Bei der Konfiguration von NSX Edge für einen Client oder einen Server muss eine Trunk-Schnittstelle entweder von einer verteilten Portgruppe oder einer standardmäßigen Portgruppe gestützt werden.

Problem

Nachfolgend sind häufig auftretende Konfigurationsprobleme beschrieben:

  • Der L2-VPN-Client wurde konfiguriert, aber die Internetfirewall lässt keinen Datenverkehr vom L2-VPN-Edge zum Internet zu (Zielport 443).

  • Der L2-VPN-Client wurde für die Validierung von Serverzertifikaten konfiguriert, jedoch nicht mit dem korrekten CA-Zertifikat oder FQDN.

  • Der L2-VPN-Server wurde konfiguriert, aber die NAT-/Firewallregel wurde nicht auf der Internetfirewall erstellt.

  • Die Trunk-Schnittstelle wird nicht von einer verteilten bzw. standardmäßigen Portgruppe gestützt.

Anmerkung:

Der L2-VPN-Server überwacht standardmäßig Port 443. Dieser Port ist über die L2-VPN-Servereinstellungen konfigurierbar.

Der L2-VPN-Client stellt standardmäßig eine ausgehende Verbindung zu Port 443 her. Dieser Port ist über die L2-VPN-Servereinstellungen konfigurierbar.

Prozedur

  1. Überprüfen Sie, ob der L2-VPN-Serverprozess ausgeführt wird.
    1. Melden Sie sich über die Befehlszeile bei NSX Edge an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen l2vpn vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess l2vpn Port 443 überwacht.
  2. Überprüfen Sie, ob der L2-VPN-Clientprozess ausgeführt wird.
    1. Melden Sie sich über die Befehlszeile bei NSX Edge an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen naclientd vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess naclientd Port 443 überwacht.
  3. Prüfen Sie, ob man über das Internet auf den L2-VPN-Server zugreifen kann.
    1. Öffnen Sie einen Browser und rufen Sie https://<l2vpn-public-ip> auf.
    2. Es sollte eine Portalanmeldeseite angezeigt werden. Wird die Portalseite angezeigt, ist der L2-VPN-Server über das Internet erreichbar.
  4. Überprüfen Sie, ob die Trunk-Schnittstelle durch eine verteilte oder standardmäßige Portgruppe gestützt wird.
    1. Wenn die Trunk-Schnittstelle von einer verteilten Portgruppe gestützt wird, wird automatisch ein Sink-Port eingerichtet.
    2. Wird die Trunk-Schnittstelle von einer standardmäßigen Portgruppe gestützt, sollten Sie den vSphere Distributed Switch manuell wie folgt konfigurieren:
    • Legen Sie für den Port den promiskuitiven (promiscuous) Modus fest.

    • Legen Sie Gefälschte Übertragungen (Forged Transmits) auf Akzeptieren (Accept) fest.

  5. L2-VPN-Schleifenprobleme abmildern
    1. Zwei größere Probleme treten auf, wenn die NIC-Gruppierung nicht korrekt konfiguriert ist: MAC-Flapping und duplizierte Pakete. Überprüfen Sie die Konfiguration, wie unter L2VPN-Optionen zum Verringern des Loopings beschrieben.
  6. Prüfen Sie, ob VMs im L2-VPN miteinander kommunizieren können.
    1. Melden Sie sich bei der L2-VPN-Serverbefehlszeile an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name.
    2. Melden Sie sich beim L2-VPN-Client an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name
    3. Analysieren Sie diese Erfassungen, um zu prüfen, ob ARP aufgelöst wird, und den Datenverkehrsfluss.
    4. Prüfen Sie, ob die Eigenschaft Allow Forged Transmits: dvSwitch auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist.
    5. Prüfen Sie, ob der Sink-Port auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist. Melden Sie sich dazu beim Host an und führen Sie den Befehl net-dvs -l aus. Prüfen Sie, ob die Sink-Eigenschaft für den internen L2-VPN-Edge-Port eingestellt ist (com.vmware.etherswitch.port.extraEthFRP = SINK). „Interner Port“ bezieht sich auf den dvPort, über den der NSX Edge-Trunk verbunden ist.