腾讯频道 - 【EVE-NG国代】EmulatedLab - 【已解决】H3C数据中心标准组网测试遗留问题

【EVE-NG国代】EmulatedLab

hbugs001【EVE-NG国代】

频道主

【已解决】H3C数据中心标准组网测试遗留问题

此案例也是分享来自 @风卷残云大佬

1、网络拓扑

网络拓扑如下图所示，标准的Spine-leaf架构，由于H3C vswith S9850特别不稳定，因此非必要网元，都用华为代替，比如PE01、SP01、SP02、DC-FW01、DC-FW02均为华为设备。

2、注意事项

（1）目前暂无定论，我目前使用的2个CPU，2G内存，一直在测试会不会重启，目前测试2小时10分钟都ok

（2）如果遇到接口起不来，可以使用undo shutdown使能接口，最长遇到的就是保持配置后，下次重新开机，就有端口会莫名down。

（3）还有一个问题是BGP EVPN邻居起不来，也有办法，就是删除BGP邻居，重新配置，华为CE12800不会有这个问题，一般是S9850删除，重新配下就好。

undo bgp xx

bgp xx

（4）最后一个是undo shutdown了，接口还是起不来，那只有一个大招，那就是直接wipe掉节点，重新加载，重新刷入配置。。。

3、设备配置，为了方便大家测试，我这里准备的脚本，都经过调整，可以直接刷入。

4、实验结果

（1）检查SP的BGP EVPN邻居，如果有active的，建议删除对端的BGP，重新配下。

（2）检查BL和SL的M-LAG，如果存在down，可以通过进入端口，执行undo shutdown恢复

（3）PC01和PC02均可以ping通外网，且在FW上可以看到会话日志

5、遗留问题----将USG6000V缓存H3C的vFW，流量不通，原因待排查

（1）BL01和BL02的配置变更如下，只保留一个聚合口，所有成员口加入这个聚合口

==================BL01

undo int Bridge-Aggregation 2

int HundredGigE1/0/6

port link-aggregation group 1

==================BL02

undo int Bridge-Aggregation 2

int HundredGigE1/0/6

port link-aggregation group 1

（2）DC-FW01的配置如下，还有个小遗憾，H3C vFW貌似不支持双主直连检测配置

====================堆叠配置，建议主备先配好chassis convert mode irf，然后先重启FW01，再执行FW02 ①主防火墙 # sysname DC-FW01 # irf topo-domain 100 # irf-port port group interface gigabitethernet 3/0 # chassis convert mode irf y y y ②备防火墙 # irf member 2 irf topo-domain 100 # irf-port port group interface gigabitethernet 3/0 # chassis convert mode irf y y y

# sysname DC-FW01 # interface Reth1 member interface GigabitEthernet1/4/0 priority 100 member interface GigabitEthernet2/4/0 priority 80 # interface Route-Aggregation1 link-aggregation mode dynamic # interface Route-Aggregation1.11 ip address 172.17.11.2 255.255.255.252 vlan-type dot1q vid 11 # interface Route-Aggregation1.12 ip address 172.17.12.2 255.255.255.252 vlan-type dot1q vid 12 # interface GigabitEthernet1/1/0 port link-aggregation group 1 # interface GigabitEthernet1/2/0 port link-aggregation group 1 # interface GigabitEthernet2/1/0 port link-aggregation group 1 # interface GigabitEthernet2/2/0 port link-aggregation group 1 # security-zone name Trust import interface Route-Aggregation1.11 # security-zone name Untrust import interface Route-Aggregation1.12 # ip route-static 0.0.0.0 0 172.17.12.1 ip route-static 10.18.11.0 24 172.17.11.1 ip route-static 10.18.12.0 24 172.17.11.1 # rule 0 name out action pass source-zone Trust destination-zone Untrust source-ip-subnet 10.18.11.0 255.255.255.0 source-ip-subnet 10.18.12.0 255.255.255.0 destination-ip-host 88.1.1.1 （3）检查BL的M-LAG状态

（4）PC01和PC02 ping测试，奇怪的是FW上有产生会话表，但是去向和回程的包个数都为0，不知道是不是模拟器bug，进一步在BL01的HGE1/0/1进行抓包，可以看到ICMP Request和ICMP Replay包。初步怀疑是vFW数据转发有问题，暂无定论。

6、解决方法

2025-04-15

案例分享

登录后评论