EVPN配置连接PC不通

EVPN 接入 PC 内网不通、仅本机 IP 自通完整排查思路
一、核心现象总结
PC 网卡自通（127 / 本机同 IP）正常；
无法 ping 网关、交换机；
接入物理接口 UP，换 PC 故障复现；
EVPN Loopback 接口配置无误。
本质：二层转发隔离 / 三层网关路由 / ARP 抑制 / VLAN 映射 / 接口转发模式 任一环节阻断跨设备互通。
二、分层排查步骤（从接入到 EVPN 上层）
1. 接入物理接口基础校验（最优先）
确认接口模式
EVPN-VXLAN 接入 PC 必须为 access 模式，配置业务 VLAN；
plaintext
interface GigabitEthernet 1/0/1
port link-type access
port access vlan 10
undo shutdown
若配成 trunk 且未允许业务 VLAN、或设为 route 三层口，PC 无法上送 ARP 报文，网关无 ARP 条目，ping 不通。
关闭接口安全限制
plaintext
# 关闭端口安全、ARP防攻击（PC终端易触发拦截）
undo port-security enable
undo arp anti-attack check source-mac
# 关闭用户隔离，同EVPN网段互通
undo user-isolate
检查接口 MAC 学习
plaintext
display mac-address interface GigabitEthernet 1/0/1
无 PC MAC = 接口转发阻断；有 MAC 但网关无 ARP = ARP 抑制 / 网关无回程路由。
2. VXLAN EVPN 二层映射校验
确认 VLAN-VNI 绑定正确
plaintext
vsi EVPN-VSI10
vlan 10
evpn encapsulation vxlan
业务 VLAN 必须绑定对应 VSI 实例，否则本地二层都不通。
EVPN 广播组泛洪配置
PC ARP 请求是广播报文，EVPN 缺少泛洪组会导致 ARP 无法跨设备传递：
plaintext
vsi EVPN-VSI10
evpn multicast-access enp
evpn source-address LoopBack0
关闭 EVPN ARP 抑制（终端 PC 必关）
EVPN 默认开启 ARP suppression，大量 PC 场景会抑制终端 ARP 学习，网关收不到 ARP：
plaintext
vsi EVPN-VSI10
undo evpn arp-suppression enable
3. 三层网关 & 路由排查（ping 不通网关核心）
分两种部署场景：本地 IRF 网关 / 集中式 EVPN 网关
网关 VLANIF 三层接口 UP、IP 配置正确
plaintext
interface Vlan-interface 10
ip address 10.0.10.1 255.255.255.0
undo shutdown
执行 display arp 查看是否存在 PC 的 ARP 条目：
无 PC ARP：ARP 报文被拦截、VLAN-VNI 绑定错误；
有 PC ARP，但 PC 不通网关：网关回程路由缺失、EVPN 路由未同步。
EVPN 三层路由发布（分布式 / 集中网关）
plaintext
evpn
route-distinguisher 100:10
vpn-target 100:10 export-extcommunity
vpn-target 100:10 import-extcommunity
# 发布直连网段EVPN路由
advertise l3vpn
若未发布 VLANIF 直连路由，对端交换机无回程路由，单向不通。
检查 BGP EVPN 邻居、路由同步
plaintext
display bgp evpn peer
display bgp evpn routing-table
看不到对端 MAC/IP 路由 = EVPN 邻居断、VPN-Target 不匹配。
4. 终端 PC 侧校验（换 PC 仍故障也要确认）
PC 网关 IP 填写与 VLANIF 地址完全一致；
子网掩码匹配三层接口；
关闭 PC 防火墙、第三方杀毒拦截 ICMP；
手动释放重获 IP：ipconfig /release && ipconfig /renew（DHCP 场景）。
三、高频踩坑点（你的故障高概率命中）
EVPN ARP 抑制开启：终端 ARP 被设备拦截，网关学习不到 PC MAC，完全无法互通；
接入口误配 trunk，未放行业务 VLAN，二层转发阻断；
VSI 实例未绑定业务 VLAN，本地同 VLAN 都不通；
EVPN 缺少组播泛洪配置，ARP 广播无法跨 VXLAN 隧道传递；
EVPN 未发布 L3 直连路由，网关回程路由缺失；
端口安全 / ARP 防攻击拦截 PC 上行报文。
四、最简快速修复顺序
接入口改成 access，绑定业务 VLAN，关闭端口安全、用户隔离；
VSI 下关闭 evpn arp-suppression enable；
EVPN 视图配置组播泛洪、正确 RT 导入导出；
三层 VLANIF 网关 UP，EVPN 开启 advertise l3vpn 发布直连路由；
查看 BGP EVPN 路由表确认 MAC/IP 路由同步；
PC 核对网关、关闭本地防火墙重试 ping 网关。