示例:通过 MX 系列路由器的叠加 Ping 和叠加追踪路由对 VXLAN 叠加网络进行故障排除
在虚拟可扩展 LAN (VXLAN) 叠加网络中,现有 ping 设备和 traceroute 命令可以验证作为底层物理网络中虚拟隧道端点 (VTEP) 功能的两个瞻博网络设备之间的基本连接。但是,在两个 VTEP 之间,可能通过中介设备存在多个路由,ping 和 traceroute 数据包可能会成功到达其目的地,而另一个路由中则存在连接问题,而数据包通常通过转发到达其目标。
在适用于 MX 系列路由器的 overlay Junos OS 16.2 版中引入参数和其他选项后,您可以使用 ping 和 traceroute 命令对 VXLAN 进行故障排除。
要使 ping 和 traceroute 机制在 VXLAN 中发挥作用,因此,ping 和 traceroute 数据包(也称为运维、管理和管理 (OAM) 数据包)必须与通过 VXLAN 分段转发的数据包相同的 VXLAN 报头(外部报头)封装。如果出现任何连接问题,则叠加 OAM 数据包将遇到与数据包相同的问题。
此示例说明如何在 VTEP 上使用叠加 ping 和 traceroute 来验证 VXLAN 中的以下各项:
场景 1 — 验证是否已在另一个 VTEP 上配置了特定 VXLAN。
场景 2 — 验证特定端点的 MAC 地址是否与远程 VTEP 上的 VXLAN 相关联。
场景 3 — 验证发送和接收端点之间的特定数据流中是否存在问题。
发出 ping overlay 和 traceroute overlay 命令时,发出命令的源 VTEP 和接收 ping 数据包的目标 VTEP 必须是支持叠加 ping 和 traceroute 的瞻博网络设备。
要求
此示例使用以下硬件和软件组件:
三个物理服务器,应用程序直接运行。
两台运行 Junos OS 16.2 或更高版本软件的 MX 系列路由器。这些路由器可作为 VTEP 运行。
两层 3 路由器,可以是瞻博网络路由器,也可以是其他供应商提供的路由器。
发出 ping overlay 和 traceroute overlay 命令之前,请收集特定场景中使用的每个参数(例如 IP 地址或 MAC 地址)所需的信息。请参阅 表 1 ,以确定用于每种场景的参数。
概述和拓扑
图 1 所示的 VXLAN 拓扑包括物理服务器 A、B 和 C,应用程序直接在其上运行。物理服务器 A 和 B 上的应用程序需要与物理服务器 C 上的应用程序通信。这些服务器在同一子网上,因此应用程序之间的通信发生在第 2 层级别,并且使用 VXLAN 封装或隧道在第 3 层网络上传输其数据包。
进行故障排除
在此拓扑中,有两个 MX 系列路由器用作 VTEP。VTEP1 为物理服务器 A 和 B 启动和终止 VXLAN 隧道,VTEP2 对物理服务器 C 执行相同操作。VTEP1 和 VTEP2 位于 VXLAN 100 中。
从物理服务器 A 发送的数据包通常路由到 IP 地址为 192.0.2.30 的第 3 层路由器,以便到达物理服务器 C。
在此 VXLAN 拓扑中,物理服务器 A 和 C 之间出现了通信问题。要对此数据流解决问题,您可以对 VTEP1(源 VTEP 或tunnel-src)发起ping overlay和traceroute overlay命令,并指定 VTEP2 是目标 VTEP 或tunnel-dst。
ping overlay和traceroute overlay命令包括多个参数。表 1 解释了用途,并为三种场景中使用的每个参数提供了一个值。
表 1 未包含所有可用 ping overlay 和 traceroute overlay 参数。此示例使用这些省略参数的默认值。
|
描述 |
将参数应用于的方案 |
价值 |
|---|---|---|---|
|
确定要排除故障的隧道类型。 |
所有 |
vxlan |
|
此示例中使用的 VXLAN 的 VXLAN 网络标识符 (VNI)。 |
所有 |
100 |
|
VTEP1 的 IP 地址,您可以在该地址上发起叠加 ping 或 traceroute。 |
所有 |
192.0.2.10 |
|
VTEP2 的 IP 地址,接收叠加 ping 或 traceroute 数据包。 |
所有 |
192.0.2.20 |
|
物理服务器 C 的 MAC 地址,即目标端点。 |
场景 2 和 3 |
00:00:5E:00:53:cc |
|
VTEP1 发送的叠加 ping 请求数。
注意:
计数参数不适用于叠加追踪路由。 |
所有 |
5 |
|
物理服务器 A 的 MAC 地址,即源端点。 |
场景 3 |
00:00:5E:00:53:aa |
|
物理服务器 C 的 MAC 地址,即目标端点。
注意:
为场景 3 指定参数时,MAC 地址必须与为 |
场景 3 |
00:00:5E:00:53:cc |
|
物理服务器 A 的 IP 地址。 |
场景 3 |
198.51.100.1 |
|
物理服务器 C 的 IP 地址。 |
场景 3 |
198.51.100.3 |
|
数据流中使用的协议的值。 |
场景 3 |
17 |
|
外部 TCP/UDP 源端口的值。 |
场景 3 |
4456 |
|
外部 UDP 目标端口的值。 |
场景 3 |
4540 |
表 1 包含多个散列参数,用于场景 3。对于其中每个参数,都必须指定一个与要进行故障排除的数据流关联的值。系统根据您指定的值计算 VXLAN UDP 报头源端口哈希,该哈希包含在叠加 ping 和 traceroute 数据包的 VXLAN UDP 报头中。在 VXLAN UDP 报头中包含计算的散列,使叠加 ping 和 traceroute 数据包能够模拟要排除故障的流中的数据包。
使用散列参数时,建议为每个参数指定一个值。这种做法可确保叠加 ping 和 traceroute 进程成功,并且每个命令的输出都是准确的。如果未为一个或多个散列参数指定值,系统将发送可能包含不正确哈希值的 OAM 请求,并会生成警告消息。
配置
验证
本节包含以下验证任务:
场景 1:验证是否已在 VTEP2 上配置 VXLAN 100
目的
验证是否已在 VTEP2 上配置了 VNI 为 100 的 VXLAN。您可以使用叠加 ping 或 traceroute 来执行此验证。
行动
叠加 Ping
在 VTEP1 上,发起叠加 ping:
user@switch> ping overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20 count 5
ping-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:00:00:00:00
count 5
ttl 255
WARNING: following hash-parameters are missing -
hash computation may not succeed
end-host smac
end-host dmac
end-host src ip
end-host dst ip
end-host protocol
end-host l4-src-port
end-host l4-dst-port
Request for seq 1, to 192.0.2.20, at 09-24 22:03:16 PDT.033 msecs
Response for seq 1, from 192.0.2.20, at 09-24 22:03:16 PDT.036 msecs, rtt 10 msecs
Overlay-segment not present at RVTEP 192.0.2.20
Request for seq 2, to 192.0.2.20, at 09-24 22:03:16 PDT.044 msecs
Response for seq 2, from 192.0.2.20, at 09-24 22:03:16 PDT.046 msecs, rtt 10 msecs
Overlay-segment not present at RVTEP 192.0.2.20
Request for seq 3, to 192.0.2.20, at 09-24 22:03:16 PDT.054 msecs
Response for seq 3, from 192.0.2.20, at 09-24 22:03:16 PDT.057 msecs, rtt 10 msecs
Overlay-segment not present at RVTEP 192.0.2.20
Request for seq 4, to 192.0.2.20, at 09-24 22:03:16 PDT.065 msecs
Response for seq 4, from 192.0.2.20, at 09-24 22:03:16 PDT.069 msecs, rtt 10 msecs
Overlay-segment not present at RVTEP 192.0.2.20
Request for seq 5, to 192.0.2.20, at 09-24 22:03:16 PDT.076 msecs
Response for seq 5, from 192.0.2.20, at 09-24 22:03:16 PDT.079 msecs, rtt 10 msecs
Overlay-segment not present at RVTEP 192.0.2.20
叠加追踪路由
在 VTEP1 上,启动叠加追踪路由:
user@switch> traceroute overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20
traceroute-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:00:00:00:00
ttl 255
WARNING: following hash-parameters are missing -
hash computation may not succeed
end-host smac
end-host dmac
end-host src ip
end-host dst ip
end-host protocol
end-host l4-src-port
end-host l4-dst-port
ttl Address Sender Timestamp Receiver Timestamp Response Time
1 10.1.0.2 09-25 00:51:10 PDT.599 msecs * 10 msecs
2 192.0.2.20 09-25 00:51:10 PDT.621 msecs 09-25 00:51:10 PDT.635 msecs 21 msecs
Overlay-segment not present at RVTEP 192.0.2.20
意义
示例叠加 ping 输出表示以下内容:
VTEP1 向 VTEP2 发送 5 个 ping 请求,VTEP2 会响应每个请求。
VTEP2 表示 VNI 为 100 未配置 (
Overlay-segment not present at RVTEP 192.0.2.20),并在其对 VTEP1 的响应中包含此信息。
示例叠加追踪路由输出表示以下内容:
接收具有 1 跃点生存时间 (TTL) 的叠加追踪路由数据包后,第 3 层路由器会响应 VTEP1。
接收 TTL 值为 2 个跃点的叠加追踪路由数据包后,VTEP2 会响应 VTEP1。
VTEP2 表示未配置 VNI 100(在 RVTEP 192.0.2.20 中不存在叠加分段),并在对 VTEP1 的响应中包含此信息。
叠加 traceroute 输出的“接收器时间戳”列中的星号 (*) 表示接收叠加追踪路由数据包的第 3 层路由器不是瞻博网络设备,也不是不支持叠加 traceroute 的瞻博网络设备。
鉴于叠加 ping 和 traceroute 的输出都表明 VXLAN 100 不存在,请在 VTEP2 上检查此配置。如果在 VTEP2 上必须配置 100 的 VNI,请在 [编辑 vlan-id vxlan] 层次结构级别使用 vni 配置语句,并重新发出 ping 叠加或 traceroute 叠加命令,以验证 VXLAN 100 现已被识别。
场景 2:验证目标端点的 MAC 地址是否位于 VTEP2 上
目的
验证物理服务器 C 的 MAC 地址 (00:00:5E:00:53:cc)(目标端点)是否在 VTEP2 的转发表中。您可以使用叠加 ping 或 traceroute 来执行此验证。
行动
叠加 Ping
在 VTEP1 上,发起叠加 ping:
user@switch> ping overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20 mac 00:00:5E:00:53:cc count 5
ping-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:5E:00:53:cc
count 5
ttl 255
WARNING: following hash-parameters are missing -
hash computation may not succeed
end-host smac
end-host dmac
end-host src ip
end-host dst ip
end-host protocol
end-host l4-src-port
end-host l4-dst-port
Request for seq 1, to 192.0.2.20, at 09-24 23:53:54 PDT.089 msecs
Response for seq 1, from 192.0.2.20, at 09-24 23:53:54 PDT.089 msecs, rtt 6 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System Not Present
Request for seq 2, to 192.0.2.20, at 09-24 23:53:54 PDT.096 msecs
Response for seq 2, from 192.0.2.20, at 09-24 23:53:54 PDT.100 msecs, rtt 10 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System Not Present
Request for seq 3, to 192.0.2.20, at 09-24 23:53:54 PDT.107 msecs
Response for seq 3, from 192.0.2.20, at 09-24 23:53:54 PDT.111 msecs, rtt 10 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System Not Present
Request for seq 4, to 192.0.2.20, at 09-24 23:53:54 PDT.118 msecs
Response for seq 4, from 192.0.2.20, at 09-24 23:53:54 PDT.122 msecs, rtt 11 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System Not Present
Request for seq 5, to 192.0.2.20, at 09-24 23:53:54 PDT.129 msecs
Response for seq 5, from 192.0.2.20, at 09-24 23:53:54 PDT.133 msecs, rtt 10 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System Not Present
叠加追踪路由
在 VTEP1 上,启动叠加追踪路由:
user@switch> traceroute overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20 mac 00:00:5E:00:53:cc
traceroute-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:5E:00:53:cc
ttl 255
WARNING: following hash-parameters are missing -
hash computation may not succeed
end-host smac
end-host dmac
end-host src ip
end-host dst ip
end-host protocol
end-host l4-src-port
end-host l4-dst-port
ttl Address Sender Timestamp Receiver Timestamp Response Time
1 10.1.0.1 09-25 00:56:17 PDT.663 msecs * 10 msecs
2 192.0.2.20 09-25 00:56:17 PDT.684 msecs 09-25 00:56:17 PDT.689 msecs 11 msecs
Overlay-segment present at RVTEP 192.0.2.20
End-System not Present
意义
示例叠加 ping 输出表示以下内容:
VTEP1 向 VTEP2 发送 5 个 ping 请求,VTEP2 会响应每个请求。
VTEP2 已验证是否已配置 100 的 VNI (
Overlay-segment present at RVTEP 192.0.2.20),但物理服务器 C 的 MAC 地址不在转发表 (End-System Not Present) 中。VTEP2 在对 VTEP1 的回应中包括了这些信息。
示例叠加追踪路由输出表示以下内容:
接收 TTL 值为 1 跃点的叠加追踪路由数据包后,第 3 层路由器将响应 VTEP1。
接收 TTL 值为 2 个跃点的叠加追踪路由数据包后,VTEP2 会响应 VTEP1。
VTEP2 验证了 100 的 VNI 是否已配置 (
Overlay-segment present at RVTEP 192.0.2.20),以及物理服务器 C 的 MAC 地址是否在转发表 (End-System Present)。VTEP2 在对 VTEP1 的回应中包括了这些信息。
叠加 traceroute 输出的“接收器时间戳”列中的星号 (*) 表示接收叠加追踪路由数据包的第 3 层路由器不是瞻博网络设备,也不是不支持叠加 traceroute 的瞻博网络设备。
鉴于叠加 ping 和 traceroute 的输出都表明 VTEP2 不知道物理服务器 C 的 MAC 地址,因此必须进一步调查以确定此 MAC 地址不在 VTEP2 的转发表表中的原因。
场景 3:验证数据流
目的
验证没有可能阻碍从物理服务器 A 到物理服务器 C 的数据流的问题。支持此流的网络设备包括 IP 地址为 192.0.2.30 的第 3 层路由器 VTEP1 和 VTEP2(请参阅 图 1)。
首先,使用叠加 ping,如果叠加 ping 结果显示有问题,请使用叠加 traceroute 确定路径中的哪台设备出现问题。
使用叠加 ping 和 traceroute,使用散列参数指定有关此数据流中设备的信息,以便系统可以计算 VXLAN UDP 报头源端口哈希,该哈希包含在叠加 ping 和 traceroute 数据包的 VXLAN UDP 标头中。通过 VXLAN UDP 标头中包含计算出的散列,叠加 ping 和 traceroute 数据包可以模拟此流中的数据包,从而产生更准确的 ping 和 traceroute 结果。
行动
叠加 Ping
在 VTEP1 上,发起叠加 ping:
user@switch> ping overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20 mac 00:00:5E:00:53:cc count 5 hash-source-mac 00:00:5E:00:53:aa hash-destination-mac 00:00:5E:00:53:cc hash-source-address 198.51.100.1 hash-destination-address 198.51.100.3 hash-protocol 17 hash-source-port 4456 hash-destination-port 4540
ping-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:5E:00:53:cc
count 5
ttl 255
hash-parameters:
input-ifd-idx 653
end-host smac 00:00:5E:00:53:aa
end-host dmac 00:00:5E:00:53:cc
end-host src ip 198.51.100.1
end-host dst ip 198.51.100.3
end-host protocol 17
end-host l4-src-port 4456
end-host l4-dst-port 4540end-host vlan 150
Request for seq 1, to 192.0.2.20, at 09-24 19:15:33 PDT.352 msecs
Request for seq 2, to 192.0.2.20, at 09-24 19:15:33 PDT.363 msecs
Request for seq 3, to 192.0.2.20, at 09-24 19:15:33 PDT.374 msecs
Request for seq 4, to 192.0.2.20, at 09-24 19:15:33 PDT.385 msecs
Request for seq 5, to 192.0.2.20, at 09-24 19:15:33 PDT.396 msecs
叠加追踪路由
如果需要,在 VTEP1 上启动叠加追踪路由:
user@switch> traceroute overlay tunnel-type vxlan vni 100 tunnel-src 192.0.2.10 tunnel-dst 192.0.2.20 mac 00:00:5E:00:53:cc hash-source-mac 00:00:5E:00:53:aa hash-destination-mac 00:00:5E:00:53:cc hash-source-address 198.51.100.1 hash-destination-address 198.51.100.3 hash-protocol 17 hash-source-port 4456 hash-destination-port 4540
traceroute-overlay protocol vxlan
vni 100
tunnel src ip 192.0.2.10
tunnel dst ip 192.0.2.20
mac address 00:00:5E:00:53:cc
ttl 255
hash-parameters:
input-ifd-idx 653
end-host smac 00:00:5E:00:53:aa
end-host dmac 00:00:5E:00:53:cc
end-host src ip 198.51.100.1
end-host dst ip 198.51.100.3
end-host protocol 17
end-host l4-src-port 4456
end-host l4-dst-port 4540
ttl Address Sender Timestamp Receiver Timestamp Response Time
1 10.1.0.1 09-25 00:56:17 PDT.663 msecs * 10 msecs
意义
示例叠加 ping 输出表示 VTEP1 向 VTEP2 发送了 5 个 ping 请求,但 VTEP2 未响应任何请求。VTEP2 无法响应表示 VTEP1 与第 3 层路由器之间的路径或第 3 层路由器与 VTEP2 之间的路径存在连接问题。
要进一步排除问题所在路径,可使用叠加 traceroute 进行故障排除。示例叠加追踪路由输出表示以下内容:
接收 TTL 值为 1 跃点的叠加追踪路由数据包后,第 3 层路由器会响应 VTEP1,表示 VTEP1 与第 3 层路由器之间的路径已启动。
VTEP2 不响应叠加追踪路由数据包,它表示第 3 层路由器与 VTEP2 之间的路径可能已关闭。
叠加 traceroute 输出的“接收器时间戳”列中的星号 (*) 表示接收叠加追踪路由数据包的第 3 层路由器不是瞻博网络设备,也不是不支持叠加 traceroute 的瞻博网络设备。
鉴于叠加追踪路由输出表示第 3 层路由器与 VTEP2 之间存在连接问题,您必须进一步调查此路径分段,以确定问题的根源。