Puede utilizar la interfaz de línea de comandos (CLI) de NSX para solucionar problemas relacionados con la VPN de Capa 2.

Problema

La VPN de Capa 2 no funciona según lo esperado.

Procedimiento

  1. Utilice el siguiente comando de la CLI central para consultar los problemas de configuración:

    show edge <edgeID> configuration l2vpn.

    Por ejemplo, show edge edge-1 configuration l2vpn.

  2. Utilice los siguientes comandos tanto en Edge de cliente como de servidor:
    • show configuration l2vpn: compruebe estos cuatro valores de clave para verificar el servidor.

    • show service l2vpn bridge: el número de interfaces depende del número de clientes de VPN de Capa2. En el resultado que se muestra a continuación, hay un único cliente de VPN de Capa 2 (na1) configurado. Puerto 1 (Port1) se refiere a vNic_2. La dirección MAC 02:50:56:56:44:52 procede de la interfaz vNic_2 y no es local de Edge (servidor de VPN de Capa 2). La fila 3 del siguiente ejemplo se refiere a la interfaz na1.

    • show service l2vpn trunk table

    • show service l2vpn conversion table: en el siguiente ejemplo, un marco de Ethernet procedente del túnel #1 convertirá su ID de VLAN #1 a VXLAN con el número de VLAN 5001 antes de que el paquete se transfiera a VDS.

    • show process monitor: identifique si se está ejecutando el proceso l2vpn (servidor) y naclientd (cliente).

    • show service network-connections: compruebe si el proceso l2vpn (servidor) y naclientd (cliente) realiza la escucha en el puerto 443.

    • show service monitor [service]: detalles del monitor del demonio de servicio de supervisión que indican si se está ejecutando y proporcionan información sobre la instancia de supervisión programada.

    • show service loadbalancer pool/virtual: si el estado del monitor lo proporciona la comprobación integrada, el resultado muestra la hora del último cambio de estado (last state change time) y el motivo del error (failure reason) cuando falla la comprobación de estado. Si procede del servicio de supervisión, además de los dos resultados anteriores, se muestra la hora de la última comprobación (last check time).

    show service load balancer monitor: la última columna de resultados de este comando se corresponde con el estado del miembro del grupo. Se muestran los siguientes estados:

    Tabla 1. Estado y descripción

    Estado

    Descripción

    UNK

    Desconocido

    INI

    Iniciando

    SOCKERR

    Error de socket

    L4OK

    Comprobación de la capa 4 correcta, pero no están habilitadas las pruebas de capas superiores

    L4TOUT

    Tiempo de espera de las capas 1 a la 4

    L4CON

    Problema de conexión de las capas 1 a la 4. Por ejemplo, "Conexión rechazada" (Connection refused), tpc rst, o "Sin ruta al host" (No route to host), icmp

    L6OK

    Comprobación de la capa 6 correcta

    L6TOUT

    Tiempo de espera de la capa 6 (SSL)

    L6RSP

    Respuesta no válida de la capa 6: error de protocolo. Se pudo provocar ya que:

    • El servidor backend solo admite "SSLv3" o "TLSv1.0",

    • El certificado del servidor backend no es válido, o bien

    • Se produjo un error en la negociación del cifrado, etc.

    L7OK

    Comprobación de la capa 7 correcta

    L7OKC

    Comprobación de la capa 7 correcta de forma condicional. Por ejemplo, 404 con la opción deshabilitar-en-404 (disable-on-404)

    L7TOUT

    Tiempo de espera de la capa 7 (HTTP/SMTP)

    L7RSP

    Respuesta no válida de la capa 7: error de protocolo

    L7STS

    Error de respuesta de la capa 7. Por ejemplo, HTTP 5xx

    • Si el código de error es L4TOUT/L4CON, normalmente se corresponde con problemas de conectividad en las redes subyacentes. El estado Duplicate IP es normalmente la causa principal por este motivo en los entornos del cliente. Cuando se produce este error, solucione el problema de la siguiente manera:

    1. Consulte el estado Alta disponibilidad (High Availability, HA) de los Edge cuando se habilite la alta disponibilidad. Para ello, utilice el comando show service highavailability en ambos Edge. Compruebe si el vínculo de HA está INACTIVO (DOWN) y todos los Edge están Active para que no haya IP de Edge duplicadas en la red.
    2. Consulte la tabla ARP de Edge con el comando show arp y verifique si la entrada ARP del servidor backend cambia entre las dos direcciones MAC.
    3. Consulte la tabla ARP del servidor backend o utilice el comando arp-ping y compruebe si la IP de otro equipo es la misma que la IP de Edge.