本主题讨论了与 L2 VPN 相关的常见配置问题。

在下述过程中:
  • 仅当 L2 VPN 服务在 SSL 隧道上运行时,步骤 1、2 和 3 才适用。
  • 当 L2 VPN 服务在 SSL 隧道和 IPSec 隧道上运行时,步骤 4、5 和 6 适用。

问题

以下配置问题特定于使用 SSL VPN 隧道路由流量的 L2 VPN 客户端:
  • 配置了 L2 VPN 客户端,但面向 Internet 的防火墙不允许流量使用目标端口 443 流过隧道。
  • 将 L2 VPN 客户端配置为验证服务器证书,但没有为该客户端配置正确的 CA 证书或 FQDN。
以下配置问题常见于使用 SSL VPN 隧道或 IPSec VPN 隧道路由流量的 L2 VPN 客户端:
  • 配置了 L2 VPN 服务器,但未在面向 Internet 的防火墙上创建 NAT 或防火墙规则。
  • 分布式端口组或标准端口组不支持中继接口。
注: 对于在 SSL 隧道上运行的 L2 VPN 服务,请记住:
  • 默认情况下,L2 VPN 服务器侦听端口 443。可以从 L2 VPN 服务器设置中配置该端口。
  • 默认情况下,L2 VPN 客户端建立到端口 443 的出站连接。可以从 L2 VPN 客户端设置中配置该端口。

解决方案

  1. 检查 L2 VPN 服务器进程是否正在运行。
    1. 登录到 NSX Edge 虚拟机。
    2. 运行 show process monitor 命令,并验证您是否可以找到名为 l2vpn 的进程。
    3. 运行 show service network-connections 命令,并验证 l2vpn 进程是否侦听端口 443。
  2. 检查 L2 VPN 客户端进程是否正在运行。
    1. 登录到 NSX Edge 虚拟机。
    2. 运行 show process monitor 命令,并验证您是否可以找到名为 naclientd 的进程。
    3. 运行 show service network-connections 命令,并验证 naclientd 进程是否侦听端口 443。
  3. 检查是否可从 Internet 访问 L2 VPN 服务器。
    1. 打开浏览器,然后访问 https://<l2vpn-public-ip>
    2. 必定会显示一个门户登录页面。如果显示门户页面,则表示可以通过 Internet 访问 L2 VPN 服务器。
  4. 检查分布式端口组或标准端口组是否支持中继接口。
    1. 如果分布式端口组支持中继接口,则会自动设置一个池端口。
    2. 如果标准端口组支持中继接口,则必须按以下方式手动配置 vSphere Distributed Switch:
    • 将端口设置为混杂 (promiscuous)模式。
    • 伪传输 (Forged Transmits)设置为接受 (Accept)
  5. 缓解 L2 VPN 循环问题。
    1. 如果未正确配置网卡绑定,则会发现两个严重问题 - MAC 地址漂移和重复的数据包。请按照用于缓解循环的 L2VPN 选项中所述验证配置。
  6. 检查跨 L2 VPN 的虚拟机是否可以相互通信。
    1. 登录到 L2 VPN 服务器 CLI,并在相应的 tap 接口上捕获数据包:debug packet capture interface name
    2. 登录到 L2 VPN 客户端,并在相应的 tap 接口上捕获数据包:debug packet capture interface name
    3. 分析这些捕获结果以检查是否解析了 ARP 并传输数据流量。
    4. 检查 Allow Forged Transmits: dvSwitch 属性是否设置为 L2 VPN 中继端口
    5. 检查池端口是否设置为 L2 VPN 中继端口。为此,请登录到主机并发出 net-dvs -l 命令。检查为 L2 VPN Edge 内部端口设置的 sink 属性 (com.vmware.etherswitch.port.extraEthFRP = SINK)。内部端口是指 NSX Edge 中继连接到的 dvPort
    命令输出显示为 Edge 中继接口连接到的 dvPort 启用了池端口。