NSX コマンド ライン インターフェイス (CLI) を使用すると、SSL 経由と IPsec トンネル経由の両方で L2 VPN サービスをトラブルシューティングできます。
問題
L2 VPN サービスが期待どおりに機能しない。
解決方法
- クライアントとサーバの両方の Edge で次のコマンドを使用します。
- SSL トンネル経由の L2 VPN の場合は、show configuration l2vpn コマンドを実行して、サーバ上で次の 4 つのキー値を確認します。
- IPsec トンネル経由の L2 VPN の場合は、show configuration l2vpn コマンドを実行して、それぞれのトンネルのサイト ID を確認します。L2 VPN 構成の各トンネルのサイト ID が、ルート ベースの IPsec トンネルの作成時に自動生成されたサイト ID に一致しているかどうか確認します。
- SSL トンネルと IPsec トンネルの両方を使用する L2 VPN の場合は、show service l2vpn bridge コマンドを実行して、ローカル サイトとリモート サイトから学習された MAC アドレスを確認します。ON BRIDGE フラグが false の場合、トランク インターフェイスで学習された MAC アドレスは、ローカル サイトの仮想マシンに属します。同様に、ON BRIDGE フラグが false の場合、タップ デバイス (
tap0/na<index>/l2t-<index>) で学習された MAC アドレスは、リモート サイトの仮想マシンに属します。IPsec クライアントとサーバの両方を経由する L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056902e5f no l2t-1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:2e:5f 0 yes 0.00 vNic_1 00:50:56:90:c2:e4 0 no 220.05 l2t-1 9a:80:b8:56:c7:0e 0 yes 0.00SSL サーバ経由の L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.00505690a99b no na1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 30 no 16.88 na1 00:50:56:90:0d:52 10 no 11.87 vNic_1 00:50:56:90:a9:9b 30 yes 0.00 na1 d6:60:19:cb:e7:ca 0 yes 0.00SSL クライアント経由の L2 VPN の場合、 show service l2vpn bridge コマンドの CLI 出力は次のようになります。nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056900d52 no tap0 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 10 yes 0.00 vNic_1 00:50:56:90:a9:9b 30 no 3.84 tap0 00:50:56:90:a9:9b 20 no 0.84 tap0 00:50:56:90:a9:9b 10 no 2.84 - IPsec トンネル経由の L2 VPN の場合、サーバとクライアントの両方で show service l2vpn コマンドを実行します。たとえば、サーバの次の CLI 出力には、2 つの IPsec トンネルのステータスが表示されています。
NSX-edge-23-0> show service l2vpn L2 VPN is running ---------------------------------------- L2 VPN type: Server/Hub SITENAME IPSECSTATUS VTI GRE Site 1 UP vti-1 l2t-36 Site 2 UP vti-1 l2t-34
トンネルのステータスが UP であることを確認します。トンネルのステータスが UP の場合、トンネルのサイト ID がルート ベースの IPsec トンネルの作成時に自動生成されたサイト ID に一致するかどうか確認します。 - IPsec トンネル経由の L2 VPN の場合は、show interface [interface-name] コマンドを実行して、すべての VTI インターフェイスの詳細を表示します。
- SSL トンネルと IPsec トンネルを使用する L2 VPN の場合は、 show service l2vpn trunk table コマンドを実行します。
- SSL トンネルと IPsec トンネルを使用する L2 VPN の場合は、 show service l2vpn conversion table コマンドを実行します。次の例では、トンネル #1 に到着したイーサネット フレームの VLAN ID 1 が、パケットが VDS に渡される前に、VLAN 5001 の VXLAN に変換されます。
- SSL トンネル経由の L2 VPN の場合は、show configuration l2vpn コマンドを実行して、サーバ上で次の 4 つのキー値を確認します。
