NSX CLI(명령줄 인터페이스)를 사용하여 SSL 및 IPSec 터널을 통한 L2 VPN 서비스 문제를 해결할 수 있습니다.

문제

L2 VPN 서비스가 예상대로 작동하지 않습니다.

해결책

  1. 다음 중앙 CLI 명령을 사용하여 구성 문제를 확인합니다.
    show edge <edgeID> configuration l2vpn.

    예: show edge edge-1 configuration l2vpn.

  2. 클라이언트 및 서버 Edge 둘 다에서 다음 명령을 사용합니다.
    • SSL 터널을 통한 L2 VPN의 경우 show configuration l2vpn 명령을 실행하고 서버에서 다음과 같은 네 가지 키 값을 확인합니다.

      명령 출력에 암호 키가 RC4-MD5, 포트가 443, 수신기 IP가 192.168.100.3으로 표시되고, 피어 사이트 구성 세부 정보가 표시됩니다.

    • IPSec 터널을 통한 L2 VPN의 경우 show configuration l2vpn 명령을 실행하고 각 터널의 사이트 ID를 확인합니다. L2 VPN 구성에서 각 터널의 사이트 ID가 경로 기반 IPSec 터널을 만들 때 자동으로 생성된 사이트 ID와 일치하는지 확인합니다.
    • SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn bridge 명령을 실행하여 로컬 및 원격 사이트에서 학습된 MAC 주소를 확인합니다. ON BRIDGE 플래그가 false이면 트렁크 인터페이스에서 학습된 MAC 주소는 로컬 사이트의 VM에 속해 있습니다. 마찬가지로, ON BRIDGE 플래그가 false이면 탭 디바이스에서 학습된 MAC 주소(tap0/na<index>/l2t-<index>)가 원격 사이트에 있는 VM에 속합니다.
      IPSec 클라이언트 및 서버를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.
      nsx-edge> show service l2vpn bridge
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056902e5f       no              l2t-1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:2e:5f       0               yes             0.00
      vNic_1          00:50:56:90:c2:e4       0               no              220.05
      l2t-1           9a:80:b8:56:c7:0e       0               yes             0.00
      
      SSL 서버를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.00505690a99b       no              na1
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       30              no              16.88
      na1             00:50:56:90:0d:52       10              no              11.87
      vNic_1          00:50:56:90:a9:9b       30              yes             0.00
      na1             d6:60:19:cb:e7:ca       0               yes             0.00
      
      SSL 클라이언트를 통한 L2 VPN의 경우 show service l2vpn bridge 명령의 CLI 출력은 다음과 같습니다.
      nsx-edge> show service l2vpn bridge 
      
      bridge name     bridge id               STP enabled     interfaces
      br-sub          8000.005056900d52       no              tap0
                                                              vNic_1
      
      List of learned MAC addresses for L2 VPN bridge br-sub
      -------------------------------------------------------------------
      INTERFACES      MAC ADDR                VLAN ID         ON BRIDGE       AGING TIMER
      vNic_1          00:50:56:90:0d:52       10              yes             0.00
      vNic_1          00:50:56:90:a9:9b       30              no              3.84
      tap0            00:50:56:90:a9:9b       20              no              0.84
      tap0            00:50:56:90:a9:9b       10              no              2.84
      
    • IPSec 터널을 통한 L2 VPN의 경우 서버 및 클라이언트 둘 다에서 show service l2vpn 명령을 실행합니다. 예를 들어, 서버의 다음 CLI 출력은 두 IPSec 터널의 상태를 보여 줍니다.
      NSX-edge-23-0> show service l2vpn      
      L2 VPN is running
      ----------------------------------------
      L2 VPN type: Server/Hub
      
      SITENAME                       IPSECSTATUS          VTI                  GRE
      Site 1                         UP                   vti-1                l2t-36
      Site 2                         UP                   vti-1                l2t-34
      터널 상태가 UP인지 확인합니다. 터널 상태가 UP이면 터널의 사이트 ID가 경로 기반 IPSec 터널을 만들 때 자동으로 생성된 사이트 ID와 일치하는지 여부를 확인합니다.
    • IPSec 터널을 통한 L2 VPN의 경우 show interface [interface-name] 명령을 실행하여 모든 VTI 인터페이스의 세부 정보를 확인합니다.
    • SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn trunk table 명령을 실행합니다.
    • SSL 및 IPSec 터널을 통한 L2 VPN의 경우 show service l2vpn conversion table 명령을 실행합니다. 다음 예에서 1번 터널에 도달하는 이더넷 프레임은 패킷이 VDS에 전달되기 전에 해당 1번 VLAN ID가 VLAN 번호 5001을 갖는 VXLAN으로 변환됩니다.

      이미지는 주변 텍스트에 설명되어 있습니다.