NSX コマンド ライン インターフェイス (CLI) を使用すると、SSL 経由と IPsec トンネル経由の両方で L2 VPN サービスをトラブルシューティングできます。

問題

L2 VPN サービスが期待どおりに機能しない。

解決方法

  1. 次のセントラル CLI コマンドを使用して、設定の問題を確認します。
    show edge <edgeID> configuration l2vpn.

    たとえば、show edge edge-1 configuration l2vpn. を実行します。

  2. クライアントとサーバの両方の Edge で次のコマンドを使用します。
    • SSL トンネル経由の L2 VPN の場合は、show configuration l2vpn コマンドを実行して、サーバ上で次の 4 つのキー値を確認します。

    • IPsec トンネル経由の L2 VPN の場合は、show configuration l2vpn コマンドを実行して、それぞれのトンネルのサイト ID を確認します。L2 VPN 設定の各トンネルのサイト ID が、ルート ベースの IPsec トンネルの作成時に自動生成されたサイト ID に一致しているかどうか確認します。
    • SSL トンネルと IPsec トンネルの両方を使用する L2 VPN の場合は、show service l2vpn bridge コマンドを実行して、ローカル サイトとリモート サイトから学習された MAC アドレスを確認します。ON BRIDGE フラグが false の場合、トランク インターフェイスで学習された MAC アドレスは、ローカル サイトの仮想マシンに属します。同様に、ON BRIDGE フラグが false の場合、タップ デバイス (tap0/na<index>/l2t-<index>) で学習された MAC アドレスは、リモート サイトの仮想マシンに属します。
      IPsec クライアントとサーバの両方を経由する L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      SSL サーバ経由の L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      SSL クライアント経由の L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • IPsec トンネル経由の L2 VPN の場合、サーバとクライアントの両方で show service l2vpn コマンドを実行します。たとえば、サーバの次の CLI 出力には、2 つの IPsec トンネルのステータスが表示されています。
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      トンネルのステータスが UP であることを確認します。トンネルのステータスが UP の場合、トンネルのサイト ID がルート ベースの IPsec トンネルの作成時に自動生成されたサイト ID に一致するかどうか確認します。
    • IPsec トンネル経由の L2 VPN の場合は、show interface [interface-name] コマンドを実行して、すべての VTI インターフェイスの詳細を表示します。
    • SSL トンネルと IPsec トンネルを使用する L2 VPN の場合は、 show service l2vpn trunk table コマンドを実行します。
    • SSL トンネルと IPsec トンネルを使用する L2 VPN の場合は、 show service l2vpn conversion table コマンドを実行します。次の例では、トンネル #1 に到着したイーサネット フレームの VLAN ID 1 が、パケットが VDS に渡される前に、VLAN 5001 の VXLAN に変換されます。