Déboguer le VXLAN sur Cisco Nexus

Les commutateurs Cisco Nexus, en particulier la série 9000, sont des piliers des réseaux de data centers modernes grâce à leur support de technologies comme VXLAN (Virtual Extensible LAN). Cependant, la complexité de VXLAN, souvent couplée à EVPN (Ethernet VPN), peut rendre le débogage difficile en cas de panne. Cet article fournit une méthodologie claire et des commandes essentielles pour diagnostiquer et résoudre les problèmes VXLAN sur Cisco Nexus.

Qu’est-ce que VXLAN et Pourquoi le Débogage est Crucial ?

VXLAN permet d’étendre des réseaux de couche 2 sur une infrastructure de couche 3 en encapsulant les trames Ethernet dans des paquets UDP. Avec EVPN comme plan de contrôle, VXLAN utilise BGP pour échanger les informations MAC/IP entre les VTEP (VXLAN Tunnel Endpoints). Les problèmes fréquents incluent :

• Perte de connectivité entre hôtes.
• Erreurs d’encapsulation/décapsulation.
• Incohérences dans le plan de contrôle EVPN.
• Problèmes de routage ou de multicast dans l’underlay.

Un débogage efficace minimise les interruptions et garantit la stabilité du réseau.

Étape 1 : Vérifier l’État Général du Système

Commencez par collecter des informations de base pour évaluer l’état du commutateur et de la configuration VXLAN.

Commandes de Vérification Initiale

• Vérifier la version NX-OS et les modules : show version show module Assurez-vous que la version NX-OS est compatible avec VXLAN/EVPN.
• Vérifier l’interface NVE (Network Virtualization Edge) : show nve interface Confirmez que l’interface NVE est active (« Up ») et que l’IP source (généralement une loopback) est correcte.
• Vérifier les pairs NVE : show nve peers Vérifiez que les VTEP distants sont dans l’état « Up » avec les bonnes adresses IP.

Exemple de Sortie

nexus# show nve peers
Interface Peer-IP          State LearnType Uptime   Router-Mac
--------- ---------------  ----- --------- -------- -----------------
nve1      192.168.2.5      Up    DP        2d20h    n/a

Étape 2 : Vérifier la Configuration VXLAN et EVPN

Vérification de l’Underlay

L’underlay (réseau IP sous-jacent) doit garantir la connectivité entre les VTEP et supporter le multicast (si configuré) ou l’ingress replication.

• Tester la connectivité IP :ping 192.168.2.5 source-interface loopback1
• Vérifier le routage (par exemple, OSPF) :show ip ospf neighbors show ip route
• Vérifier le multicast (si utilisé) :show ip mroute show ip pim neighbor

Vérification de l’Overlay

• Vérifier les VNIs (VXLAN Network Identifiers) :show nve vni Assurez-vous que les VNIs sont actifs et mappés aux VLANs corrects.
• Vérifier BGP EVPN :show bgp l2vpn evpn summary show bgp l2vpn evpn Confirmez que les voisins BGP sont établis et que les routes MAC/IP sont bien échangées.
  
  

Étape 3 : Débogage des Problèmes de Connectivité

Problème : Pas de Connectivité entre Hôtes

Si deux hôtes dans le même VNI ne peuvent pas communiquer, suivez ces étapes :

1. Vérifier les tables MAC : show l2vpn evpn mac Assurez-vous que les adresses MAC des hôtes sont apprises correctement.
2. Vérifier les routes EVPN : show bgp l2vpn evpn mac-address <MAC> Vérifiez que la route MAC est propagée via BGP.
3. Activer le débogage VXLAN : debug nve vxlan debug nve error Utilisez avec précaution pour éviter de surcharger le CPU. Limitez le débogage si possible : debug nve vxlan vni <VNI>

Problème : Erreurs d’Encapsulation

Si les paquets VXLAN ne sont pas correctement encapsulés :

• Vérifier les compteurs d’erreurs :show nve counters
• Analyser les paquets avec Ethanalyzer :ethanalyzer local interface inband capture-filter "udp port 4789" limit-captured-frames 100 Capturez les paquets VXLAN (port UDP 4789 par défaut) pour vérifier l’encapsulation.

Étape 4 : Utiliser des Outils Avancés

• SPAN/RSPAN : Configurez une session SPAN pour capturer le trafic VXLAN sur une interface spécifique.monitor session 1 source interface port-channel10 destination interface Ethernet1/10
• NetFlow : Activez NetFlow pour analyser les flux VXLAN.show flow record
• Logs et Syslog : Vérifiez les journaux pour des erreurs spécifiques.show logging

Conseils pour un Débogage Efficace

• Utilisez des Conditions de Débogage : Limitez les commandes debug à une interface, un VNI, ou un pair pour réduire l’impact sur les performances.
• Sauvegardez la Configuration : Avant toute modification, sauvegardez avec :copy running-config startup-config
• Mettez à Jour NX-OS : Certains bugs VXLAN sont résolus dans les versions récentes. Consultez les notes de version Cisco.
• Consultez la Documentation : Référez-vous au Cisco Nexus 9000 Series NX-OS VXLAN Configuration Guide.

Conclusion

Le débogage de VXLAN sur Cisco Nexus nécessite une approche systématique, combinant vérifications de base, analyse du plan de contrôle EVPN, et outils avancés comme Ethanalyzer ou SPAN. En suivant les étapes décrites, vous pouvez identifier et résoudre la plupart des problèmes, assurant ainsi la stabilité de votre réseau virtualisé.

Pour des configurations complexes ou des problèmes persistants, envisagez de contacter le support Cisco TAC avec les sorties des commandes pertinentes et les journaux système.

Références

Pour approfondir vos connaissances sur le débogage de VXLAN sur Cisco Nexus ou consulter les ressources officielles utilisées dans cet article, voici une liste de sources fiables :

1. Cisco Nexus 9000 Series NX-OS VXLAN Configuration Guide – Guide officiel pour la configuration et le dépannage de VXLAN et EVPN sur Nexus 9000.
2. Cisco Nexus 9000 Series NX-OS Troubleshooting Guide – Documentation détaillée sur les outils de débogage comme Ethanalyzer, SPAN, et les commandes debug.

Publié le 17 juin 2025