基于MP-BGP EVPN的VXLAN實現中的故障

■ 云南 盧立云

在IETF RFC 7348中，VXLAN方案沒有定義控制平面，是通過流量泛洪的方式進行主機地址的學習。這種方式實現上較為簡單，但是會導致網絡中存在很多泛洪流量、網絡擴展起來困難。

為了解決上述問題，VXLAN引入了EVPN（Ethernet VPN）作為VXLAN的控制平面。EVPN中參考了BGP/MPLS IP VPN的機制，擴展了BGP協議，新定義了幾種BGP EVPN路由，通過在網絡中發布路由來實現VTEP的自動發現、主機地址學習。

采用EVPN作為控制平面具有以下一些優勢：

一是可以實現VTEP自動發現、VXLAN隧道自動建立，從而降低網絡部署、擴展的難度。

圖1 網絡拓撲圖

二是EVPN可以同時發布二層MAC和三層路由信息。

三是可以減少網絡中泛洪流量。

MP-BGP（MultiProtocol BGP）能提供對多種網絡層協議的支持（例如IPv6、組播），MP-BGP在BGP-4基礎上對NLRI作了新擴展，擴展之后的NLRI增加了地址族的描述，可以用來區分不同的網絡層協議，例如IPv6單播地址族、VPN實例地址族等。類似的，EVPN在L2VPN地址族下定義了新的子地址族——EVPN地址族，并新增了一種NLRI，即EVPN NLRI。通過在EVPN對等體之間發布這些路由，就可以實現VXLAN隧道的自動建立、主機地址的學習。

在做EVPN的VXLAN實驗中，遇到了一些問題，經過反復排查，終于找到問題的根源，從而加以解決，實驗的拓撲圖如圖1所示。

問題一

按照圖1所示的網絡拓撲圖，在eve-ng的模擬實驗平臺上搭建實驗環境，其 中，VTEP-1、VTEP-2、RR為NXOSV9K，IOS版本為7.0.3.I7.2，交換機SW1和SW2的IOS版本為vIOS L2 15.2。

啟動各個設備，完成配置后，通過測試發現，VTEP-1、VTEP-2與RR均未建立起鄰居關系，故障如圖2所示，之后通過查看配置，查看端口狀態，并仔細分析與排查，才發現問題的根源：NXOSV9K設備及各個接口默認都是關閉狀態，沒有信息的交互，自然不能建立鄰居關系，通過在互聯的接口配置中no shutdown開啟接口功能，上面各設備可以建立鄰居關系，故障得以解決。

問題二

在測試中筆者又發現一個問題，那就是SW1的VLAN 200中的主機VPC6（192.168.1.1）能夠ping通SW2上的VLAN 200中的主機VPC8（192.168.1.3），SW1的VLAN 210中的主機VPC7（172.16.1.2）能夠ping通SW2上的VLAN 210中的主機VPC9（172.16.1.4），但是同一臺交換機SW1上的不同網段的主機VPC6無法ping通VPC7，在SW2上也是如此。

圖2 鄰居未建立

圖3 相同SW不同網段-ping不通

圖4 相同SW不同網段-ping通

故障現象如圖3所示，通過抓包軟件看到對于ping請求對方沒有應答。

通過對以上故障進行分析，VXLAN只是在VTEP-1和VTEP-2之間進行封裝和解封裝，RR作為網脊設備只是進行三層轉發，所以與網脊無關。

而且在同一臺交換機SW1的不同網段的主機無法ping通，問題應該出在VTEP-1上，通過查看VTEP-1設備的配置，找到相關的文檔，綜合加以分析，最終找到問題的根源，那就是：VTEP-1上建了2個3層VNI，而且在2層VNI的SVI接口中配置不同網段分別歸屬不同的3層VRF，導致相同的網段主機彼此能夠ping通，同一臺交換機SW1上跨網段的兩臺主機無法ping通。

通過修改配置，將2層VNI的SVI接口中配置不同網段分別歸屬相同的3層VRF，即都配置成vrf member vtep-tenant-1,問題得到解決，通過抓包軟件顯示，主機VPC6能ping通主機VPC7，如圖4所示。

問題三

解決了以上問題后，本以為實驗已經完成，但經過測試后發現，雖然跨交換機的相同網段主機能夠ping通，而且同一交換機的不同網段主機也能ping通，但是跨交換機的不同網段主機還是無法ping通，如VPC6（192.168.1.1）不能ping通vpc9（172.16.1.4）。

圖5 不同SW不同網段-ping通

經過上網查找相關資料，核對VTEP-1和VTEP-2設備上的配置，通過認真分析，找到了癥結所在，那就是：雖然在以上兩臺設備上都配置了3層VNI的SVI接口，而且也配置歸屬相同的3層VRF，盡管沒有配置IP地址，但是要配置IP forward，因為在接口配置中沒有配IP forward導致了跨交換機的不同網段主機還是無法ping通的故障發生。查找了網上有些文檔，也沒有配此命令，個人覺得不妥，應該配置該命令，否則無法進行三層轉發。

在VTEP-1和VTEP-2的3層VNI的SVI接口配置中增加IP forward，問題得到解決。通過抓包軟件也看出跨網段主機VPC6能夠ping通VPC9，如圖5所示。

經驗總結

通過基于MP-BGP EVPN的VXLAN實驗，筆者進一步了解設備的性能和特點，便于在以后的相關設備配置中少走彎路。

譬如NXOSV9K設備中默認接口是關閉的，因此在設備配置中，不僅實際接口配置要注意開啟接口功能，而且在SVI接口配置中也要開啟接口功能。

其次，2層VNI的SVI接口要配置歸屬相同的3層VRF。

再次，在3層VNI的SVI接口配置中要啟用IP forward功能。

這也提醒我們在以后的學習中，要注意每一個細小環節，只有掌握每個相關的知識點，才能做到對設備的全面了解。