Describe 首頁/2021-05-12 here.

关于VMware环境VLAN 1中250网段部分VM同网段通信异常的问题排查及建议

问题现象

• 在VMware虚拟机环境中，确认存在以下问题。

1. 位于VLAN1的250网段VM与同网段其它部分同网段VM通信异常，比如250.90能够跟250.40、250.117等IP相通，但无法与250.113-116等IP相通。
2. 但250.90与任何其它网段的VM或终端通信正常。

排查经过

1. 确认Cisco UCS FI中相关刀片Profile所对应的网卡VLAN配制正常。
2. 确认核心交换机中VLAN1中共有两个网段，112网段工作正常，但250网段在Cisco UCS环境异常。
3. 确认250.X网段的路由跟踪记录中的下一跳为250.3，而业务系统的网关设置为250.1，与现场负责网络的工程师确认这个也是正常的。

4. 测试250.90所在的VM网卡PortGroup配制，发现当该VM的PortGroup在标准虚拟交换机vSS中时，与同ESXi主机或不同ESXi主机中的其它VM通信便有问题。

5. 如果把250.90所在的VM网卡PortGroup分配至分布式虚拟交换机vDS中对应的PortGroup时，则该VM与同网段或任何现有网段的VM或终端通信正常。

6. 检查VMware虚拟交换机配制，配制符合规范，每个交换机都有两个UPLINK, 交换机网卡/端口组的网卡绑定策略为默认的基于端口ID的路由。

7. 检查Cisco UCS FI与核心换机的连接，每个FI有两个万兆UPLINK连接至核心交换机，每个UPLINK端口配制为Trunk口(充许部分所需VLAN通过)，没有做PortChannel，核心交换机也是Trunk，充许所有VLAN通过。

8. 在ESXi上抓取250.90虚拟机的网络日志，分析发现在ARP请求广播时没有回应，问题原因可能不在vSwitch虚拟交换机。
9. 以下为部分模拟的场景记录

  a. 同主机中的PING测试
  1) 当250.90在vSS交换机中时，PING同vSS交换机的其它VM IP是通的。
  2) 当250.90在vSS交换机中时，PING同vDS交换机的其它VM IP是不通的。

  b. 不同主机但同一个刀箱中的PING测试
  1) 当250.90在vSS交换机中时，PING同vSS交换机的其它VM IP是不通的。
  2) 当250.90在vSS交换机中时，PING同vDS交换机的其它VM IP是不通的。

  c. 不同主机且不同刀箱中的PING测试
  1) 当250.90在vSS交换机中时，PING同vSS交换机的其它VM IP是通的。
  2) 当250.90在vSS交换机中时，PING同vDS交换机的其它VM IP是不通的。

处理结果及建议

1. 已现场建议VMware维护商分析虚拟交换机日志，目前VMware层面未反馈异常。
2. 怀疑存在环路的情况，但从目前的分析来看，没有直接的证据。
3. 建议开个"Cisco FI环境网络通信异常"方面的CASE，在FI交换机上收集端口日志，做进一步分析（PS：据昨天现场工程师反馈是可以开Cisco的CASE）

优化建议

1. FI连接核心交换机的两个UPLINK口，目前是独立的两个Trunk端口互联，建议配制为PortChannel（即Cisco FI上两个口配制PortChannel，核心交换机对应的两个端口配制为"聚合"）。