Недавно обратилось несколько клиентов с идентичной проблемой. Клиенты развертывали leaf коммутаторы Huawei в ЦОДе. Коммутаторы функционировали как L3 шлюзы для СХД (сценарий VXLAN распределенного шлюза). Каждая пара leaf коммутаторов объединялась в стек или M-LAG группу. Задача была простая: чтобы ноды имели сетевую доступность до шлюзов. Клиент успешно развернул большую часть коммутаторов, но проблема возникла на последней паре: шлюз (vbdif интерфейс) был недоступен с ноды, сетевой связности не было, хотя ARP до ноды доходил. Конфигурация на всех коммутаторах была стандартной, единственным отличием последней пары коммутаторов было то, что они были другой модели - CE8850EI. Эта модель и ряд других имеют функциональную особенность. Эта модель и ряд других имеют функциональную особенность.

Сценарий развертывания: распределенный шлюз (Distributed Gateway) или централизованный (Centralized Gateway Mode), судя по опыту, не имели значения для возникновения этой проблемы. Основная разница между этими сценариями состоит в том, где располагается VXLAN шлюз: на leaf коммутаторах или на spine. Если конфигурация vbdif интерфейса применяется на модели коммутатора CE8850EI, независимо от его роли в сценарии, то возникает два следствия: 1. сетевая недоступность между хостами в подсети шлюза; 2. множественные сообщения о конфликте IP адресов в подсети шлюза. Пример такого сообщения:

LF15-01 %%01ARP/2/hwARPHostConflict_active(l):CID=0x807703ff-alarmID=0x00f10287;The host access interface frequently changed. (LocalIPAddress=10.7.7.117, LocalBDID=17777, LocalMAC=xxxx-xxxx-xxxx, RemoteIPAddress=10.7.7.117, RemoteBDID=17777, RemoteMAC=xxxx-xxxx-xxxx, LocalInterface=Eth-Trunk7.1000, RemoteInterface=Eth-Trunk0.2000, TunnelPeer=0.0.0.0)

Пример конфигурации vbdif интерфейса на паре leaf коммутаторов:

interface Vbdif17777
ip binding vpn-instance VRF-A1
ip address 10.7.7.1 255.255.254.0
mac-address 0000-5e00-0102
arp collect host enable

Причина такого поведения заключается в том (выяснено в ходе детального изучения документации Huawei), что чипы, установленные в модели коммутатора CE8850EI, не поддерживают VXLAN инкапсуляцию, поэтому инкапсуляция и деинкапсуляция VXLAN пакетов должна производиться loopback интерфейсом. Loopback интерфейс конфигурируется в два шага: 1. cоздать Eth-Trunk и прописать на нем команду service type tunnel; 2. выбрать физический интерфейс, который находится в состоянии Down и не имеет конфигурации сервисов, и добавить его в созданный Eth-Trunk. Пример конфигурации loopback интерфейса:

interface Eth-Trunk100
service type tunnel
interface 10GE1/0/10
eth-trunk 100

Кроме модели Huawei CE8850EI инкапсуляция VXLAN также не поддерживается чипами, установленными в моделях: CE6850HI, CE6850U-HI, CE6851HI, CE6858, CE6860EI, CE7850EI, CE7851, и CE8860EI.

---

Разбор аналогичного кейса - Не пингуется VBDIF Gateway CE6851HI

Разбор аналогичного кейса - Distributed VXLAN gateway режим с EVPN на CE6851

Пример конфигурации - IPv4 VXLAN Distributed Gateway

---

Комментарии (6)


  1. heos_spb
    20.10.2022 12:55
    +2

    >Эта модель и ряд других имеют функциональную особенность. Эта модель и ряд других имеют функциональную особенность.


    1. GritsanY
      20.10.2022 13:08

      Ctrl+Enter


      1. vassabi
        20.10.2022 13:45
        +1

        хмм ... пишет что "этот пользователь запретил личные сообщения к нему"


        1. GritsanY
          20.10.2022 14:25
          +1

          первый раз такое вижу. Странное совмещение функционала на сайте.


  1. bjorgulf
    21.10.2022 10:00
    +1

    Спасибо за статью. Вендоры стараются не афишировать на каких чипах построены их коммутаторы. Если поискать информацию, то находится информация, что в ce8850ei асик Томогавк. Надеюсь у коммутаторов с фирменными чипами хуавея нет таких проблем.


    1. vasyo Автор
      21.10.2022 10:07

      Как вы это нашли, научите?