 VM(或回复被丢弃)。
    2. 如果 VBDIF 地址没发布到 EVPN,其他设备无法学习到 Leaf1 的网关地址,无法回复或转发。

四、额外排查点(HCL VSR-88 常见坑)

  1. HCL 版本兼容性:V5.10.2 搭配 VSR-88 Alpha 7170,部分 EVPN 特性有已知 bug,比如 Type-5 路由不生成、ARP 同步失效。
  2. VBDIF MAC 地址冲突:多个 Leaf 的 VBDIF 接口如果用了自动生成的 MAC,可能冲突,建议手动配置固定 MAC。
  3. BoardLeaf 是否为 VTEP:确认 BoardLeaf 也配置了 VxLAN、BGP EVPN,且和 Spine/Leaf1 的邻居正常。

zhiliao_Cy3UrL
zhiliao_Cy3UrL 知了小白
粉丝:0人 关注:0人

感谢各位的指导!

更正下组网中设备,都是leaf、spine和boardleaf都是S6850,server是S5820。

其中提到的bd和vbdif是不是华为的配置命令?H3C是vsi和vsi-interface,还是H3C有新版本更新了命令?

还有安装了V5.10.3版本后也是一样的问题,leaf1向上向下都能ping通, BoardLeaf ping leaf1的分布式网关地址能ping通,  但是下面的vm1-1 ping leaf1的分布式网关地址ping不通,leaf1的arp都是有的。


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2026新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明