Sie können die NSX-Befehlszeilenschnittstelle (CLI) verwenden, um eine Fehlerbehebung für den L2 VPN-Dienst über SSL und IPSec-Tunnel durchzuführen.

1. Mit dem folgenden zentralen CLI-Befehl können Sie Konfigurationsprobleme anzeigen:
   show edge <edgeID> configuration l2vpn.

   Beispiel: show edge edge-1 configuration l2vpn.

2. Verwenden Sie die folgenden Befehle auf dem Client und der Server-Edge:
   • Führen Sie für L2 VPN über einen SSL-Tunnel den Befehl show configuration l2vpn aus und überprüfen Sie die vier folgenden Schlüsselwerte auf dem Server.

     

   • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show configuration l2vpn aus und beachten Sie die Site-ID der einzelnen Tunnel. Überprüfen Sie, ob die Website-ID der einzelnen Tunnel in der L2 VPN-Konfiguration mit der Site-ID übereinstimmt, die automatisch generiert wurde, als Sie die routenbasierten IPSec-Tunnel erstellt haben.
   • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn bridge aus, um die MAC-Adressen zu erhalten, die von den lokalen Sites und Remote-Sites abgerufen wurden. Wenn das ON BRIDGE-Flag auf „false“ festgelegt ist, gehören die an der Trunk-Schnittstelle abgerufenen MAC-Adressen zu den VMs auf der lokalen Site. Wenn das ON BRIDGE-Flag auf „false“ festgelegt ist, gehören die von den Tap-Geräten (tap0/na<index>/l2t-<index>) abgerufenen MAC-Adressen gleichermaßen zu den VMs auf der Remote-Site.
     Für L2 VPN über IPSec-Client und -Server lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:

     nsx-edge> show service l2vpn bridge
     bridge name     bridge id               STP enabled     interfaces
     br-sub          8000.005056902e5f       no              l2t-1
                                                             vNic_1
     
     List of learned MAC addresses for L2 VPN bridge br-sub
     -------------------------------------------------------------------
     INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
     vNic_1          00:50:56:90:2e:5f       0               yes             0.00
     vNic_1          00:50:56:90:c2:e4       0               no              220.05
     l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
     

     Für L2 VPN über einen SSL-Server lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:

     nsx-edge> show service l2vpn bridge 
     
     bridge name     bridge id               STP enabled     interfaces
     br-sub          8000.00505690a99b       no              na1
                                                             vNic_1
     
     List of learned MAC addresses for L2 VPN bridge br-sub
     -------------------------------------------------------------------
     INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
     vNic_1          00:50:56:90:0d:52       30              no              16.88
     na1             00:50:56:90:0d:52       10              no              11.87
     vNic_1          00:50:56:90:a9:9b       30              yes             0.00
     na1             d6:60:19:cb:e7:ca       0               yes             0.00
     

     Für L2 VPN über einen SSL-Client lautet die CLI-Ausgabe des Befehls show service l2vpn bridge wie folgt:

     nsx-edge> show service l2vpn bridge 
     
     bridge name     bridge id               STP enabled     interfaces
     br-sub          8000.005056900d52       no              tap0
                                                             vNic_1
     
     List of learned MAC addresses for L2 VPN bridge br-sub
     -------------------------------------------------------------------
     INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
     vNic_1          00:50:56:90:0d:52       10              yes             0.00
     vNic_1          00:50:56:90:a9:9b       30              no              3.84
     tap0            00:50:56:90:a9:9b       20              no              0.84
     tap0            00:50:56:90:a9:9b       10              no              2.84
     

   • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show service l2vpn auf dem Server und dem Client aus. Beispielsweise zeigt die folgende CLI-Ausgabe auf dem Server den Status von zwei IPSec-Tunneln an:

     NSX-edge-23-0> show service l2vpn      
     L2 VPN is running
     ----------------------------------------
     L2 VPN type: Server/Hub
     
     SITENAME                       IPSECSTATUS          VTI                  GRE
     Site 1                         UP                   vti-1                l2t-36
     Site 2                         UP                   vti-1                l2t-34

     Stellen Sie sicher, dass der Tunnelstatus „UP“ lautet. Wenn der Tunnelstatus „UP“ lautet, überprüfen Sie, ob die Site-ID des Tunnels mit der Site-ID übereinstimmt, die beim Erstellen der routenbasierten IPSec-Tunnel automatisch generiert wurde.
   • Führen Sie für L2 VPN über einen IPSec-Tunnel den Befehl show interface [interface-name] aus, um die Details aller VTI-Schnittstellen anzuzeigen.
   • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn trunk table aus.
   • Führen Sie für L2 VPN über SSL- und IPSec-Tunnel den Befehl show service l2vpn conversion table aus. Im folgenden Beispiel wird die VLAN-ID Nr. 1 eines Ethernet-Frames, der auf Tunnel Nr. 1 ankommt, in VXLAN mit der VLAN-Nummer 5001 umgewandelt, bevor das Paket an den VDS weitergeleitet wird.