问
数据中心外核心ping不通分布式网关
5天前提问
- 0关注
- 0收藏,113浏览
正常的数据中心组网,border上也有分布式网关,云外核心与border可以相互学习到路由,但是ping不通最佳答案
EVPN 数据中心 云外核心能学到 border 分布式网关路由但 ping 不通完整排障
一、先梳理组网与核心现象
- 组网层级:外网核心 → Border(EXT,EVPN 边界)→ Spine → Leaf(分布式网关)
- 路由层面:外网核心、Border 双向互学网段路由(含 Leaf 分布式网关网段)
- 连通故障:路由表存在对应网段,ICMP ping 分布式网关 IP 不通
二、分大类根因,按现场高发顺序排查
类别 1:EVPN 分布式网关 ARP/ND 代理、跨域三层转发缺失(数据中心内部基础转发异常)
1. Leaf 分布式网关未开启 ARP 代理(最常见)
EVPN VXLAN 分布式网关场景,跨 Leaf 访问网关 IP 必须开启 ARP 代答,否则 ARP 泛洪失败、无法解析 MAC,ping 断流。
Leaf 配置检查:
plaintext
system-view
evpn
vlan 10
arp proxy enable
vxlan tunnel
evpn arp-sync enable
验证:
display evpn arp-table,查看是否存在分布式网关 ARP 表项;无条目则 ARP 代理未生效。2. Border 与 Leaf EVPN 路由 / Type5 外部路由同步异常
外网网段通过 Border 引入 EVPN Type5 路由下发 Leaf,Leaf 回程路由缺失会导致 ping 单向不通:
- Border 检查引入外网静态 / OSPF/BGP 路由至 EVPN:
plaintext
evpn
address-family ip
import bgp instance 外网BGP实例
- Leaf 查看 EVPN 外部路由:
display evpn routing-table type 5,无外网路由 = 回程路由缺失。
3. VXLAN 隧道阻断、VNI 隔离
Border、Leaf 之间 VXLAN 隧道状态 down、或业务 VNI 未全局放行,三层封装报文丢弃:
plaintext
display vxlan tunnel
display vxlan vni
隧道 UP、VNI 绑定业务 BD 才可以三层转发。
类别 2:Border(EXT 边界)跨安全域 / 包过滤拦截 ICMP、三层业务报文
Border 是数据中心内外网关,存在多层拦截策略,路由可达不代表报文允许转发:
1. 接口 inbound/outbound 包过滤 ACL 拦截 ICMP
Border 连接外网核心、连接 Spine 的接口绑定 ACL,仅放行业务 TCP/UDP,丢弃 ICMP echo-request/reply:
plaintext
# 查看接口是否绑定包过滤
display this interface GigabitEthernet 0/0/X
# 出现 packet-filter inbound/outbound 即为拦截策略
# 临时放行ICMP测试
acl number 3000
rule permit icmp
interface GigabitEthernet 0/0/X
undo packet-filter inbound
undo packet-filter outbound
2. Border 域间安全策略拦截外网 ↔ EVPN 内网
Border 划分
Untrust(外网核心) / Trust(数据中心Spine)安全域,域间策略拒绝跨域 ICMP:- Web / 命令查看安全策略命中计数:
display security-policy statistics - 临时放行所有 ICMP 跨域流量测试连通性,确认后精细化放通。
3. Border ECMP 负载分担报文分片、TTL 超限丢弃
外网核心多 ECMP 链路到 Border,ICMP 大包分片异常;或三层转发 TTL 值被设备递减至 0 丢弃:
- 测试小包 ping:
ping -l 32 分布式网关IP,小包通、大包不通 = 分片 MTU 问题; - EVPN VXLAN 默认封装增加 50 字节开销,内网业务 VLAN 接口 MTU 建议设 1550,外网接口 1500。
类别 3:三层路由转发细节缺陷(路由表存在但下一跳不可达)
1. 路由递归下一跳黑洞
外网核心学习到分布式网关网段路由,下一跳指向 Border 互联 IP;但 Border 回程路由递归下一跳 Spine/Leaf 不可达,回程报文丢弃。
验证:在外网核心执行
tracert 分布式网关IP- 第一跳到 Border 正常,第二跳无响应 = Border 回程路由转发失败。
2. 路由优先级冲突、次优路由黑洞
Border 同时存在 EVPN 内网路由、静态 / OSPF 重复路由,优先级更低的无效路由抢占转发,回程报文走黑洞链路。
plaintext
# Border查看目标网段多条路由
display ip routing-table 分布式网关网段
保留 EVPN 内部路由为最优,删除冲突静态路由。
3. Border 未发布 Leaf 分布式网关主机路由 / 网段路由
EVPN 分布式网关是 Leaf 本地直连网段,Border 仅同步汇总路由、无明细主机路由,ARP 代答跨设备失效。
排查 EVPN Type2/Type5 路由同步完整性。
类别 4:跨设备 ARP 抑制、CPCAR 限速误伤 ICMP
1. Border/Leaf 全局 ARP 源抑制拦截外网 ARP 请求
外网 ping 网关会发送全网 ARP 查询,ARP 并发超限被设备 CPCAR 限速丢弃:
plaintext
# 临时关闭ARP抑制测试
undo arp source-suppression enable
# 如需保留抑制,放大阈值
arp source-suppression limit 300
2. 接口广播 / 组播抑制阈值过低
VXLAN 封装依赖组播泛洪 ARP,广播抑制带宽过小,ARP 报文直接丢弃,无法解析网关 MAC:
plaintext
interface GigabitEthernet 0/0/X
broadcast-suppression bandwidth 20000
multicast-suppression bandwidth 20000
类别 5:BGP EVPN 邻居 / 外部 BGP 邻居属性阻断报文转发
1. BGP 路由前缀携带 NO_EXPORT 团体属性,跨 Border 不传递
EVPN 内网路由默认携带隔离团体,Border 引入外部 BGP 时未解除属性,外网核心收到路由但回程被拦截。
Border EVPN BGP 配置解除隔离属性:
plaintext
bgp instance evpn
address-family evpn
peer SpineIP undo route-policy NO_EXPORT export
2. BGP 引入路由过滤策略只发布 TCP/UDP 业务,过滤 ICMP 相关前缀
route-policy export 时匹配 ACL 仅放行业务端口,ICMP 报文转发权限被过滤。
标准化快速定位步骤(现场 5 分钟区分故障域)
- 第一步:Border 本机自测连通性
在 Border 上直接 ping Leaf 分布式网关 IP
- 能通:故障在 Border ↔ 外网核心之间(ACL / 安全策略 / 回程路由)
- 不通:故障在 EVPN 内网(ARP 代理、VXLAN 隧道、EVPN 路由同步)
- 第二步:外网核心 tracert 追踪路径
tracert 分布式网关IP- 断点在 Border:Border 出方向拦截 ICMP / 回程路由缺失
- 断点在 Spine/Leaf:EVPN 内网三层转发、ARP 代答异常
- 第三步:临时全放开安全策略 + ACL 测试 删除 Border 域间安全限制、接口包过滤,小包 ping 测试,通则为策略拦截问题。
- 第四步:核对 EVPN ARP 代理、VXLAN 隧道、Type5 外部路由 Border 能 ping 通网关,外网不通,90% 为安全策略 / ICMP 包过滤拦截。
高频踩坑总结
- 只同步网段路由,Leaf 未开启 ARP proxy,跨设备无法解析网关 MAC,ping 不通;
- Border 划分内外安全域,默认域间策略拒绝 ICMP,路由可达但报文丢弃;
- VXLAN 封装 MTU 不匹配,大包 ping 不通、小包正常;
- EVPN 路由携带隔离团体属性,外网路由回程无法回灌数据中心;
- ARP 源抑制、广播限速误伤外网发起的网关 ARP 查询请求。
在数据中心 EVPN 组网中,云外核心与 Border Leaf 能够相互学习到路由,但 Ping 不通分布式网关,这是分布式 VxLAN 网络中非常经典的故障。路由可达说明 Underlay 或 BGP EVPN 的控制平面基本正常,Ping 不通通常是因为数据平面的 ARP 解析失败、VxLAN 隧道封装/解封装异常,或底层 MTU 限制导致的。
建议您按照以下优先级逐步排查:
1. 检查 ARP 代理与网关 MAC 学习(最常见原因)
分布式网关的核心机制是依赖 Leaf 节点代理 ARP 响应。如果 Border Leaf 未开启 ARP 代理,云外核心发出的 ARP 请求将无法得到网关 MAC 的回复,导致 Ping 失败。
- 排查点:确认 Border Leaf 上分布式网关所在的 VSI 接口下是否开启了 ARP 代理或 ARP 分发功能(如
arp distribute enable)。 - 验证:在 Border Leaf 上查看 ARP 表(
display arp),确认是否能学习到云外核心发来的 ARP 请求,或者网关自身的 ARP/MAC 表项是否完整。
2. 检查 EVPN Type-5 路由发布与 VBDIF 状态
虽然双方能学到路由,但需要确认网关 IP 是否作为主机路由(Type-5 路由)被正确发布到了 EVPN 中。
- 验证命令:在 Border Leaf 上执行
display bgp evpn route-type ip-prefix <网关IP> 32,确认该路由的 Origin 为本地,且状态为 Valid。 - 接口状态:检查 Border Leaf 上对应的 VBDIF(或 Vsi-interface)三层接口状态是否为 UP,且 IP 地址配置正确。
3. 排查 Underlay 网络的 MTU 问题(极易被忽略的坑)
VxLAN 会在原始报文外额外封装约 50 字节的头部(外层 MAC + IP + UDP + VXLAN Header)。如果底层物理网络的 MTU 保持默认的 1500 字节,封装后的报文会因为超出 MTU 限制而被丢弃,导致 Ping 包无法到达网关。
- 验证方法:在 Border Leaf 上使用大包测试底层 VTEP 之间的连通性:
ping -s 1472 -f <对端VTEP地址>。 - 修复方案:如果大包不通而小包通,说明是 MTU 问题。需要在 Border Leaf 与 Spine 互联的物理接口上调大 MTU(例如设置为 1550 或 1600)。
4. 检查 VxLAN 隧道状态与双向可达性
确认 Border Leaf 到云外核心方向(或 Spine 节点)的 VxLAN 隧道是否正常建立。
- 验证命令:执行
display vxlan tunnel,查看隧道状态是否处于 UP 状态,以及 VNI 映射是否正确。
5. 排查安全策略与防火墙拦截
如果底层网络和数据平面均无异常,需检查是否有安全设备拦截了 ICMP 报文。
- 分布式防火墙/ACL:检查 Border Leaf 或云外核心上是否配置了分布式防火墙或 ACL 策略。特别注意,Ping 的请求包(ICMP type:8)和应答包(ICMP type:0)是不同的协议类型,如果安全策略仅放通了 type:8 而拒绝了 type:0,会导致回包被拦截,表现为 Ping 不通。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论