Puede usar la interfaz de línea de comandos (CLI) de NSX para solucionar los problemas del servicio VPN de Capa 2 mediante los túneles de IPSec y SSL.

Problema

El servicio de VPN de Capa 2 no funciona según lo esperado.

Solución

  1. Utilice el siguiente comando de la CLI central para consultar los problemas de configuración:
    show edge <edgeID> configuration l2vpn.

    Por ejemplo, show edge edge-1 configuration l2vpn.

  2. Utilice los siguientes comandos tanto en Edge de cliente como de servidor:
    • Para la VPN de Capa 2 mediante un túnel SSL, ejecute el comando show configuration l2vpn y compruebe los siguientes cuatro valores clave en el servidor.

    • Para la VPN de Capa 2 mediante un túnel de IPSec, ejecute el comando show configuration l2vpn y observe el ID del sitio de cada túnel. Compruebe si el ID del sitio de cada túnel en la configuración de VPN de Capa 2 coincide con el ID del sitio que se generó automáticamente cuando creó los túneles de IPSec basada en rutas.
    • Para la VPN de Capa 2 mediante túneles de IPSec y SSL, ejecute el comando show service l2vpn bridge para conocer las direcciones MAC adquiridas de los sitios locales y remotos. Si la marca ON BRIDGE es "false", las direcciones MAC adquiridas de la interfaz de tronco pertenece a las máquinas virtuales del sitio local. De forma similar, si la marca ON BRIDGE es "false", las direcciones MAC adquiridas de los dispositivos TAP (tap0/na<index>/l2t-<index>) pertenecen a las máquinas virtuales del sitio remoto.
      Para la VPN de Capa 2 mediante el servidor y el cliente IPSec, el resultado de la CLI del comando show service l2vpn bridge es el siguiente:
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      Para la VPN de Capa 2 mediante el SSL, el resultado de la CLI del comando show service l2vpn bridge es el siguiente:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      Para la VPN de Capa 2 mediante el cliente SSL, el resultado de la CLI del comando show service l2vpn bridge es el siguiente:
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • Para la VPN de Capa 2 mediante un túnel de IPSec, ejecute el comando show service l2vpn en el servidor y el cliente. Por ejemplo, el siguiente resultado de la CLI del servidor muestra el estado de dos túneles de IPSec:
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      Asegúrese de que el estado del túnel sea LISTO (UP). Si el estado del túnel es LISTO (UP), compruebe si el ID del sitio del túnel coincide con el ID del sitio que se generó automáticamente cuando creó los túneles de IPSec basados en rutas.
    • En la VPN de Capa 2 mediante un túnel de IPSec, ejecute el comando show interface [interface-name] para ver los detalles de todas las interfaces de VTI.
    • En la VPN de Capa 2 mediante túneles de IPSec y SSL, ejecute el comando show service l2vpn trunk table.
    • En la VPN de Capa 2 mediante túneles de IPSec y SSL, ejecute el comando show service l2vpn conversion table. En el siguiente ejemplo, un marco de Ethernet procedente del túnel #1 convertirá su ID de VLAN 1 a VXLAN con el número de VLAN 5001 antes de que el paquete se transfiera a VDS.