Un ensemble de commandes CLI permettent à un opérateur d'examiner l'état d'exécution de diverses parties du sous-système de routage NSX.

En raison de la nature distribuée du sous-système de routage NSX, plusieurs interfaces de ligne de commande (CLI) sont disponibles, accessibles sur divers composants de NSX. À partir de NSX version 6.2, NSX contient également une CLI centralisée qui permet de réduire le « temps de trajet » nécessaire pour accéder et se connecter à divers composants distribués. Il fournit un accès à la plupart des informations depuis un emplacement unique : le shell de NSX Manager.

Vérification des conditions requises préalables

Deux conditions requises préalables majeures doivent être satisfaites pour chaque hôte ESXi :
  • Les commutateurs logiques connectés au DLR sont sains.
  • L'hôte ESXi a été correctement préparé pour VXLAN.

Vérification de l'intégrité du commutateur logique

Le routage NSX fonctionne avec la commutation logique NSX. Pour vérifier que les commutateurs logiques connectés à un DLR sont sains :
  • Recherchez l'ID de segment (VXLAN VNI) pour chaque commutateur logique connecté au DLR en question (par exemple, 5004..5007).

  • Sur les hôtes ESXi sur lesquels les VM desservies par ce DLR sont exécutées, vérifiez l'état du plan de contrôle VXLAN pour les commutateurs logiques connectés à ce DLR.
# esxcli network vswitch dvs vmware vxlan network list --vds-name=Compute_VDS
VXLAN ID  Multicast IP               Control Plane                        Controller Connection  Port Count  MAC Entry Count  ARP Entry Count
--------  -------------------------  -----------------------------------  ---------------------  ----------  ---------------  ---------------
    5004  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.201 (up)            2                2                0
    5005  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.202 (up)            1                0                0
    5006  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.203 (up)            1                1                0
    5007  N/A (headend replication)  Enabled (multicast proxy,ARP proxy)  192.168.110.202 (up)            1                0                0

Vérifiez les points suivants pour chaque VXLAN pertinent :

  • Pour les commutateurs logiques en mode hybride ou monodiffusion :
    • Le plan de contrôle présente l'état « Enabled » (Activé).
    • « multicast proxy » (Proxy multidiffusion) et « ARP proxy » (Proxy ARP) sont répertoriés ; « ARP proxy » sera répertorié même si vous avez désactivé la découverte d'adresses IP.
    • Une adresse IP de contrôleur valide est répertoriée sous « Controller » (Contrôleur) et « Connection » (Connexion) est « up » (Active).
  • « Port Count » (Nombre de ports) semble correct : il y en aura au moins 1, même s'il n'y a aucune VM sur cet hôte connecté au commutateur logique en question. Ce port est le vdrPort, qui est un dvPort spécial connecté au module de noyau du DLR sur l'hôte ESXi.
  • Exécutez la commande suivante pour vous assurer que le vdrPort est connecté à chacun des VXLAN applicables.
~ # esxcli network vswitch dvs vmware vxlan network port list --vds-name=Compute_VDS --vxlan-id=5004
Switch Port ID  VDS Port ID  VMKNIC ID
--------------  -----------  ---------
      50331656  53                   0
      50331650  vdrPort              0


~ # esxcli network vswitch dvs vmware vxlan network port list --vds-name=Compute_VDS --vxlan-id=5005
Switch Port ID  VDS Port ID  VMKNIC ID
--------------  -----------  ---------
      50331650  vdrPort              0
  • Dans l'exemple ci-dessous, VXLAN 5004 contient une VM et une connexion de DLR, alors que VXLAN 5005 ne dispose que d'une connexion de DLR.
  • Vérifiez que les VM appropriées ont été câblées à leurs VXLAN correspondants, par exemple web-sv-01a sur VXLAN 5004.
~ # esxcfg-vswitch -l
DVS Name         Num Ports   Used Ports  Configured Ports  MTU     Uplinks
Compute_VDS      1536        10          512               1600    vmnic0

  DVPort ID           In Use      Client
[..skipped..]
  53                  1           web-sv-01a.eth0

Vérification de la préparation de VXLAN

Dans le cadre de la configuration de VXLAN d'un hôte ESXi, le module de noyau du DLR est également installé, configuré et connecté à un dvPort sur un DVS préparé pour VXLAN.

  1. Exécutez show cluster all pour obtenir l'ID du cluster.
  2. Exécutez show cluster cluster-id pour obtenir l'ID de l'hôte.
  3. Exécutez show logical-router host hostID connection pour obtenir les informations sur l'état.
nsxmgr-01a# show logical-router host <hostID> connection

Connection Information:
-----------------------

DvsName           VdrPort           NumLifs  VdrVmac
-------           -------           -------  -------
Compute_VDS       vdrPort           4        02:50:56:56:44:52
    Teaming Policy: Default Teaming
    Uplink   : dvUplink1(50331650): 00:50:56:eb:41:d7(Team member)


   Stats : Pkt Dropped      Pkt Replaced     Pkt Skipped
   Input : 0                0                1968734458
  Output : 303              7799             31891126
  • Un DVS activé avec VXLAN disposera d'un vdrPort créé, partagé par toutes les instances du DLR sur cet hôte ESXi.
  • « NumLifs » fait référence à la somme de LIF de toutes les instances du DLR qui existent sur cet hôte.
  • « VdrVmac » est la vMAC que le DLR utilise sur toutes les LIF sur toutes les instances. Cette adresse MAC est la même sur tous les hôtes. Elle n'est jamais vue dans les trames qui se déplacent dans le réseau physique en dehors des hôtes ESXi.
  • Pour chaque dvUplink de DVS activé avec VXLAN, il existe un VTEP correspondant ; sauf dans les situations où le mode d'association LACP/Etherchannel est utilisé, lorsqu'un seul VTEP est créé indépendamment du nombre de dvUplink.
    • Le trafic routé par le DLR (MAC SRC = vMAC) lorsque l'on quitte l'hôte verra l'adresse MAC SRC passée sur pMAC d'un dvUplink correspondant.
    • Notez que le port source ou l'adresse MAC source de la VM d'origine est utilisé pour déterminer le dvUplink (il est conservé pour chaque paquet dans les métadonnées de son DVS).
    • Lorsque plusieurs VTEP se trouvent sur l'hôte et que l'un des dvUplink échoue, le VTEP associé au dvUplink échoué sera déplacé sur l'un des dvUplink restants, avec toutes les autres VM qui sont épinglées à ce VTEP. Cela est effectué pour éviter une saturation des changements de plan de contrôle qui seraient associés au déplacement des VM sur un VTEP différent.
  • Le nombre entre « () » à côté de chaque « dvUplinkX » est le numéro de dvPort. Il est utile pour la capture de paquets sur la liaison montante individuelle.
  • L'adresse MAC affichée pour chaque « dvUplinkX » est une adresse « pMAC » associée à ce dvUplink. Cette adresse MAC est utilisée pour le trafic provenant du DLR, tel que des requêtes ARP générées par le DLR et des paquets qui ont été dirigés par le DLR lorsque ces paquets quittent l'hôte ESXi. Cette adresse MAC est visible sur le réseau physique (directement, si la LIF du DLR est du type VLAN, ou dans des paquets VXLAN pour les LIF VXLAN).
  • Paquet abandonné/Remplacé/Ignoré font référence à des compteurs liés à des détails d'implémentation internes du DLR. En général, ils ne sont pas utilisés pour le dépannage ou la surveillance.