Vous pouvez utiliser l'interface de ligne de commande (CLI) NSX pour dépanner le service VPN L2 sur des tunnels SSL et IPSec.

Problème

Le service VPN L2 ne fonctionne pas comme prévu.

Solution

  1. Utilisez la commande CLI centrale suivante pour afficher les problèmes de configuration :
    show edge <edgeID> configuration l2vpn.

    Par exemple, show edge edge-1 configuration l2vpn.

  2. Utilisez les commandes suivantes sur le client et le serveur Edge :
    • Pour VPN L2 sur un tunnel SSL, exécutez la commande show configuration l2vpn, puis vérifiez les quatre valeurs de clés suivantes sur le serveur.

    • Pour VPN L2 sur un tunnel IPSec, exécutez la commande show configuration l2vpn et observez l'ID de site de chaque tunnel. Vérifiez que l'ID de site de chaque tunnel dans la configuration VPN L2 correspond à l'ID de site généré automatiquement lorsque vous avez créé les tunnels IPSec basés sur le routage.
    • Pour VPN L2 sur des tunnels SSL et IPSec, exécutez la commande show service l2vpn bridge pour connaître les adresses MAC apprises depuis les sites locaux et distants. Si l'indicateur ON BRIDGE est false, les adresses MAC apprises sur l'interface de jonction appartiennent aux machines virtuelles du site local. De même, si l'indicateur ON BRIDGE est false, les adresses MAC apprises sur les périphériques tactiles (tap0/na<index>/l2t-<index>) appartiennent aux machines virtuelles du site distant.
      Pour VPN L2 sur client et serveur IPSec, la sortie CLI de la commande show service l2vpn bridge est la suivante :
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      Pour VPN L2 sur un serveur SSL, la sortie CLI de la commande show service l2vpn bridge est la suivante :
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      Pour VPN L2 sur un client SSL, la sortie CLI de la commande show service l2vpn bridge est la suivante :
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • Pour VPN L2 sur un tunnel IPSec, exécutez la commande show service l2vpn sur le serveur et le client. Par exemple, la sortie CLI suivante sur le serveur indique l'état de deux tunnels IPSec :
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      Vérifiez que l'état du tunnel est Actif. Si l'état du tunnel est actif, vérifiez que l'ID de site du tunnel correspond à l'ID de site généré automatiquement lorsque vous avez créé les tunnels IPSec basés sur le routage.
    • Pour VPN L2 sur un tunnel IPSec, exécutez la commande show interface [interface-name] pour afficher les détails de toutes les interfaces VTI.
    • Pour VPN L2 sur des tunnels IPSec et SSL, exécutez la commande show service l2vpn trunk table.
    • Pour VPN L2 sur des tunnels IPSec et SSL, exécutez la commande show service l2vpn conversion table. Dans l'exemple suivant, une trame Ethernet qui arrive sur le tunnel n° 1 présente un ID VLAN n°1 converti en VXLAN avec un numéro VLAN de 5001 avant que le paquet soit transmis au VDS.