In diesem Abschnitt werden häufig auftretende Konfigurationsprobleme im Zusammenhang mit L2-VPN erläutert.

Problem

Die folgenden Konfigurationsprobleme sind spezifisch für L2-VPN-Clients, die SSL VPN-Tunnel für das Routing des Datenverkehrs verwenden:
  • Der L2-VPN-Client wurde konfiguriert, aber die mit dem Internet verbundene Firewall lässt über den Ziel-Port 443 keinen Datenverkehr im Tunnel zu.
  • Der L2-VPN-Client wurde für die Validierung von Serverzertifikaten konfiguriert, jedoch nicht mit dem korrekten CA-Zertifikat oder FQDN.
Die folgenden Konfigurationsprobleme treten häufig bei L2 VPN-Clients auf, die SSL VPN-Tunnel oder IPSec VPN-Tunnel für das Routing des Datenverkehrs verwenden:
  • Der L2-VPN-Server wurde konfiguriert, aber NAT oder die Firewallregel wurde nicht auf der mit dem Internet verbundenen Firewall erstellt.
  • Die Trunk-Schnittstelle wird nicht von einer verteilten bzw. standardmäßigen Portgruppe gestützt.
Hinweis: Beachten Sie für L2 VPN für SSL-Tunnel Folgendes:
  • Der L2-VPN-Server überwacht standardmäßig Port 443. Dieser Port ist über die L2-VPN-Servereinstellungen konfigurierbar.
  • Der L2-VPN-Client stellt standardmäßig eine ausgehende Verbindung zu Port 443 her. Dieser Port ist über die L2-VPN-Client-Einstellungen konfigurierbar.

Lösung

Für das folgenden Verfahren gilt Folgendes:
  • Die Schritte 1, 2 und 3 können nur dann angewendet werden, wenn der L2-VPN-Dienst für einen SSL-Tunnel ausgeführt wird.
  • Die Schritte 4, 5 und 6 können angewendet werden, wenn der L2-VPN-Dienst sowohl für SSL- als auch für IPSec-Tunnel ausgeführt wird.

Verfahren

  1. Überprüfen Sie, ob der L2-VPN-Serverprozess ausgeführt wird.
    1. Melden Sie sich bei der NSX Edge-VM an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen l2vpn vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess l2vpn Port 443 überwacht.
  2. Überprüfen Sie, ob der L2-VPN-Clientprozess ausgeführt wird.
    1. Melden Sie sich bei der NSX Edge-VM an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen naclientd vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess naclientd Port 443 überwacht.
  3. Überprüfen Sie, ob der Zugriff auf den L2-VPN-Server über das Internet möglich ist.
    1. Öffnen Sie einen Browser und rufen Sie https://<l2vpn-public-ip> auf.
    2. Es muss eine Portalanmeldeseite angezeigt werden. Wird die Portalseite angezeigt, ist der L2-VPN-Server über das Internet erreichbar.
  4. Überprüfen Sie, ob die Trunk-Schnittstelle durch eine verteilte oder standardmäßige Portgruppe gestützt wird.
    1. Wenn die Trunk-Schnittstelle von einer verteilten Portgruppe gestützt wird, wird automatisch ein Sink-Port eingerichtet.
    2. Wird die Trunk-Schnittstelle von einer standardmäßigen Portgruppe gestützt, müssen Sie den vSphere Distributed Switch manuell wie folgt konfigurieren:
    • Legen Sie für den Port den promiskuitiven (promiscuous) Modus fest.
    • Legen Sie Gefälschte Übertragungen (Forged Transmits) auf Akzeptieren (Accept) fest.
  5. Mildern Sie das L2-VPN-Schleifenproblem.
    1. Zwei größere Probleme treten auf, wenn die NIC-Gruppierung nicht korrekt konfiguriert ist: MAC-Flapping und duplizierte Pakete. Überprüfen Sie die Konfiguration, wie unter L2VPN-Optionen zum Verringern des Loopings beschrieben.
  6. Prüfen Sie, ob VMs im L2-VPN miteinander kommunizieren können.
    1. Melden Sie sich bei der L2-VPN-Serverbefehlszeile an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name.
    2. Melden Sie sich beim L2-VPN-Client an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name
    3. Analysieren Sie diese Erfassungen, um zu prüfen, ob ARP aufgelöst wird, und den Datenverkehrsfluss.
    4. Prüfen Sie, ob die Eigenschaft Allow Forged Transmits: dvSwitch auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist.
    5. Prüfen Sie, ob der Sink-Port auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist. Melden Sie sich dazu beim Host an und führen Sie den Befehl net-dvs -l aus. Überprüfen Sie die für den internen L2-VPN-Edge-Port festgelegte Sink-Eigenschaft (com.vmware.etherswitch.port.extraEthFRP = SINK). „Interner Port“ bezieht sich auf den dvPort, über den der NSX Edge-Trunk verbunden ist.