H3C S10506交换机关于EVPN VXLAN不通的问题
- 0关注
- 0收藏,35浏览
问题描述:
数据中心-1的H3C S10506交换机与数据中心-2的H3C MSR55-60交换机部署EVPN VXLAN,采用集中式部署的方式,数据中心-1的H3C S10506交换机承载网关,数据中心-2的H3C MSR55-60路由器为vxlan二层节点。全网underlay网络互通IGP协议采用ospd和静态路由两种。网络拓扑图如下,在数据中心-2中,因为vxlan二层节点部署在路由器上,所以从路由器的2接口接了一根线到核心交换机透传vlan,路由器采用子接口封装不同vlan。现在的问题是PC电脑(IP地址为10.0.23.100)可以ping通网关10.0.23.254,也可以ping通网关设备的loopback地址10.0.148.7,但是ping不通H3C S7306X-G核心交换机上面的10.0.103.254,就是除了网关设备本身拥有的IP地址以外,其他地址都ping不通。这是什么情况?可能是什么原因?
组网及组网描述:
网络拓扑图和配置内容如下:
一、现象与关键信息梳理
现象
PC 10.0.23.100 能 ping 通:
网关 10.0.23.254(S10506 的 VSI-interface23)
网关的 Loopback 地址 10.0.148.7
但 ping 不通同数据中心的 10.0.103.254(S7306X-G 核心交换机),说明:
EVPN VXLAN 二层连通性是正常的(PC→网关通)
跨三层(VXLAN → 传统 VLAN)的转发 / 路由存在问题
关键疑点
S10506 上,VLAN23 只在 VXLAN 中配置,没有传统二层接口接入
你在 Bridge-Aggregation50 下配置了 service-instance 23 绑定到 vsi vpn23,但这个接口目前没有实际主机接入,所以:
vsi vpn23 依赖这个接口 UP 来保持 VSI 状态,属于 “假 UP”
传统 VLAN(比如 VLAN103)的流量无法通过 S10506 与 VXLAN VLAN23 互通,因为S10506 上 VLAN23 和 VLAN103 没有三层 / 二层转发关系
S10506 作为 VXLAN 网关,没有把 VXLAN VLAN23 和传统 VLAN 打通
你现在的配置中:
vsi-interface23 是 VXLAN 的三层网关
Vlan-interface103 是传统 VLAN 的三层网关
两者在 S10506 上属于不同的三层接口,但没有配置任何策略让它们之间转发流量(比如路由、静态 ARP、或 VXLAN 到 VLAN 的桥接)
二、为什么 PC 能 ping 通网关,但 ping 不通同机房其他地址?
1. 能 ping 通网关和 Loopback 的原因
PC→10.0.23.254:VXLAN 二层转发正常,VSI-interface23 是 VXLAN 的三层接口,直接响应 ARP 和 ICMP
PC→10.0.148.7:S10506 的 Loopback 地址,属于设备本地地址,设备收到 ICMP 请求后直接本地回复,不需要跨三层转发
2. ping 不通 10.0.103.254 的根本原因
PC 访问 10.0.103.254 的流量路径:
PC → MSR56-60 VXLAN节点 → S10506 EVPN网关 → S7306X-G核心交换机
在 S10506 上,这包流量会:
从 VXLAN 二层转发到 VSI-interface23(10.0.23.254)
查找路由,发现 10.0.103.0/24 的下一跳是 S7306X-G
但 S10506 上,VXLAN VLAN23 和传统 VLAN103 之间没有转发关系,流量被丢弃
具体来说,存在两个问题:
路由层面:S10506 上必须有 10.0.103.0/24 的路由(OSPF 已发布,但你需要确认路由表是否存在)
转发层面:VXLAN 二层域(VLAN23)和传统 VLAN 域(VLAN103)在 S10506 上是隔离的,VSI-interface23 和 Vlan-interface103 之间没有配置三层转发,导致流量无法跨 VXLAN 和传统 VLAN 转发
三、核心配置问题与修复方案
问题 1:S10506 上,VLAN23 和 VLAN103 没有三层转发关系
验证:
bash
运行
display ip routing-table 10.0.103.254
display ip interface brief | include Vlan-interface103
display vsi vpn23 verbose
看 10.0.103.0/24 路由是否存在,且下一跳指向 S7306X-G。
修复:
确保 OSPF 已发布 10.0.103.0/24 网段
bash
运行
ospf 1
area 0
network 10.0.103.0 0.0.0.255
检查 S10506 上是否存在 10.0.103.0/24 的路由:
bash
运行
display ip routing-table 10.0.103.0
问题 2:S10506 上,VXLAN VLAN23 和传统 VLAN103 没有配置三层转发
修复:
S10506 上,vsi-interface23 和 Vlan-interface103 都是三层接口,只要路由存在,三层转发默认是开启的。但你需要确认:
两个接口都处于 UP 状态
bash
运行
display ip interface brief | include 23
display ip interface brief | include 103
没有配置 firewall 或 acl 限制接口之间的流量
问题 3:MSR56-60 上,VLAN23 透传配置可能存在问题
你在 MSR56-60 上用 G2/0/2.23 子接口封装 VLAN23 并绑定到 vsi vpn23,但需要确认:
G2/0/2.23 接口状态为 UP
与核心交换机 S12708 相连的接口 G1/1/0/21 是 trunk 模式,允许 VLAN23 通过
验证:
bash
运行
display interface GigabitEthernet 2/0/2.23
display vsi vpn23 verbose
display interface GigabitEthernet 1/1/0/21
四、快速排查步骤(按顺序执行)
在 S10506 上检查路由
bash
运行
display ip routing-table 10.0.103.254
若路由不存在:检查 OSPF 发布配置,或手动添加静态路由
若路由存在:继续下一步
在 S10506 上检查三层接口状态
bash
运行
display ip interface brief | include "23|103"
确保 vsi-interface23 和 Vlan-interface103 都是 UP 状态
在 S10506 上 ping 10.0.103.254
bash
运行
ping -a 10.0.23.254 10.0.103.254
若能 ping 通:说明 S10506 到 S7306X-G 的三层转发正常,问题在 VXLAN 二层转发
若不能 ping 通:说明 S10506 到 S7306X-G 的三层转发有问题,排查路由和接口
在 PC 上 traceroute 10.0.103.254
bash
运行
tracert 10.0.103.254
看数据包在哪一跳被丢弃,定位故障点
五、一句话总结
PC 能 ping 通网关,说明 EVPN VXLAN 二层转发正常;ping 不通其他地址,是因为S10506 上 VXLAN VLAN23 和传统 VLAN103 之间的三层转发 / 路由存在问题,优先排查路由发布、三层接口状态和 OSPF 配置。
- Underlay网络连通性正常:两台设备的底层IP路由、OSPF/静态路由配置无误。
- VXLAN隧道建立正常:VTEP之间的UDP封装和解封装通道是通的。
- 本地二层转发正常:PC到网关的二层ARP解析及本地三层接口响应均正常。
一、 检查 BGP EVPN 控制平面状态(最关键)
- 验证 EVPN 邻居状态:在两端执行
display bgp evpn peer,确认邻居是否处于Established状态。如果处于Active或Idle,说明 BGP 会话未建立。 - 验证 EVPN 路由表:在 S10506 上执行
display bgp evpn routing-table,检查是否能学习到来自 MSR55-60 的 Type-2 (MAC/IP) 路由;同时在 MSR55-60 上检查是否能收到来自 S10506 的路由。如果路由表为空,说明路由发布或导入导出策略存在问题。 - 检查 RT 和 RD 配置:确保两端的 Route-Target(RT)配置匹配。如果 RT 不一致,会导致 EVPN 路由被丢弃,无法互通。
二、 排查 MTU 与分片丢包问题
- 故障特征:小数据包(如 ping 默认大小)能通,但大包(如访问网页、传文件)不通或间歇性中断。
- 测试方法:在 PC 上执行带 DF 标志的大包 ping 测试,例如
ping -f -l 1472 10.0.103.254(假设物理链路MTU为1500)。 - 解决方案:建议将 Underlay 物理链路的 MTU 至少调整为 1550 或 1600,以容纳 VXLAN 头部开销。
三、 核查 MSR55-60 的 VLAN 透传与子接口配置
- VNI 与 BD/VLAN 映射:确认 MSR55-60 上的 VNI 是否正确绑定到了对应的 Bridge-Domain (BD) 或 VLAN 上。
- 子接口与 SVI 状态:检查路由器上用于对接核心的子接口状态是否为 UP,且 IP 地址配置正确。
- 核心交换机侧 Trunk 放行:确认 H3C S7306X-G 核心交换机连接 MSR55-60 的物理端口已配置为 Trunk 模式,并且允许了相关 VLAN 的报文通过。
四、 检查回程路由与安全策略
- S7306X-G 的回程路由:PC 能到达 10.0.103.254,但回包能否原路返回?请检查 S7306X-G 的路由表,确认是否存在指向 S10506 网关(或下一跳)去往 10.0.23.0/24 网段的路由。
- 安全策略/ACL拦截:检查 S10506、MSR55-60 以及 S7306X-G 上是否应用了 ACL 或安全域策略,意外阻断了 10.0.23.x 与 10.0.103.x 之间的互访流量。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
是不是因为在vxlan网关设备上面,暂时还没有接入主机的原因,所以导致远程主机无法跨网段互通