Al configurar NSX Edge para un cliente o servidor, se necesita una interfaz de enlace troncal con un grupo de puertos estándar o distribuidos.

Problema

A continuación se incluyen los problemas frecuentes de configuración:

  • El cliente de VPN de Capa 2 está configurado, pero el firewall de Internet no permite el tráfico desde a la VPN de Capa 2 de Edge a Internet (puerto de destino 443).

  • El cliente de VPN de Capa 2 está configurado para validar el certificado del servidor, pero no con el FQDN o certificado de entidad de certificación correctos.

  • El servidor de VPN de Capa 2 está configurado, pero no se creó la regla de firewall o NAT en el firewall de Internet.

  • La interfaz de enlace troncal no está respaldada por un grupo de puertos estándar o distribuidos.

Nota:

El servidor de VPN de Capa 2 escucha en el puerto 443 de forma predeterminada. Este puerto se puede configurar desde los ajustes del servidor de VPN de Capa 2.

El cliente de VPN de Capa 2 realiza una conexión saliente con el puerto 443 de forma predeterminada. Este puerto se puede configurar desde los ajustes del servidor de VPN de Capa 2.

Procedimiento

  1. Compruebe si se está ejecutando el proceso del servidor de VPN de Capa 2.
    1. Inicie sesión en NSX Edge a través de la CLI.
    2. Ejecute el comando show process monitor y verifique que aparezca un proceso con el nombre l2vpn.
    3. Ejecute el comando show service network-connections y verifique si el proceso l2vpn realiza la escucha en el puerto 443.
  2. Compruebe si se está ejecutando el proceso del cliente de VPN de Capa 2.
    1. Inicie sesión en NSX Edge a través de la CLI.
    2. Ejecute el comando show process monitor y verifique que aparezca un proceso con el nombre naclientd.
    3. Ejecute el comando show service network-connections y verifique si el proceso naclientd realiza la escucha en el puerto 443.
  3. Compruebe si se puede acceder al servidor de VPN de Capa 2 desde Internet.
    1. Abra el navegador y acceda a la página https://<l2vpn-public-ip>.
    2. Debería aparecer una página de inicio de sesión del portal. Si es así, significa que se puede acceder al servidor de VPN de Capa 2 a través de Internet.
  4. Compruebe si la interfaz de enlace troncal cuenta con un grupo de puertos estándar o distribuidos.
    1. Si cuenta con un grupo de puertos distribuidos, se configurará automáticamente un puerto de recepción.
    2. Si cuenta con un grupo de puertos estándar, deberá configurar manualmente el conmutador distribuido de vSphere de la siguiente forma:
    • Defina el modo promiscuo para el puerto.

    • Seleccione Aceptar (Accept) en Transmisiones falsificadas (Forged Transmits).

  5. Mitigue el problema relacionado con los bucles de la VPN de Capa 2.
    1. Se observan dos problemas principales si la formación de equipos de NIC no se configura correctamente: cambio de MAC y paquetes duplicados. Verifique que la configuración se corresponda con lo descrito en Opciones de VPN de Capa 2 para mitigar los bucles.
  6. Compruebe si las máquinas virtuales de la VPN de Capa 2 pueden comunicarse entre sí.
    1. Inicie sesión en la CLI del servidor de VPN de Capa 2 y capture el paquete en la interfaz TAP debug packet capture interface name correspondiente.
    2. Inicie sesión en la CLI del cliente de VPN de Capa 2 y capture el paquete en la interfaz TAP debug packet capture interface name correspondiente.
    3. Analice estas capturas para comprobar el flujo del tráfico de datos y si se solucionan los problemas de ARP.
    4. Compruebe si la propiedad Allow Forged Transmits: dvSwitch está definida como puerto de enlace de la VPN de Capa 2.
    5. Compruebe si el puerto de recepción está definido como puerto de enlace de la VPN de Capa 2. Para ello, inicie sesión en el host y ejecute el comando net-dvs -l. Busque la propiedad de recepción definida como puerto interno de Edge de la VPN de Capa 2 (com.vmware.etherswitch.port.extraEthFRP = SINK). El puerto interno se refiere al puerto dvPort al que está conectado el enlace de NSX Edge.