In vielen Fällen können Sie für die L2-VPN-Fehlerbehebung die NSX-Befehlszeile verwenden.

Problem

Das L2-VPN funktioniert nicht ordnungsgemäß.

Prozedur

  1. Mit den folgenden zentralen Befehlen können Sie das VPN auf Konfigurationsprobleme untersuchen:

    show edge <edgeID> configuration l2vpn.

    Beispiel: show edge edge-1 configuration l2vpn.

  2. Verwenden Sie die folgenden Befehle sowohl auf dem Client- als auch auf dem Server-Edge:
    • show configuration l2vpn – Überprüft die folgenden vier zentralen Werte, um den Server zu prüfen.

    • show service l2vpn bridge – Die Anzahl der Schnittstellen hängt von der Anzahl der L2-VPN-Clients ab. Bei der nachfolgenden Ausgabe wird ein einzelner L2-VPN-Client (na1) konfiguriert. Port1 bezieht sich auf vNic_2. Die MAC-Adresse 02:50:56:56:44:52 wurde auf der vNic_2-Schnittstelle abgerufen und gehört nicht lokal zum Edge (L2-VPN-Server). Zeile 3 im folgenden Beispiel bezieht sich auf die Schnittstelle na1.

    • show service l2vpn trunk table

    • show service l2vpn conversion table – Im folgenden Beispiel wird die VLAN-ID Nr. 1 eines Ethernet-Frames, der auf Tunnel Nr. 1 ankommt, in VXLAN mit der VLAN-Nummer 5001 umgewandelt, bevor das Paket an den VDS weitergeleitet wird.

    • show process monitor – Stellt fest, ob die Prozesse „l2vpn“ (Server) und „naclientd“ (Client) ausgeführt werden.

    • show service network-connections – Stellt fest, ob die Prozesse „l2vpn“ (Server) und „naclientd“ (Client) Port 443 überwachen.

    • show service monitor [service] – Details zur Überwachung, gestützt durch den Überwachungsdienst-Daemon; prüft, ob der Daemon ausgeführt wird, und zeigt die Details zur geplanten Überwachungsinstanz an.

    • show service loadbalancer pool/virtual – Wenn die Zustandsüberwachung durch eine interne Prüfung des Systemzustands erfolgt, zeigen die Ausgaben last state change time (Zeitpunkt der letzten Statusänderung) und failure reason (Grund für Fehler), wenn die Prüfung des Systemzustands fehlschlägt. Wenn die Zustandsüberwachung durch einen Überwachungsdienst erfolgt, wird neben den oben genannten zwei Ausgaben auch last check time (Zeitpunkt der letzten Prüfung) angezeigt.

    show service load balancer monitor – Die letzte Spalte der Ausgabe dieses Befehls zeigt den Systemzustand des Poolmitglieds an. Die folgenden Status werden angezeigt:

    Tabelle 1. Systemzustand mit Beschreibung

    Systemzustand

    Beschreibung

    UNK

    Unbekannt

    INI

    Wird initialisiert

    SOCKERR

    Socket-Fehler

    L4OK

    Prüfung auf Layer 4 bestanden, Prüfungen für höhere Layer nicht aktiviert

    L4TOUT

    Zeitüberschreitung bei Layer 1–4

    L4CON

    Verbindungsproblem bei Layer 1–4 Beispiel: „Verbindung abgelehnt“ (tcp rst) oder „Keine Route zum Host“ (icmp)

    L6OK

    Prüfung auf Layer 6 bestanden

    L6TOUT

    Zeitüberschreitung bei Layer 6 (SSL)

    L6RSP

    Ungültige Reaktion bei Layer 6 – Protokollfehler Dies kann folgende Ursachen haben:

    • Der Backend-Server unterstützt nur „SSLv3“ oder „TLSv1.0“ oder

    • das Zertifikat des Backend-Servers ist ungültig oder

    • die Verschlüsselungsverhandlung ist fehlgeschlagen, etc.

    L7OK

    Prüfung auf Layer 7 bestanden

    L7OKC

    Prüfung auf Layer 7 bedingt bestanden Beispiel: 404 mit disable-on-404

    L7TOUT

    Zeitüberschreitung bei Layer 7 (HTTP/SMTP)

    L7RSP

    Ungültige Reaktion bei Layer 7 – Protokollfehler

    L7STS

    Reaktionsfehler bei Layer 7 Beispiel: HTTP 5xx

    • Beim Fehlercode „L4TOUT/L4CON“ bestehen in der Regel Verbindungsprobleme im zugrunde liegenden Netzwerk. Duplicate IP tritt häufig als Hauptursache mit einem solchen Grund in Kundenumgebungen auf. Führen Sie bei diesem Problem folgende Fehlerbehebung durch:

    1. Überprüfen Sie den Hochverfügbarkeitsstatus von Edges, wenn die Hochverfügbarkeit mit dem Befehl show service highavailability auf beiden Edges aktiviert wurde. Überprüfen Sie, ob der Hochverfügbarkeits-Link DOWN (nicht verfügbar) und alle Edges Active sind, damit es keine doppelte Edge-IP im Netzwerk gibt.
    2. Überprüfen Sie mit dem Befehl show arp die Edge-ARP-Tabelle und prüfen Sie, ob der ARP-Eintrag des Backend-Servers zwischen den beiden MAC-Adressen geändert wird.
    3. Überprüfen Sie die Backend-Server-ARP-Tabelle oder überprüfen Sie mit dem Befehl arp-ping, ob ein anderer Rechner dieselbe IP-Adresse aufweist wie der Edge.