In diesem Abschnitt werden häufig auftretende Konfigurationsprobleme im Zusammenhang mit L2-VPN erläutert.

Problem

Nachfolgend sind häufig auftretende Konfigurationsprobleme beschrieben:

  • Der L2-VPN-Client wurde konfiguriert, aber die mit dem Internet vebundene Firewall lässt über den Ziel-Port 443 keinen Datenverkehr im Tunnel zu.

  • Der L2-VPN-Client wurde für die Validierung von Serverzertifikaten konfiguriert, jedoch nicht mit dem korrekten CA-Zertifikat oder FQDN.

  • Der L2-VPN-Server wurde konfiguriert, aber die NAT-/Firewallregel wurde nicht auf der Internetfirewall erstellt.

  • Die Trunk-Schnittstelle wird nicht von einer verteilten bzw. standardmäßigen Portgruppe gestützt.

Anmerkung:

Der L2-VPN-Server überwacht standardmäßig Port 443. Dieser Port ist über die L2-VPN-Servereinstellungen konfigurierbar.

Der L2-VPN-Client stellt standardmäßig eine ausgehende Verbindung zu Port 443 her. Dieser Port ist über die L2-VPN-Client-Einstellungen konfigurierbar.

Lösung

  1. Überprüfen Sie, ob der L2-VPN-Serverprozess ausgeführt wird.
    1. Melden Sie sich bei der NSX Edge-VM an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen l2vpn vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess l2vpn Port 443 überwacht.
  2. Überprüfen Sie, ob der L2-VPN-Clientprozess ausgeführt wird.
    1. Melden Sie sich bei der NSX Edge-VM an.
    2. Führen Sie den Befehl show process monitor aus und prüfen Sie, ob ein Prozess mit dem Namen naclientd vorhanden ist.
    3. Führen Sie den Befehl show service network-connections aus und prüfen Sie, ob der Prozess naclientd Port 443 überwacht.
  3. Prüfen Sie, ob man über das Internet auf den L2-VPN-Server zugreifen kann.
    1. Öffnen Sie einen Browser und rufen Sie https://<l2vpn-public-ip> auf.
    2. Es sollte eine Portalanmeldeseite angezeigt werden. Wird die Portalseite angezeigt, ist der L2-VPN-Server über das Internet erreichbar.
  4. Überprüfen Sie, ob die Trunk-Schnittstelle durch eine verteilte oder standardmäßige Portgruppe gestützt wird.
    1. Wenn die Trunk-Schnittstelle von einer verteilten Portgruppe gestützt wird, wird automatisch ein Sink-Port eingerichtet.
    2. Wird die Trunk-Schnittstelle von einer standardmäßigen Portgruppe gestützt, sollten Sie den vSphere Distributed Switch manuell wie folgt konfigurieren:
    • Legen Sie für den Port den promiskuitiven (promiscuous) Modus fest.

    • Legen Sie Gefälschte Übertragungen (Forged Transmits) auf Akzeptieren (Accept) fest.

  5. L2-VPN-Schleifenprobleme abmildern
    1. Zwei größere Probleme treten auf, wenn die NIC-Gruppierung nicht korrekt konfiguriert ist: MAC-Flapping und duplizierte Pakete. Überprüfen Sie die Konfiguration, wie unter L2VPN-Optionen zum Verringern des Loopings beschrieben.
  6. Prüfen Sie, ob VMs im L2-VPN miteinander kommunizieren können.
    1. Melden Sie sich bei der L2-VPN-Serverbefehlszeile an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name.
    2. Melden Sie sich beim L2-VPN-Client an und erfassen Sie das Paket auf der entsprechenden TAP-Schnittstelle debug packet capture interface name
    3. Analysieren Sie diese Erfassungen, um zu prüfen, ob ARP aufgelöst wird, und den Datenverkehrsfluss.
    4. Prüfen Sie, ob die Eigenschaft Allow Forged Transmits: dvSwitch auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist.
    5. Prüfen Sie, ob der Sink-Port auf L2 VPN trunk port (L2-VPN-Trunk-Port) festgelegt ist. Melden Sie sich dazu beim Host an und führen Sie den Befehl net-dvs -l aus. Prüfen Sie, ob die Sink-Eigenschaft für den internen L2-VPN-Edge-Port eingestellt ist (com.vmware.etherswitch.port.extraEthFRP = SINK). „Interner Port“ bezieht sich auf den dvPort, über den der NSX Edge-Trunk verbunden ist.