本主题讨论了与 L2 VPN 相关的常见配置问题。

问题

以下配置问题特定于使用 SSL VPN 隧道路由流量的 L2 VPN 客户端:
  • 配置了 L2 VPN 客户端,但面向 Internet 的防火墙不允许流量使用目标端口 443 流过隧道。
  • 将 L2 VPN 客户端配置为验证服务器证书,但没有为该客户端配置正确的 CA 证书或 FQDN。
以下配置问题常见于使用 SSL VPN 隧道或 IPSec VPN 隧道路由流量的 L2 VPN 客户端:
  • 配置了 L2 VPN 服务器,但未在面向 Internet 的防火墙上创建 NAT 或防火墙规则。
  • 分布式端口组或标准端口组不支持中继接口。
注: 对于在 SSL 隧道上运行的 L2 VPN 服务,请记住:
  • 默认情况下,L2 VPN 服务器侦听端口 443。可以从 L2 VPN 服务器设置中配置该端口。
  • 默认情况下,L2 VPN 客户端建立到端口 443 的出站连接。可以从 L2 VPN 客户端设置中配置该端口。

解决方案

在下述过程中:
  • 仅当 L2 VPN 服务在 SSL 隧道上运行时,步骤 1、2 和 3 才适用。
  • 当 L2 VPN 服务在 SSL 隧道和 IPSec 隧道上运行时,步骤 4、5 和 6 适用。

步骤

  1. 检查 L2 VPN 服务器进程是否正在运行。
    1. 登录到 NSX Edge 虚拟机。
    2. 运行 show process monitor 命令,并验证您是否可以找到名为 l2vpn 的进程。
    3. 运行 show service network-connections 命令,并验证 l2vpn 进程是否侦听端口 443。
  2. 检查 L2 VPN 客户端进程是否正在运行。
    1. 登录到 NSX Edge 虚拟机。
    2. 运行 show process monitor 命令,并验证您是否可以找到名为 naclientd 的进程。
    3. 运行 show service network-connections 命令,并验证 naclientd 进程是否侦听端口 443。
  3. 检查是否可从 Internet 访问 L2 VPN 服务器。
    1. 打开浏览器,然后访问 https://<l2vpn-public-ip>
    2. 必定会显示一个门户登录页面。如果显示门户页面,则表示可以通过 Internet 访问 L2 VPN 服务器。
  4. 检查分布式端口组或标准端口组是否支持中继接口。
    1. 如果分布式端口组支持中继接口,则会自动设置一个池端口。
    2. 如果标准端口组支持中继接口,则必须按以下方式手动配置 vSphere Distributed Switch:
    • 将端口设置为混杂 (promiscuous)模式。
    • 伪传输 (Forged Transmits)设置为接受 (Accept)
  5. 缓解 L2 VPN 循环问题。
    1. 如果未正确配置网卡绑定,则会发现两个严重问题 - MAC 地址漂移和重复的数据包。请按照用于缓解循环的 L2VPN 选项中所述验证配置。
  6. 检查跨 L2 VPN 的虚拟机是否可以相互通信。
    1. 登录到 L2 VPN 服务器 CLI,并在相应的 tap 接口上捕获数据包:debug packet capture interface name
    2. 登录到 L2 VPN 客户端,并在相应的 tap 接口上捕获数据包:debug packet capture interface name
    3. 分析这些捕获结果以检查是否解析了 ARP 并传输数据流量。
    4. 检查 Allow Forged Transmits: dvSwitch 属性是否设置为 L2 VPN 中继端口
    5. 检查池端口是否设置为 L2 VPN 中继端口。为此,请登录到主机并发出 net-dvs -l 命令。检查为 L2 VPN Edge 内部端口设置的 sink 属性 (com.vmware.etherswitch.port.extraEthFRP = SINK)。内部端口是指 NSX Edge 中继连接到的 dvPort