NSX CLI(명령줄 인터페이스)를 사용하여 SSL 및 IPSec 터널을 통한 L2 VPN 서비스 문제를 해결할 수 있습니다.
문제
L2 VPN 서비스가 예상대로 작동하지 않습니다.
해결책
- 다음 중앙 CLI 명령을 사용하여 구성 문제를 확인합니다.
show edge <edgeID> configuration l2vpn.
예: show edge edge-1 configuration l2vpn.
- 클라이언트 및 서버 Edge 둘 다에서 다음 명령을 사용합니다.
- SSL 터널을 통한 L2 VPN의 경우 show configuration l2vpn 명령을 실행하고 서버에서 다음과 같은 네 가지 키 값을 확인합니다.
- IPSec 터널을 통한 L2 VPN의 경우 show configuration l2vpn 명령을 실행하고 각 터널의 사이트 ID를 확인합니다. L2 VPN 구성에서 각 터널의 사이트 ID가 경로 기반 IPSec 터널을 만들 때 자동으로 생성된 사이트 ID와 일치하는지 확인합니다.
- SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn bridge 명령을 실행하여 로컬 및 원격 사이트에서 학습된 MAC 주소를 확인합니다. ON BRIDGE 플래그가 false이면 트렁크 인터페이스에서 학습된 MAC 주소는 로컬 사이트의 VM에 속해 있습니다. 마찬가지로, ON BRIDGE 플래그가 false이면 탭 디바이스에서 학습된 MAC 주소(
tap0/na<index>/l2t-<index>
)가 원격 사이트에 있는 VM에 속합니다.IPSec 클라이언트 및 서버를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056902e5f no l2t-1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:2e:5f 0 yes 0.00 vNic_1 00:50:56:90:c2:e4 0 no 220.05 l2t-1 9a:80:b8:56:c7:0e 0 yes 0.00
SSL 서버를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.00505690a99b no na1 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 30 no 16.88 na1 00:50:56:90:0d:52 10 no 11.87 vNic_1 00:50:56:90:a9:9b 30 yes 0.00 na1 d6:60:19:cb:e7:ca 0 yes 0.00
SSL 클라이언트를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.nsx-edge> show service l2vpn bridge bridge name bridge id STP enabled interfaces br-sub 8000.005056900d52 no tap0 vNic_1 List of learned MAC addresses for L2 VPN bridge br-sub ------------------------------------------------------------------- INTERFACES MAC ADDR VLAN ID ON BRIDGE AGING TIMER vNic_1 00:50:56:90:0d:52 10 yes 0.00 vNic_1 00:50:56:90:a9:9b 30 no 3.84 tap0 00:50:56:90:a9:9b 20 no 0.84 tap0 00:50:56:90:a9:9b 10 no 2.84
- IPSec 터널을 통한 L2 VPN의 경우 서버 및 클라이언트 둘 다에서 show service l2vpn 명령을 실행합니다. 예를 들어, 서버의 다음 CLI 출력은 두 IPSec 터널의 상태를 보여 줍니다.
NSX-edge-23-0> show service l2vpn L2 VPN is running ---------------------------------------- L2 VPN type: Server/Hub SITENAME IPSECSTATUS VTI GRE Site 1 UP vti-1 l2t-36 Site 2 UP vti-1 l2t-34
터널 상태가 UP인지 확인합니다. 터널 상태가 UP이면 터널의 사이트 ID가 경로 기반 IPSec 터널을 만들 때 자동으로 생성된 사이트 ID와 일치하는지 여부를 확인합니다. - IPSec 터널을 통한 L2 VPN의 경우 show interface [interface-name] 명령을 실행하여 모든 VTI 인터페이스의 세부 정보를 확인합니다.
- SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn trunk table 명령을 실행합니다.
- SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn conversion table 명령을 실행합니다. 다음 예에서 1번 터널에 도달하는 이더넷 프레임은 패킷이 VDS에 전달되기 전에 해당 1번 VLAN ID가 VLAN 번호 5001을 갖는 VXLAN으로 변환됩니다.
- SSL 터널을 통한 L2 VPN의 경우 show configuration l2vpn 명령을 실행하고 서버에서 다음과 같은 네 가지 키 값을 확인합니다.