您可以使用 NSX 命令行界面 (CLI) 对通过 SSL 和 IPSec 隧道的 L2 VPN 服务进行故障排除。

问题

L2 VPN 服务无法正常工作。

解决方案

  1. 使用以下中央 CLI 命令查看配置问题:
    show edge <edgeID> configuration l2vpn.

    例如,show edge edge-1 configuration l2vpn.

  2. 在客户端和服务器 Edge 上使用以下命令:
    • 对于通过 SSL 隧道的 L2 VPN,请运行 show configuration l2vpn 命令,并在服务器上检查以下四个密钥值。

    • 对于通过 IPSec 隧道的 L2 VPN,请运行 show configuration l2vpn 命令,并观察每个隧道的站点 ID。检查 L2 VPN 配置中每个隧道的站点 ID 是否与创建基于路由的 IPSec 隧道时自动生成的站点 ID 相匹配。
    • 对于通过 SSL 和 IPSec 隧道的 L2 VPN,请运行 show service l2vpn bridge 命令,以了解本地和远程站点中发现的 MAC 地址。如果 ON BRIDGE 标记为 false,则从中继接口发现的 MAC 地址属于本地站点上的虚拟机。同样的,如果 ON BRIDGE 标记为 false,则从 tap 设备 (tap0/na<index>/l2t-<index>) 上发现的 MAC 地址属于远程站点上的虚拟机。
      对于通过 IPSec 客户端和服务器的 L2 VPN, show service l2vpn bridge 命令的 CLI 输出如下所示:
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      对于通过 SSL 服务器的 L2 VPN, show service l2vpn bridge 命令的 CLI 输出如下所示:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      对于通过 SSL 客户端的 L2 VPN, show service l2vpn bridge 命令的 CLI 输出如下所示:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • 对于通过 IPSec 隧道的 L2 VPN,请在服务器和客户端中运行 show service l2vpn 命令。例如,服务器上的以下 CLI 输出显示了两个 IPSec 隧道的状态:
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      确保隧道处于“已启动”状态。如果隧道状态为“已启动”,请检查隧道的站点 ID 是否与创建基于路由的 IPSec 隧道时自动生成的站点 ID 相匹配。
    • 对于通过 IPSec 隧道的 L2 VPN,请运行 show interface [interface-name] 命令以查看所有 VTI 接口的详细信息。
    • 对于通过 SSL 和 IPSec 隧道的 L2 VPN,请运行 show service l2vpn trunk table 命令。
    • 对于通过 SSL 和 IPSec 隧道的 L2 VPN,请运行 show service l2vpn conversion table 命令。在以下示例中,到达隧道 1 的以太网帧将其 VLAN ID 1 转换为具有 VLAN 5001 的 VXLAN,然后再将数据包传送到 VDS。