Vous pouvez utiliser l'interface de ligne de commande (CLI) NSX pour dépanner le service VPN L2 sur des tunnels SSL et IPSec.
Problème
Le service VPN L2 ne fonctionne pas comme prévu.
Solution
- Utilisez les commandes suivantes sur le client et le serveur Edge :
- Pour VPN L2 sur un tunnel SSL, exécutez la commande show configuration l2vpn, puis vérifiez les quatre valeurs de clés suivantes sur le serveur.
- Pour VPN L2 sur un tunnel IPSec, exécutez la commande show configuration l2vpn et observez l'ID de site de chaque tunnel. Vérifiez que l'ID de site de chaque tunnel dans la configuration VPN L2 correspond à l'ID de site généré automatiquement lorsque vous avez créé les tunnels IPSec basés sur le routage.
- Pour VPN L2 sur des tunnels SSL et IPSec, exécutez la commande show service l2vpn bridge pour connaître les adresses MAC apprises depuis les sites locaux et distants. Si l'indicateur ON BRIDGE est false, les adresses MAC apprises sur l'interface de jonction appartiennent aux machines virtuelles du site local. De même, si l'indicateur ON BRIDGE est false, les adresses MAC apprises sur les périphériques tactiles (
tap0/na<index>/l2t-<index>) appartiennent aux machines virtuelles du site distant.Pour VPN L2 sur client et serveur IPSec, la sortie CLI de la commande show service l2vpn bridge est la suivante :nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056902e5f no l2t-1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:2e:5f 0 yes 0.00 vNic_1 00:50:56:90:c2:e4 0 no 220.05 l2t-1 9a:80:b8:56:c7:0e 0 yes 0.00Pour VPN L2 sur un serveur SSL, la sortie CLI de la commande show service l2vpn bridge est la suivante :nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.00505690a99b no na1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 30 no 16.88 na1 00:50:56:90:0d:52 10 no 11.87 vNic_1 00:50:56:90:a9:9b 30 yes 0.00 na1 d6:60:19:cb:e7:ca 0 yes 0.00Pour VPN L2 sur un client SSL, la sortie CLI de la commande show service l2vpn bridge est la suivante :nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056900d52 no tap0 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 10 yes 0.00 vNic_1 00:50:56:90:a9:9b 30 no 3.84 tap0 00:50:56:90:a9:9b 20 no 0.84 tap0 00:50:56:90:a9:9b 10 no 2.84 - Pour VPN L2 sur un tunnel IPSec, exécutez la commande show service l2vpn sur le serveur et le client. Par exemple, la sortie CLI suivante sur le serveur indique l'état de deux tunnels IPSec :
NSX-edge-23-0> show service l2vpn L2 VPN is running ---------------------------------------- L2 VPN type: Server/Hub SITENAME IPSECSTATUS VTI GRE Site 1 UP vti-1 l2t-36 Site 2 UP vti-1 l2t-34
Vérifiez que l'état du tunnel est Actif. Si l'état du tunnel est actif, vérifiez que l'ID de site du tunnel correspond à l'ID de site généré automatiquement lorsque vous avez créé les tunnels IPSec basés sur le routage. - Pour VPN L2 sur un tunnel IPSec, exécutez la commande show interface [interface-name] pour afficher les détails de toutes les interfaces VTI.
- Pour VPN L2 sur des tunnels IPSec et SSL, exécutez la commande show service l2vpn trunk table.
- Pour VPN L2 sur des tunnels IPSec et SSL, exécutez la commande show service l2vpn conversion table. Dans l'exemple suivant, une trame Ethernet qui arrive sur le tunnel n° 1 présente un ID VLAN n°1 converti en VXLAN avec un numéro VLAN de 5001 avant que le paquet soit transmis au VDS.
- Pour VPN L2 sur un tunnel SSL, exécutez la commande show configuration l2vpn, puis vérifiez les quatre valeurs de clés suivantes sur le serveur.
