이 항목에서는 L2 VPN에 관련된 일반 구성 문제를 설명합니다.

다음 절차에서 각각의 의미는 다음과 같습니다.
  • 1, 2, 3단계는 SSL 터널에서 L2 VPN 서비스를 실행하는 경우에만 적용됩니다.
  • 4, 5, 6단계는 SSL 및 IPSec 터널에서 L2 VPN 서비스를 실행하는 경우에 적용됩니다.

문제

다음 구성 문제는 라우팅 트래픽을 위해 SSL VPN 터널을 사용하는 L2 VPN 클라이언트와 관련이 있습니다.
  • L2 VPN 클라이언트가 구성되어 있으나 인터넷 연결 방화벽에서 트래픽이 대상 포트 443을 사용하여 터널을 통과해서 흐르도록 허용하지 않습니다.
  • L2 VPN 클라이언트가 서버 인증서의 유효성을 검사하도록 구성되어 있으나 올바른 CA 인증서 또는 FQDN으로 구성되지 않았습니다.
다음 구성 문제는 라우팅 트래픽을 위해 SSL VPN 터널 또는 IPSec VPN 터널을 사용하는 L2 VPN 클라이언트에게 일반적입니다.
  • L2 VPN 서버가 구성되었으나 인터넷 연결 방화벽에서 NAT 또는 방화벽 규칙이 생성되지 않았습니다.
  • 트렁크 인터페이스가 분산 포트 그룹 또는 표준 포트 그룹을 통해 지원되지 않습니다.
참고: SSL 터널에서 실행되는 L2 VPN의 경우 다음에 유의해야 합니다.
  • L2 VPN 서버는 기본적으로 포트 443에서 수신됩니다. 이 포트는 L2 VPN 서버 설정에서 구성할 수 있습니다.
  • L2 VPN 클라이언트는 기본적으로 포트 443에 대해 송신 연결을 설정합니다. 이 포트는 L2 VPN 클라이언트 설정에서 구성할 수 있습니다.

해결책

  1. L2 VPN 서버 프로세스가 실행되고 있는지 확인합니다.
    1. NSX Edge VM에 로그인합니다.
    2. show process monitor 명령을 실행하고 이름이 l2vpn인 프로세스를 찾을 수 있는지 확인합니다.
    3. show service network-connections 명령을 실행하고 l2vpn 프로세스가 포트 443에서 수신하는지 확인합니다.
  2. L2 VPN 클라이언트 프로세스가 실행되고 있는지 확인합니다.
    1. NSX Edge VM에 로그인합니다.
    2. show process monitor 명령을 실행하고 이름이 naclientd인 프로세스를 찾을 수 있는지 확인합니다.
    3. show service network-connections 명령을 실행하고 naclientd 프로세스가 포트 443에서 수신하는지 확인합니다.
  3. L2 VPN 서버를 인터넷에서 액세스할 수 있는지 확인합니다.
    1. 브라우저를 열고 https://<L2 VPN 공용 IP>로 이동합니다.
    2. 포털 로그인 페이지가 표시되어야 합니다. 포털 페이지가 표시되면 인터넷을 통해 L2 VPN 서버에 연결할 수 있는 것입니다.
  4. 트렁크 인터페이스가 분산 포트 그룹 또는 표준 포트 그룹을 통해 지원되는지 확인합니다.
    1. 트렁크 인터페이스가 분산 포트 그룹을 통해 지원되면 싱크 포트가 자동으로 설정됩니다.
    2. 트렁크 인터페이스가 표준 포트 그룹을 통해 지원되면 다음과 같이 vSphere Distributed Switch를 수동으로 구성해야 합니다.
    • 포트를 비규칙(promiscuous) 모드로 설정합니다.
    • 위조 전송(Forged Transmits)수락(Accept)으로 설정합니다.
  5. L2 VPN 루핑 문제를 완화합니다.
    1. NIC 팀 구성이 제대로 구성되지 않으면 MAC 플래핑과 중복된 패킷의 두 가지 주요 문제가 관찰됩니다. 반복을 완화하기 위한 L2VPN 옵션에 설명된 구성을 확인합니다.
  6. L2 VPN의 VM이 서로 통신할 수 있는지 확인합니다.
    1. L2 VPN 서버 CLI에 로그인하고 해당 탭 인터페이스 debug packet capture interface name에서 패킷을 캡처합니다.
    2. L2 VPN 클라이언트에 로그인하고 해당 탭 인터페이스 debug packet capture interface name에서 패킷을 캡처합니다.
    3. 이러한 캡처를 분석하여 ARP가 해결되고 있는지와 데이터 트래픽 흐름을 확인합니다.
    4. Allow Forged Transmits: dvSwitch 속성이 L2 VPN 트렁크 포트로 설정되어 있는지 확인합니다.
    5. 싱크 포트가 L2 VPN 트렁크 포트로 설정되어 있는지 확인합니다. 이렇게 하려면 호스트에 로그인하고 net-dvs -l 명령을 실행합니다. L2 VPN Edge 내부 포트에 대해 설정된 SINK 속성(com.vmware.etherswitch.port.extraEthFRP = SINK)을 확인합니다. 내부 포트는 NSX Edge 트렁크가 연결되는 dvPort를 나타냅니다.
    명령 출력에서 Edge 트렁크 인터페이스가 연결된 dvPort에 대해 싱크 포트 사용이 설정되어 있음을 보여 줍니다.