Sie können die NSX-Befehlszeilenschnittstelle (CLI) verwenden, um eine Fehlerbehebung für den L2 VPN-Dienst über SSL und IPSec-Tunnel durchzuführen.

Problem

Der L2 VPN-Dienst funktioniert nicht erwartungsgemäß.

Lösung

  1. Mit dem folgenden zentralen CLI-Befehl können Sie Konfigurationsprobleme anzeigen:
    show edge <edgeID> configuration l2vpn.

    Beispiel: show edge edge-1 configuration l2vpn.

  2. Verwenden Sie die folgenden Befehle auf dem Client und der Server-Edge:
    • Führen Sie für L2 VPN über einen SSL-Tunnel den Befehl show configuration l2vpn aus und überprüfen Sie die vier folgenden Schlüsselwerte auf dem Server.

    • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show configuration l2vpn aus und beachten Sie die Site-ID der einzelnen Tunnel. Überprüfen Sie, ob die Website-ID der einzelnen Tunnel in der L2 VPN-Konfiguration mit der Site-ID übereinstimmt, die automatisch generiert wurde, als Sie die routenbasierten IPSec-Tunnel erstellt haben.
    • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn bridge aus, um die MAC-Adressen zu erhalten, die von den lokalen Sites und Remote-Sites abgerufen wurden. Wenn das ON BRIDGE-Flag auf „false“ festgelegt ist, gehören die an der Trunk-Schnittstelle abgerufenen MAC-Adressen zu den VMs auf der lokalen Site. Wenn das ON BRIDGE-Flag auf „false“ festgelegt ist, gehören die von den Tap-Geräten (tap0/na<index>/l2t-<index>) abgerufenen MAC-Adressen gleichermaßen zu den VMs auf der Remote-Site.
      Für L2 VPN über IPSec-Client und -Server lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      Für L2 VPN über einen SSL-Server lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      Für L2 VPN über einen SSL-Client lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show service l2vpn auf dem Server und dem Client aus. Beispielsweise zeigt die folgende CLI-Ausgabe auf dem Server den Status von zwei IPSec-Tunneln an:
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      Stellen Sie sicher, dass der Tunnelstatus „UP“ lautet. Wenn der Tunnelstatus „UP“ lautet, überprüfen Sie, ob die Site-ID des Tunnels mit der Site-ID übereinstimmt, die beim Erstellen der routenbasierten IPSec-Tunnel automatisch generiert wurde.
    • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show interface [interface-name] aus, um die Details aller VTI-Schnittstellen anzuzeigen.
    • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn trunk table aus.
    • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn conversion table aus. Im folgenden Beispiel wird die VLAN-ID Nr. 1 eines Ethernet-Frames, der auf Tunnel Nr. 1 ankommt, in VXLAN mit der VLAN-Nummer 5001 umgewandelt, bevor das Paket an den VDS weitergeleitet wird.