このトピックでは、L2 VPN に関連する一般的な設定の問題について説明します。

手順に関する注意:
  • 手順 1、2、3 は、SSL トンネルで L2 VPN サービスが実行されている場合にのみ行います。
  • 手順 4、5、6 は、SSL トンネルと IPsec トンネルの両方で L2 VPN サービスが実行されている場合に行います。

問題

次のものは、ルーティング トラフィックに SSL VPN トンネルを使用する L2 VPN クライアント固有の問題です。
  • L2 VPN クライアントは設定されているが、宛先のポート 443 経由でトンネルを通過するトラフィックが、インターネットに接するファイアウォールで許可されない。
  • L2 VPN クライアントがサーバ証明書を検証するように設定されているが、正しい CA 証明書または FQDN が設定されていない。
次のものは、ルーティング トラフィックに SSL VPN トンネルまたは IPsec VPN トンネルを使用する L2 VPN クライアントに共通の問題です。
  • L2 VPN サーバが設定されているが、インターネットに接するファイアウォールで NAT またはファイアウォール ルールが作成されていない。
  • トランク インターフェイスが分散ポート グループまたは標準ポート グループでバッキングされていない。
注: SSL トンネルで実行される L2 VPN の場合、次の点に注意してください。
  • デフォルトでは、L2 VPN サーバはポート 443 で待機します。このポートは L2 VPN サーバ設定で指定します。
  • デフォルトでは、L2 VPN クライアントはポート 443 を使用して外部との接続を行います。このポートは L2 VPN クライアント設定で指定できます。

解決方法

  1. L2 VPN サーバ プロセスが実行中かどうかを確認します。
    1. NSX Edge 仮想マシンにログインします。
    2. show process monitor コマンドを実行し、l2vpn という名前のプロセスが見つかるかどうかを確認します。
    3. show service network-connections コマンドを実行し、l2vpn プロセスがポート 443 で待機しているかどうかを確認します。
  2. L2 VPN クライアント プロセスが実行中かどうかを確認します。
    1. NSX Edge 仮想マシンにログインします。
    2. show process monitor コマンドを実行し、naclientd という名前のプロセスが見つかるかどうかを確認します。
    3. show service network-connections コマンドを実行し、naclientd プロセスがポート 443 で待機しているかどうかを確認します。
  3. L2 VPN サーバがインターネットからアクセス可能かどうかを確認します。
    1. ブラウザを開き、https://<l2vpn-public-ip> に移動します。
    2. ポータルのログイン ページが表示されます。ポータル ページは、インターネット経由で L2 VPN サーバに接続されると表示されます。
  4. トランク インターフェイスが分散ポート グループまたは標準ポート グループでバッキングされているかどうかを確認します。
    1. トランク インターフェイスが分散ポート グループでバッキングされている場合は、シンク ポートが自動的に設定されます。
    2. トランク インターフェイスが標準ポート グループでバッキングされている場合は、次のように vSphere Distributed Switch を手動で設定する必要があります。
    • ポートを [無差別 (promiscuous)] モードに設定します。
    • [偽装転送 (Forged Transmits)][許可 (Accept)] に設定します。
  5. L2 VPN のルーピング問題を最小にします。
    1. NIC チーミングが正しく設定されていないと、MAC フラッピングとパケットの重複という 2 つの重大な問題が発生します。ルーピングを軽減するための L2VPN のオプションで説明する設定を確認してください。
  6. L2 VPN を使用する仮想マシンが互いに通信できるかどうかを確認します。
    1. L2 VPN サーバの CLI にログインし、対応するタップ インターフェイス debug packet capture interface name でパケットをキャプチャします。
    2. L2 VPN クライアントにログインし、対応するタップ インターフェイス debug packet capture interface name でパケットをキャプチャします。
    3. これらのキャプチャを分析して、ARP が解決されていること、およびデータ トラフィックが流れていることを確認します。
    4. Allow Forged Transmits: dvSwitch プロパティが L2 VPN trunk port に設定されていることを確認します。
    5. シンク ポートが L2 VPN trunk port に設定されていることを確認します。これを実行するには、ホストにログインして net-dvs -l コマンドを発行します。シンク プロパティ セットで L2 VPN エッジ内部ポート (com.vmware.etherswitch.port.extraEthFRP = SINK) を確認します。内部ポートは、NSX Edge トランクの接続先である dvPort ポートを参照します。
    コマンド出力には、Edge トランク インターフェイスが接続されている dvPort でシンク ポートが有効になっていることが表示されます。