《VXLAN EVPN特性介绍及维护指导课件.ppt》由会员分享,可在线阅读,更多相关《VXLAN EVPN特性介绍及维护指导课件.ppt(59页珍藏版)》请在三一办公上搜索。
1、VXLAN EVPN特性介绍及维护指导,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署配置部署优化EVPN故障定位指导,VXLAN概述数据中心发展趋势,传统数据中心组网方式,一般二层只到接入或汇聚交换机,虚拟机的迁移只能局限一个二层区域内。如果需要跨二层区域迁移,需要更改VM的IP地址,应用会中断。,传统数据中心架构,在云计算时代,IDC运营商为了更充分的利用数据中心资源,VM需要更大的迁移范围;由于服务器之间存在大量的横向流量,要求数据报文支持无阻塞转发,网络链路资源得到充分的利用。,新一代数据中心架构,POD,POD,VXLAN概述数据中心发展趋势,Page 4,V
2、XLAN概述VXLAN报文格式,VXLAN报文格式,DA:外层目的MAC,单播为下一跳路由器MAC,组播复制为组播MAC。 SA:外层源MAC,为每一跳路由设备自身MAC。 DIP: 目的NVE的IP地址。 SIP:源NVE的IP地址。 UDP Dest Port:VXLAN保留UDP目的端口号,默认为4789。 UDP Source Port:根据数据流HASH动态生成。 VXLAN I flag:必须置为1,标识VNI字段有效。 VXLAN VNI:24比特,用于标识虚拟网络,最大支持16M。 Original Ethernet Frame:按照标准建议,报文进行VXLAN封装后,需要剥掉
3、原始报文的VLAN TAG,即使不剥掉,在egress NVE也仅仅基于VNI转发(忽略原始报文的VLAN)。,VXLAN概述VXLAN概念,Layer 2 or Layer 3,NVECore,NVECore,NVEEdge,NVEEdge,NVEEdge,NVO3概念,NVO3(Network Virtualization Over Layer 3),基于三层IP overlay网络构建虚拟网络技术统称为NVO3,目前比较有代表性的有:VXLAN、NVGRE、STT。运行NVO3的设备叫做NVE(Network Virtualization Edge),它位于overlay网络的边界,实现
4、二、三层的虚拟化功能;,VXLAN概念,VXLAN(Virtual Extensible LAN,虚拟可扩展局域网)是目前NVO3中影响力最为广泛的一种。它通过L2 over L4(MAC in UDP)的报文封装方式,实现基于IP overlay的虚拟局域网。,VXLAN概述 VXLAN转发数据封装,Page 7,A,B,逐跳改变外层Mac,端到端不变VTEP IP,源终端的二层报文能够穿越IP网络到达目的终端,VXLAN网络对于主机来说相当于是Bridge Fabric!,内层MAC,VTEP IP,外层MAC,Ingress NVE,Transit,Egress NVE,VNI,VXLA
5、N概述VTEP概念,VTEP概念,VTEP(VXLAN Tunnel EndPoint,VXLAN隧道端点) ,VXLAN网络中的NVE以VTEP进行标识; 每一个NVE至少有一个VTEP,VTEP使用NVE的IP地址表示;两个VTEP可以确定一条VXLAN隧道,VTEP间的这条VXLAN隧道将被两个NVE间的所有VNI所公用;,NVE1,NVE2,VXLAN Tunnel,NVE3,VTEP1:1.1.1.3,VTEP1:1.1.1.1,VTEP2:1.1.1.2,VNI Green,VNI Red,VXLAN Tunnel,VXLAN Tunnel,VNI,VNI,VNI,VNI,VXLA
6、N概述VXLAN优点,网络依赖小,隧道间水平分割、IP overlay TTL避免环路。,数据流量基于IP路由 SPF及ECMP快速转发。,网络变化实时侦听全网拓扑毫秒收敛。,基于IP的overlay,仅需要边界设备间IP可达。,环路避免,高效转发,快速收敛,虚拟化,Overlay+VNI构建虚拟网络,支持多达的虚拟网络,部署灵活,物理设备、vSwitch均能够部署,Diff-Serv信息传递,Page 10,NVE1,NVE2,Router,VXLAN封装时默认剥掉原始报文的VLAN TAG(包括8021P)在ingress NVE,将原始报文的8021P映射到overlay封装IP头中的D
7、SCP;在overlay网络中根据外层IP头的DSCP进行PHB;通过overlay网络中根据外层IP头将原始报文的Diff-Serv信息带到egress NVE;在egress NVE,再根据overlay封装IP头中的DSCP映射到原始报文的8021P,还原用户报文的Diff-Serv信息;,BD1,BD2,BD1,BD2,BD1,BD2,VLAN 100,VLAN 100,VLAN 200,VLAN 200,VXLAN Tunnel,NVE interface,在此接口下制定设备的loopback地址为VTEP地址,用于与其他设备建立VXLAN隧道通过为VNI指定对端VTEP列表的方式,
8、创建VXLAN同时将隧道与VNI关联interface Nve1 source 2.2.2.2 vni 10000 head-end 1.1.1.1 3.3.3.3 vni 20000 head-end 1.1.1.1 3.3.3.3,interface LoopBack0 ip address 2.2.2.2 255.255.255.255,interface LoopBack0 ip address 1.1.1.1 255.255.255.255,Bridge domain,抽象的广播域,将VLAN与VNI关联到一起bridge-domain 1 vxlan vni 10000 vlan
9、100,VNI 10000,VNI 20000,VNI 10000,VNI 20000,interface LoopBack0 ip address 3.3.3.3 255.255.255.255,VNI 10000,VNI 20000,网关上的Bridge domain不需要关联VLAN基于Bridge domain创建网关接口,并配置网关IP、MACbridge-domain 1 vxlan vni 10000 vlan 100interface Vbdif1 ip address 10.0.0.1 255.255.0.0 mac-address 0000-5e00-0101,Vbdif1
10、,Vbdif2,VM1IP:10.0.0.3,VM2IP:10.2.0.3,CE VXLAN实现概况,VXLAN数据转发总体流程(同子网),Page 12,NVE1,NVE5,三层网络,网关,NVE2,NVE3,NVE4,二层接入,VXLAN,VTEP1,VTEP2,VTEP3,VTEP4,VTEP5,ARP Request转发流程,NVE1 mac转发表,NVE 5单播路由,NVE1的BUM复制表,A,B,NVE1,NVE5,NVE2,1,RB2 mac转发表,学习远端表项,学习本地表项,NVE5,NVE1,NVE2,NVE3,NVE4,A,B,C,D,3,2,NVE2组播分发树表,VTEP
11、1,VTEP2,VTEP3,VTEP4,VTEP5,隧道水平分割,ARP Reply转发流程,RB2mac转发表,NVE5单播转发表,B,A,NVE2,NVE5,NVE1,2,3,RB1mac转发表,学习远端表项,学习本地表项,1,Ingress NVE查找mac转发表,根据目的VTEP选择一条负载分担链路,封装转发ARP报文,2,3,中间节点,IP透传overlay报文,Egress NVE接收报文并解封装,在本地转发,A,B,C,D,ARP Reply单播转发流程,1,VTEP1,VTEP2,VTEP3,VTEP4,NVE1,NVE2,NVE3,NVE4,NVE5,VTEP5,A到B单播转
12、发流程,A,B,NVE1,NVE5,NVE2,2,NVE2 mac转发表,A到B的单播转发流程,1,Ingress NVE查找mac转发表,根据目的VTEP选择一条负载分担链路,封装转发单播报文,2,3,中间节点,IP透传overlay报文,Egress NVE接收报文并解封装,在本地转发,3,1,A,B,C,D,VTEP1,VTEP2,VTEP3,VTEP4,NVE1,NVE2,NVE3,NVE4,NVE5,VTEP5,NVE2mac转发表,NVE5单播转发表,VXLAN数据转发总体流程(跨子网),Page 16,NVE1,NVE5,三层网络,网关,NVE2,NVE3,NVE6,二层接入,V
13、XLAN,VTEP1,VTEP2,VTEP3,VTEP6,VTEP5,A到E单播转发流程,A,E,NVE1,NVE5,NVE6,2,NVE6mac转发表,A到E跨子网单播转发流程,1,Ingress NVE查找mac转发表,根据目的VTEP选择一条负载分担链路,封装转发单播报文发给网关NVE5,2,3,网关解封装报文,根据内层IP头查路由、ARP,替换内层以太头,封装VXLAN;,Egress NVE接收报文并解封装,在本地转发,3,1,A,B,C,E,VTEP1,VTEP2,VTEP3,VTEP6,NVE1,NVE2,NVE3,NVE6,NVE5,VTEP5,NVE1mac转发表,NVE5
14、ARP转发表,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署网关集中部署分布式Anycast网关部署设备&链路可靠性广播泛洪优化大二层防环DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,L2接入,GW汇聚,L3核心,网关集中部署,Leaf1,Leaf2,Leaf3,vSwitch,VMVNI 10,vSwitch,VMVNI 20,ServerVNI 20,Router,Router,WAN,FW/LB,FW/LB,Leaf节点作为VTEP,仅实现VLAN接入,Spine同时做VTEP及网关,实现隧道及二层终结,1、所有Leaf与Spine全
15、连接,Spine至少两台(以实现备份和负载分担),通过路由打通Leaf间的转发路径,正常情况下Leaf间都有ECMP路径;2、Spine、Leaf节点都作为VXLAN的VTEP;3、每个Leaf节点仅仅完成流量的二层接入,将用户报文封装映射VNI,二层转发将报文封装在VXLAN发往本广播域内的目的节点;4、Spine承担集中三层网关的功能,将报文解封装后路由转发,实现不同广播域的互通以及与外部网络的互通;BGP EVPN作为VXLAN控制面:触发VTEP间自动建立VXLAN隧道,避免full-mesh的隧道配置;控制面扩散MAC表进行MAC学习,可优化未知流泛洪;,VXLAN BGP EVPN
16、,Gateway,VTEP,Spine1,Spine2,Gateway,VTEP,VTEP,VTEP,VTEP,网关集中式VXLAN业务模型,VLAN,VLAN,VLAN,VLAN,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,L2 VNI,L2 VNI,L2 VNI,同子网RAW 以太,同子网RAW 以太,跨子网,跨子网,VLAN映射VNI,网关绑定VRF,VNI还原VLAN,VXLAN大二层,VNI标记二层域,VXLAN隧道实现域内连通;跨子网流量通过MAC转发集中到网关,通过网关直接映射VRF;,VTEP,报文封装 L2 VNI,报文封装 L2 VNI,跨子网,跨子网,V
17、NI GatewayIPMACVRF,VNI GatewayIPMACVRF,网关集中式BGP EVPN协议交互,VLAN,VLAN,VLAN,VLAN,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,L2 VNI,L2 VNI,L2 VNI,VNI还原VLAN,VTEP,VNI GatewayIPMACVRF,VNI GatewayIPMACVRF,BGP EVPN,BGP EVPN发布L2 VNIVTEP IP,BGP EVPN接收L2 VNIVTEP IP自动建立VXLAN Peer to Peer 隧道,隧道关联VNI,简化隧道full-mesh配置,BGP EVPN发布
18、VNIHost MAC address,HOST,BGP EVPN接收VNIHost MAC address学习MAC地址表,指导同子网单播转发,HOST,HOST,HOST,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署网关集中部署分布式Anycast网关部署设备&链路可靠性广播泛洪优化大二层防环DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,Border Leaf,Service Leaf,Server Leaf,Spine1,Spine2,Leaf1,Leaf2,Leaf3,vSwitch,VMVNI 10,vSwitch,VMVNI
19、20,ServerVNI 20,Leaf4,Leaf5,WAN,FW/LB,分布式Anycast 网关,1、所有Leaf与Spine全连接,Spine至少两台(以实现备份和负载分担),通过IGP路由打通Leaf间的转发路径,正常情况下Leaf间都有ECMP路径;2、Leaf节点作为VXLAN的VTEP,Spine不必须为VTEP;3、每个Leaf节点都是三层网关,用户的三层流量在本地Leaf节点终结;4、需要给不同的Leaf划分不同的功能,以实现与外部互通、防火墙过滤等功能;BGP EVPN作为VXLAN控制面:触发VTEP间自动建立VXLAN隧道,避免full-mesh的隧道配置;控制面扩散
20、主机路由、MAC,指导流量转发;,Leaf节点作为VTEP,同时作为网关,Spine不作VTEP,不感知VXLAN,VXLAN BGP EVPN,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,Gateway,VTEP,分布式VXLAN业务模型,VLAN,VLAN,VLAN,VLAN,Router MAC1,Router MAC2,Router MAC3,Router MAC4,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,VRF VNI,同子网RAW 以太,同子网RAW 以太,报文封装 L2 VNI,跨子网,跨子网,VL
21、AN映射VNI,网关绑定VRF,VRF映射VNI,VNI还原VLAN,VNI还原VRF,VXLAN大二层,VNI标记二层域,VXLAN隧道实现域内连通;分布式VXLAN网关,VNI标记三层VRF域,VXLAN隧道实现VRF连通;,GatewayIPMACVRF,L2 VNI,VRF VNI,VRF VNI,VRF VNI,L2 VNI,报文封装 VRF VNI,报文封装 L2 VNI,GatewayIPMACVRF,GatewayIPMACVRF,GatewayIPMACVRF,L2 VNI,目的MAC区分流量同子网或跨子网,分布式Anycast网关BGP EVPN协议交互,VLAN,VLAN
22、,VLAN,VLAN,Router MAC1,Router MAC2,Router MAC3,Router MAC4,VTEP1,VTEP2,VTEP3,VTEP4,L2 VNI,VRF VNI,GatewayIPMACVRF,L2 VNI,VRF VNI,VRF VNI,VRF VNI,L2 VNI,GatewayIPMACVRF,GatewayIPMACVRF,GatewayIPMACVRF,L2 VNI,HOST,HOST,HOST,HOST,BGP EVPN发布L2 VNIVRF VNIVTEP IP,BGP EVPN接收L2 VNIVRF VNIVTEP IP自动建立VXLAN Pe
23、er to Peer 隧道,隧道关联VNI,简化隧道full-mesh配置,BGP EVPN发布L2 VNIVRF VNIRouter MACHost MAC addressHOST IP,BGP EVPN接收L2 VNIVRF VNIRouter MACHost MAC addressHOST IPMAC 下发MAC表,IP下发主机路由表,Border Leaf,VTEP5,BGP EVPN发布VRF VNIRouter MACIP PrefixMask Length,BGP EVPN接收VRF VNIRouter MACIP PrefixMask LengthIP Prefix 下发网络路
24、由表,VRF A,VRF ,VRF ,网关部署对比,Internet/Access VRF,Internet/Access VRF,Tenant VRF,Tenant VRF,Gateway,Spine,Internet/Access VRF,Border leaf,Internet/Access VRF,Gateway,Server leaf,Server leaf,Tenant VRF,Service leaf,VXLAN,Internet/Access VRF,vFW,vFW,WebSubnet A,AppSubnet B,Gateway,WebSubnet A,AppSubnet B,
25、静态网关 gateway,Dynamic gateway/routing,集中网关,分布式网关,集中网关,分布式网关,PE,Spine,Server Leaf,不同接入东西向(L2&L3),南北向,同一设备L2,同一接入设备L3,Spine,Server Leaf,Border Leaf,PE,Service Leaf,南北向,不同接入东西向(L2&L3),同一接入设备L3,同一设备L2,转发路径优化对比,Internet/Access VRF,Internet/Access VRF,Tenant VRF,Tenant VRF,Tenant VRF,Centralized VXLAN,Dist
26、ributed VXLAN,Tenant VRF,Spine,Internet/Access VRF,Border leaf,Internet/Access VRF,Tenant VRF,Server leaf,Server leaf,Tenant VRF,Service leaf,VXLAN,Internet/Access VRF,vFW,vFW,防火墙流量过滤对比,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署网关集中部署分布式Anycast网关部署设备&链路可靠性广播泛洪优化大二层防环DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,Le
27、af,Leaf,VTEP,VTEP,BGP EVPN,MAC,MAC,Spine,VTEP,GW,VXLAN tunnel,server,ARP,Leaf,Leaf,BGP EVPN,Spine,VTEP,GW,VXLAN tunnel,server,iStack,Leaf,VTEP,MAC,ARP,VTEP,Leaf,Leaf,BGP EVPN,Spine,VTEP,GW,VXLAN tunnel,server,Leaf,VTEP,MAC,ARP,vVTEP,M-LAG,LAG,LAG,主备,LAG,接入高可靠,服务器主备网卡连接到交换机传统高可靠方式,1:1的保护,可保证网卡故障,仍有足够
28、的带宽承载业务;链路利用率低;,交换机二虚一,组建堆叠与服务器网卡bonding对接1+1保护,链路故障带宽可能不足;链路利用率高;逻辑网元少,可以减少配置工作;,交换机独立,组建跨设备的LAG与服务器网卡bonding对接;1+1保护,链路故障带宽可能不足;链路利用率高;设备独立,升级简单、可靠性高;,多个网关设备上:配置相同的loopback地址作为VTEP;配置相同的网关接口,网关接口的IP、MAC等配置都相同;,接入设备上MAC和IP路由转发表,1、网关故障,在恢复时,让恢复设备发布低优先的路由(通过控制器调整),保证上下行流量发给其他网关,待网关ARP恢复后,再恢复路由优先级,让此网
29、关参与负载分担;2、网关下行口故障,underlay路由收敛;3、网关上行口全故障,依靠OPS联动将VTEP地址发布的优先级降低,保证上行流不发到故障网关。,与传统的堆叠、VRRP网关比,有如下一些优势:网关之间不需要运行类似VRRP、GLBP的基于子网粒度的心跳协议,网关信令处理压力小。相比VRRP三层网关,物理网关之间流量能够实现Flow-based Loadbalancing,网关能够扩展到多台。可以通过路由协议控制器vVTEP的路由发布,实现流量无损网关扩容或升级,集中网关高可靠,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署网关集中部署分布式Anycast网关
30、部署设备&链路可靠性广播泛洪优化大二层防环DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,风暴抑制、未知单播禁止,Leaf,VTEP,BGP EVPN,Leaf,VTEP,VLAN,VLAN,VXLAN tunnel,风暴抑制,限制泛洪的速率,超出速率后报文丢弃,VM-1,VM-2,风暴抑制网络正常运行时,需要泛洪的BUM流量实际较少(主要是广播ARP)可在交换机设备的接入端口部署风暴抑制,减少异常下VXLAN域内大量泛洪,对网络内主机性能的影响;,未知单播禁止传统网络依赖流量泛洪进行MAC学习,引入EVPN协议发布MAC后,本地学习后,流量无需广播到其他家换机,依
31、靠EVPN即可将MAC推送到其他交换机;可关闭未知单播的泛洪,进一步减少泛洪;,ARP广播优化 Broadcast to Unicast,VTEP1,VTEP2,BGP EVPN,Spine,VTEP3,GW,VLAN,VLAN,VM-1,VM-2,ARP广播请求,查cache,替换为单播MAC,单播ARP请求,ARP单播应答,相比传统的代答由如下优势:网络不会吃掉ARP报文;安全风险小;当前ARP的应用已经超出地址解析的范畴,如集群心跳检测,如果网络吃掉ARP可能引发问题;目的端能感知到ARP请求, ARP交互过程完整,协议兼容好;,ARP广播优化 ARP Proxy,VTEP1,VTEP2
32、,BGP EVPN,Spine,GW,VLAN,VLAN,VM-1,VM-2,ARP广播请求,查cache,直接以Anycast 网关MAC应答,在接入Anycast网关上以Gateway MAC做欺骗应答;所有同子网的IP报文的转发可转化为VTEP间的三层路由转发,可将二层转发的流量降低到最少,减少泛洪的风险。,GW,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署网关集中部署分布式Anycast网关部署设备&链路可靠性广播泛洪优化大二层防环DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,通过BPDU Guard防止交换机端口误接,Acces
33、s Switc收到BPDU,关闭端口,破除环路,Access Switch,BPDU,Access Switc收到BPDU,关闭端口,破除环路,VXLAN本身是一个无环网络,因为其隧道间的水平分割杜绝了VXLAN域内成环的可能;接入设备如果连接错误可能导致环路,影响VXLAN域内所有交换机;交换机端口一般都默认开启STP,会周期发送BPDU,而服务器不会发送BPDU,接入交换机如果收到BPDU,则可判断为错误连线,连到交换机,部署BPDU Guard可在接入交换机端口收到BDPU时关闭端口,一防止出现环路;,通过MAC Flapping检测防止Linux Bridge误接,Access Swi
34、tch,Access Switch,Access Switch,Access Switch,VXLAN Tunnel,VXLAN Tunnel,VXLAN Tunnel,VXLAN Tunnel,交换机下行接口部署MAC Flapping检测,可检测出多种环路,并将下行端口关闭,避免出现环路;VXLAN Tunnel不会关闭,不影响其他端口流量转发;此外可配合控制器,控制器接收设备的MAC Flapping告警,精确控制接口的关闭;,目录,数据中心SDN GlanceVXLAN基本原理介绍DC内VXLAN based EVPN部署DC间VXLAN based EVPN部署DCI二层互通DCI三
35、层互通配置部署优化EVPN故障定位指导,Underlay IP,Underlay IP,使用VXLAN进行DCI二层互联的方式,VLAN,VLAN,DCA,DCI,VXLAN based EVPN,border,DCI VTEP,DCI VTEP,DCB,border,DCA,border,DCB,border,VTEP,VTEP,DCIIP Network,VXLAN based EVPN,方式一分段:DC与DCI VTEP间采用VLAN、DCI为VXLAN优点:不同DC间不需要运行相同的协议,协议独立;不需要相同的封装,架构独立、异构兼容;DC间逻辑上P2P连接,方便在入口进行带宽、策略控
36、制、广播风暴控制;缺点:DCI设备要求高建议大规模、模块化DC使用。,方式一合一:不同DC的VTEP间直接VXLAN互通,DCI为underlay IP透传,逻辑上是一个大VXLAN域优点:逻辑上一个DC,简单;缺点:DC间协议、封装全部要一致;建议小规格DC使用;,目录,数据中心SDN GlanceVXLAN基本原理介绍DC内VXLAN based EVPN部署DC间VXLAN based EVPN部署DCI二层互通DCI三层互通配置部署优化EVPN故障定位指导,VXLAN实现三层互通(可部分替代L3VPN),EVPN协议定义了可以将其他协议或本设备产生的子网路由通过BGP EVPN发布,结
37、合VXLAN隧道,可实现不同DC通过VXLAN实现类似L3VPN的互联互通,简化不同DC间三层互通部署。,BGP EVPN发布网关IP Prefix路由,BGP EVPN,BGP EVPN接收IP Prefix路由,路径指向VXLAN Tunnel,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,通过Controller简化Overlay业务部署,VTEP1,VTEP2,VTEP3,Gateway 1,VNI 1,VTEP,VTEP,Gateway 1,VNI 1,VNI 1,VNI1,VNI1,
38、按需创建VNI,自动创建网关,BGP EVPN建立隧道,扩散转发表,FW/LB,FW/LB,自动下发策略,通过SDN Controller简化Overlay业务部署:接入设备按需给创建VNI,将VLAN映射VXLAN;网关设备自动创建VNI三层IP Gateway;自动完成网关子网路由发布;自动完成网关到FW的引流;FW设备自动进行策略下发;BGP EVPN在控制器完成VNI创建后,协议触发隧道建立,进行转发表扩散。,目录,VXLAN基本原理介绍DC内VXLAN based EVPN部署DC间VXLAN based EVPN部署配置部署优化EVPN故障定位指导,EVPN故障定位整体思路,Pag
39、e 46,目前VXLAN网络中提供网络诊断工具如下:1.基于设备的Ping、Trace,可以基于VRF进行简单的连通性判断2.路径可视化 1.单路径探测,用于对单条流量进行转发路径探测,一般用于流量故障时,进行故障诊断 2.多路径探测,用于对两个VTEP节点间所有转发路径进行探测,一般用于定期对网络时行诊断,提前发现问题3.流量统计,基于多种维度对流量进行统计,用来观察进出设备的流量情况是否正常4.如果需要知道某一台设备具体出了什么问题,可以使用设备的一些调试命令行,进行进一步的查看。5.Syslog & 告警,设备处理异常的时候会记录一些Syslog或告警,用于辅助诊断,EVPN故障定位整体
40、思路,Page 47,几种典型的故障处理思路:1.配置错误导致的设备状态不正确,这种情况一般是配置错误导致,可以通过检查相关配置及协议状态进行排查,一般包括:1.BGP 邻居配置及邻居状态2.路由表3.ARP表4.接入侧配置(子接口、BD、BDIF)等2. 配置正确但业务流量有问题,可能是比较深层次的问题,一般考虑先定位出具体丢包的设备,再看该设备的问题1.先通过路径探测或者流量统计确定丢包的位置2.再执行步骤1中的检查项,如果仍然无法发现问题,可以找厂商维护人员支撑3. 组网环境造成的环路1.先通过查看MAC Flapping告警,定位出环路的位置2.找出环路原始(配置错误、Bug等),公共
41、维护命令查看LICENSE信息,Page 48,HUAWEI display license,公共维护命令查看VXLAN运行状态,Page 49,HUAWEI display vxlan troubleshooting,公共维护命令查看MAC Flaping,Page 50,查看设备上的MAC Flapping的统计结果,隧道配置排查隧道的典型配置,Page 51,隧道配置排查查询隧道状态,Page 52,需要确认查询到的隧道的State是up否则需要排查SIP(Source IP)和DIP(Destination IP)的路由情况,DIP和SIP的路由都存在,隧道才会up一般SIP采用环回口
42、,隧道配置排查接口板路由信息查询,Page 53,接口板和主控板查询的路由信息的一致,是保证隧道可以正常下发的必要条件一般出现不一致的情况多数是资源不足了,建议查看相关的告警。如果一致,查询下一跳的ARP是否存在,HUAWEI display ip fib slot 1 11.1.1.1,隧道配置排查查询下一跳的ARP信息,Page 54,控制面ARP和转发面信息一致,隧道一般可以正常下发的如果查询不到,可能是ARP的资源不足了,可以通过查看资源的告警和检查模式来解决。,HUAWEI display arp network 40.5.1.2HUAWEI display arp network
43、40.6.1.2,HUAWEI display fei ipv4 arp slot 1 next-ip 40.5.1.2,二层网关配置排查典型配置,Page 55,BD下绑定的vni与建立隧道的vni相同,隧道才能UP流量所带vlan需要跟子接口配置的vid相同,流量才可以进入隧道。,三层网关配置排查典型配置,Page 56,叠加其他需要ACL的业务,可能会导致三层网关不生效,必须要使能ACL扩展模式。服务器ping多活网关时要带源IP,否则可能ping不通。,三层网关配置排查典型配置,Page 57,查看BD流量统计,清除BD流量统计,路径探测-OpenFlow,Page 58,查看open
44、flow连接状态,查看openflow协议报文统计计数,VXLAN应急措施,当出现VXLAN故障时,比如路由建立,流量无法转发等问题,通常都需要尽快恢复,可尝试通过下述方法进行恢复:如果路由无法建立,首先排除配置问题,如果配置都正确,可以尝试将建立路由的协议执行reset操作或者删除重新配置一下,比如执行reset ospf peer操作。如果流量转发有问题,则首先排除配置问题,然后确认流量是在哪台设备上发生故障的,再在故障设备上排查路由,ARP等信息是否有异常。如果上述方法不奏效,则尝试通过删除所有vxlan相关配置再重新下发进行恢复。如果重新配置都不能解决问题,则可能需要重启单板,或者重启设备。,
