搞什么……VXLAN都配好了,为什么虚拟机之间还是不通?

原创 已于 2025-08-26 15:35:24 修改 · 605 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #网络工程师 #华为认证

于 2025-08-26 15:23:27 首次发布

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

VXLAN 作为数据中心网络的“标配”,解决了传统 VLAN 扩展受限的问题,让二层网络能横跨物理边界。

但在实际部署中,不少人会遇到:VXLAN 配置无误,隧道也建立了,可虚拟机之间依旧 ping 不通。

为什么?

答案是:VXLAN 涉及的要素太多了,哪怕少了一步,就可能让通信中断。

本文带你全面排查原因。

1. VXLAN 基础回顾

在排障之前,先回忆一下 VXLAN 的核心原理:

  • VTEP(VXLAN Tunnel EndPoint):VXLAN 隧道端点,负责把二层帧封装成 UDP 报文。
  • VNI(VXLAN Network Identifier):类似 VLAN ID,用于区分不同租户或逻辑二层。
  • 封装方式:原始二层帧 + VXLAN Header + UDP + IP + MAC。
  • 控制平面:可以是 Flood & Learn(EVPN 前用的方式)或 BGP EVPN。

搞清楚这几个概念,排障时才能有方向。

VXLAN报文格式(以外层IP头为IPv4格式为例)

2. 常见导致“虚拟机不通”的原因

2.1 Underlay 网络未打通

  • VXLAN 是基于 UDP 封装的,如果底层 IP 网络都不通,VXLAN 就无从谈起

  • 检查点:

    • VTEP IP 是否互通?
    • MTU 设置是否足够(VXLAN 封装后会增加 50 字节左右)?
    • Underlay 路由是否完整?

2.2 VNI 映射不一致

  • 如果两端 VXLAN 使用的 VNI 不一样,等于两个不同的虚拟网络,自然无法互通。

  • 检查点:

    • VLAN 与 VNI 的绑定关系是否一致?
    • 同一租户的 VNI 是否完全匹配?

 VXLAN网络模型示意

2.3 VTEP 配置错误

  • VTEP 地址配置错误或未激活,会导致 VXLAN 隧道无法封装报文。

  • 检查点:

    • VTEP 接口(Loopback、NVE 等)是否配置正确?
    • show nve interface / display vxlan tunnel 查看隧道是否 UP?

建立VXLAN隧道示意图

2.4 学习不到 MAC 地址

  • VXLAN 需要学习虚拟机的 MAC 地址,才能正确转发。

  • 检查点:

    • ARP 报文能否封装并传输?
    • 是否有 Flood & Learn 或 EVPN 控制平面?
    • show vxlan mac 是否能看到远端虚拟机的 MAC?

3. 特殊情况:虚拟机自身配置错误

  • 子网不一致:虚拟机 IP 配置在不同网段,必然不通。
  • 默认网关缺失:不同子网之间通信必须走网关,如果没配置,ping 不通很正常。
  • 安全策略限制:云平台 / 虚拟化平台(如 VMware、KVM)可能有安全组或 ACL 限制东西向流量。

4. 进阶排查点

4.1 MTU 设置问题

VXLAN 封装后,每个报文会额外增加 50 字节左右的头部(Outer MAC + Outer IP + UDP + VXLAN Header)。

  • 如果底层链路 MTU 没有调大,就可能出现 报文被丢弃 的情况。

  • 检查点:

    • 用&nbsp;ping -M do -s 1472 <VTEP IP>&nbsp;测试是否能通过(假设 MTU 1500)。
    • 建议将物理网络 MTU 设置为&nbsp;1550 或 1600,保证 VXLAN 业务不被丢包。

4.2 控制平面未建立

在大规模数据中心里,一般不会只靠 Flood & Learn,而是使用&nbsp;BGP EVPN&nbsp;来分发 MAC 和 ARP 信息。

  • 如果 EVPN 会话未建立,VTEP 就学不到远端 MAC。

  • 检查点:

    • show bgp l2vpn evpn summary&nbsp;查看 EVPN 邻居是否正常。
    • show bgp l2vpn evpn route&nbsp;是否有对端的 MAC/IP 路由。
    • 确认 Route-Target(RT)配置一致。

4.3 网关部署模式错误

VXLAN 跨子网通信时,必须经过三层网关。常见有两种模式:

  • 集中式网关:所有三层转发都交给核心设备完成。

    • 缺点:跨租户、大规模环境中,容易形成瓶颈。

  • 分布式网关(Distributed Anycast Gateway):每个 ToR 都配置一个网关,虚拟机上送报文直接在本地转发。

    • 如果网关没配置正确,虚拟机即使在 VXLAN 内,也 ping 不通对端。

  • 检查点:

    • 确认三层网关的 IP 是否一致(Anycast 模式)。
    • 确认 ARP 能否学习到远端虚拟机网关的 MAC。

4.4 多租户隔离问题

VXLAN 的初衷就是实现多租户隔离。如果不小心:

  • 把不同租户的 VNI 配到了一起;
  • 或者 Route-Target 配置错误,导致不同租户的 EVPN 表混淆; 就会出现虚拟机“莫名其妙能互通”或“怎么都不通”。

4.5 安全与策略限制

有些时候问题根本不在 VXLAN,而在外围设备:

  • 防火墙、ACL 阻断了 VXLAN 的 UDP 端口(4789 默认)。
  • 虚拟化平台本身有安全组策略,阻止虚拟机 ARP 或 VXLAN 流量。

5. VXLAN 排障逻辑(逐层排查)

当虚拟机之间不通时,可以按照下面这个逻辑逐步检查:

  1. Underlay 网络层

    • VTEP Loopback 是否互通?
    • MTU 是否足够?
    • 物理链路是否有丢包?

  2. Overlay 隧道层

    • VXLAN NVE 接口是否 UP?
    • VXLAN 隧道是否建立?
    • VNI 映射是否一致?

  3. 控制平面层

    • EVPN 邻居是否建立?
    • 是否学习到远端 MAC/IP 路由?

  4. 虚拟机层

    • 虚拟机是否在同一子网?
    • 默认网关配置是否正确?
    • 是否有安全组 / ACL 限制?

6. 总结

VXLAN 的排障思路,其实就是一个逐层剥洋葱的过程:

  • 先看底层&nbsp;Underlay,确保物理 IP 网络能承载 VXLAN;
  • 再看&nbsp;Overlay,确认 VTEP 和 VNI 配置无误;
  • 然后是&nbsp;控制平面,验证 MAC/ARP/路由能否同步;
  • 最后才是虚拟机和安全策略。

很多人一开始上手 VXLAN 时容易“慌”,因为它涉及的组件太多。但只要建立这种逐层排查的逻辑,就能很快定位问题。

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

VXLAN集中网关测试(EVPN模式)
weixin_44247385的博客
09-01 1277
这几天使用ENSP进行VXLAN集中式网关测试,废话少说,直接上拓扑图: 可以看出来,CE2是spine,CE1和CE3是leaf,LSW1和LSW2模拟OVS。spine作为用户的三层网关。
VXLAN基本概念 技术原理 VTEP 过组播寻址
nb_zsy的博客
08-21 1万+
VXLAN的基本概念 VXLAN(VirtualeXtensible Local Area Network)是一种将二层报文用三层协议进行封装的技术,可以对二层网络在三层范围进行扩展。每个覆盖域被称为VXLAN sefment,它的ID是由位于VXLAN数据包头中的VXLAN Network Identifier(VNI)标识的。 ...
3层vni vxlan_VXLAN技术介绍:三层的网络来搭建虚拟的二层网络
weixin_39939665的博客
12-22 729
一、VXLAN概述1. 什么是 VXLANVXLAN(Virtual Extensible LAN)虚拟可扩展局域网,是一种 overlay 网络技术,将原始2层以太网帧进行UDP封装 (MAC-in-UDP),增加8字节 VXLAN头部,8字节 UDP头部, 20字节 IP 头部和14字节以太网头部,共50字节。2. VXLAN优点VXLAN与VLAN相比能够提供更好的扩展性和灵活性,主要有以...
VXLAN三层网关互_华为ensp
Zzzzz.的博客
04-21 1768
实验拓扑图 五台交换机命令 实验结果 如果出现ping 不通三层网关 但是CE交换机收到了ARP 并且有拿到MAC地址 是因为模拟器原因 重启几次可能就有一次成功!!
Neutron VxLAN + Linux Bridge 环境中的网络 MTU
weixin_33974433的博客
12-28 1171
  1. 基础知识 1.1 MTU   一个网络接口的 MTU 是它一次所能输的最大数据块的大小。任何超过MTU的数据块都会在输前分成小的输单元。MTU 有两个测量层次:网络层和链路层。比如,网络层上标准的因特网 MTU 是 1500 bytes,而在连接层上是 1518 字节。没有特别说的时候,往往指的是网络层的MTU。   要增加一个网络接口 MTU 的常见原因是增加高速因特网的...
静态Vxlan,集中式网关配置
weixin_42474071的博客
09-25 531
不知道是不是模拟器问题,当我使用三个ce做二层+三层网关的静态vxlan实验时,vxlan tunnel和vxlan vni都是正常建立好的,但是无法ping。多次尝试后依旧一样。但是使用两个ce做集中式网关实验就正常,所以以下是使用两个CE做的实验。PC1 ping PC2,抓包发现数据包封装在vxlan里面,实验成功!
Part08 - (图文)NSX系列之为ESXi主机配置VxLAN
jiaqiao5358的博客
03-30 1420
完成了关于NSX的环境准备之后,就来到了NSX实现大二层的最重要技术之一Virtual Extensible LAN(VXLAN)这个部分的配置准备工作了。VXLAN是一个开放的技术标准,利用它,可以允许为不同网路的虚拟机创建一个逻辑网路。可以实现跨越Layer 3的Layer 2网路,也就是俗称的大二层网路; VXLAN输网路过在每台ESXi Host上创建一个VX
ARP表异常致信中断?揭开虚拟机网络映射中90%人忽略的3大陷阱
# ARP表异常引发虚拟机信中断的深层剖析与高可靠网络构建 在某大型私有云环境中,运维团队突然收到多条虚拟机网络不可达告警。PING测试持续超时,但宿主机物理链路正常、防火墙策略未变更——这究竟是怎么回事? ...
局域网SDN技术硬核内幕 二 云网CP的日常恩爱——硬件VXLAN转发平面
帅云霓的技术博客
10-05 850
局域网SDN技术硬核内幕 二 云网CP的日常恩爱——硬件VXLAN转发平面 在大家的祝福之下,云和网络经历了红娘撮合(EVPN信令平面)、领证(层次化端口绑定),终于要过上幸福的小日子了——也就是业务转发。 我们知道,交换机作为VXLAN网关的硬件VXLAN,和前面我们提到的OVS作为VXLAN网关的软件VXLAN,转发平面的差异主要就是让交换机专用硬件(ASIC)接管了OVS进行VXLAN的处理...
华为VXLAN最佳实践
08-24
华为CloudEngine 12800, 12800E, 8800, 7800, 6800, 5800系列交换机 VXLAN最佳实践
什么是L2,L3
timedown的博客
11-01 6354
​openstack中我们经常看到L2、L3那么,它的作用是什么?L2其实是指七层网络协议中的第二层数据链路层,它的输是以mac地址为基础L3指网络层:是以ip地址为基础网络层属于OSI中的较高层次了,从它的名字可以看出,它解决的是网络网络之间,即网际的信问题,而不是同一网段内部的事。网络层的主要功能即是提供路由,即...
【博客634】linux vxlan设备的不同场景下的四种使用方法
qq_43684922的博客
03-12 2343
Linux 提供了另外一种方法,内核能够动态地知节点要和哪个容器信,应用程序可以订阅这些事件,如果内核发现需要的 ARP 或者 fdb 表项不存在,会发送事件给订阅的应用程序,这样应用程序从中心化的控制拿到这些信息来更新表项,做到更精确的控制。这个方案解决了在某些 underlay 网络中不能使用多播的问题,但是并没有解决多播的另外一个问题:每次要查找 MAC 地址要发送大量的无用报文,如果 vtep 组节点数量很大,那么每次查询都发送 N 个报文,其中只有一个报文真正有用。
vxlan学习总结
liuyij3430448的博客
11-29 1819
这里需要注意 MTU 的问题,网络 MTU 一般为 1500,这里加上 VXLAN 的封装多出的(36+14/18,对于 14 的情况为 access 口,省去了 4 字节的 VLAN Tag)50 或 54 字节,需要调整 MTU 为 1550 或 1554,防止频繁分包。在 VXLAN 和原始二层帧的前面使用 8 字节 UDP 头部进行封装(MAC IN UDP),目的端口号缺省使用 4789,源端口按流随机分配(过 MAC,IP,四层端口号进行 hash 操作), 这样可以更好的做 ECMP。
openvswitch创建vxlan隧道和gre隧道的mtu问题
hailwind的专栏
11-07 5097
先贴实验方法 Server1 ip netns add red ip link add veth0 type veth peer name veth1 ip link set veth0 netns red ip netns exec red ip li set lo up ip netns exec red ip li set veth0 up ip netns exec red ip ad
【爬坑系列】之vxlan网络实现
chouchou2828的博客
06-07 2419
linux 内核从3.7之后就内部集成了vxlan功能,所以可以使用linux内核提供的vxlan功能,经过配置创建vxlan网络。 而从Docker自Docker Engine 1.9之后,就自带overlay网络的驱动了,也才有了可以直接使用docker create network命令创建overlay类型的网络 在这里我们除了创建单纯的vxlan网络,我们可以手动模拟overlay驱动...
VxLAN
phoenix1415的博客
06-11 3801
简单的说,vxlan就是一种封装方式,在本端将二层数据帧封装后,过ip/ipv6网络输到目的端,目的端解封装后,再将二层数据帧根据目的mac从相应端口转发出去,被视为l2vpn的一种。 一、VxLAN与其他L2VPN区别 使用gre隧道承载二层数据帧 使用vxlan隧道承载二层数据帧 使用lsp隧道或者TE隧道承载二层数据帧 Label1:使标签报文在骨干网中,从PE1输到PE2或者从PE2输到PE1(lsp隧道使用LDP协议根据路由表生成和映射-label1也称为公网标签..
VXLAN技术研究
热门推荐
老七的博客
01-12 4万+
VXLAN技术是目前SDN解决方案中最流行的技术,在SDN的学习和测试过程中,我也对VXLAN技术进行了一些深入的理解和研究,而在讲VXLAN技术前也必须先介绍下overlay网络架构,下面简单说说我对overlay组网以及vxlan协议的理解。  一、overlay网络简介        overlay网络的诞生很大程度上是因为云计算、虚拟化相关技术的发展,统的网络
VXLAN网关
lukaschare的博客
05-03 1万+
VXLAN网关    首先,补充一下现在流行的OverLay技术: VXLAN: VXLAN是将以太网报文封装成UDP报文进行隧道输,UDP目的端口为4798(可修改),标准5元组方式有利于在IP网络转发过程中进行负载分担;隔离标识VNI采用24比特来表示;所有的流量均被封装为payload转发。 NVGRE :NVGRE采用的是RFC 2784和RFC 2890所定义的GRE隧道协
什么是vxlanvxlan概念详解,请用白话描述
最新发布
08-30
不过用户明确表示这些引用仅供参考,核心诉求还是俗化解释VXLAN。看来ta可能是个刚接触云网络的技术人员,或是备考认证的学习者。 我联想到一个快递系统的比喻应该能形象说明问题:统VLAN就像老式邮局限定同城...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值