NSX CLI(명령줄 인터페이스)를 사용하여 일부 L2 VPN 문제 해결을 수행할 수 있습니다.

문제점

L2 VPN이 예상대로 작동하지 않습니다.

프로시저

  1. 다음 중앙 CLI 명령을 사용하여 구성 문제를 확인합니다.

    show edge <edgeID> configuration l2vpn.

    예: show edge edge-1 configuration l2vpn.

  2. 클라이언트 및 서버 Edge 둘 다에서 다음 명령을 사용합니다.
    • show configuration l2vpn - 다음 4가지 키 값을 통해 서버를 확인합니다.

    • show service l2vpn bridge - 인터페이스 수는 L2 VPN 클라이언트의 수에 따라 다릅니다. 아래 출력에서는 단일 L2 VPN 클라이언트(na1)가 구성됩니다. Port1은 vNic_2를 나타냅니다. MAC 주소 02:50:56:56:44:52는 vNic_2 인터페이스에서 학습되었으며 Edge의 로컬이 아닙니다(L2 VPN 서버). 다음 예의 세 번째 행은 na1 인터페이스를 나타냅니다.

    • show service l2vpn trunk table

    • show service l2vpn conversion table - 다음 예에서 1번 터널에 도달하는 이더넷 프레임은 패킷이 VDS에 전달되기 전에 해당 1번 VLAN ID가 VLAN 번호 5001을 갖는 VXLAN으로 변환됩니다.

    • show process monitor - 프로세스 l2vpn(서버) 및 naclientd(클라이언트)가 실행되고 있는지를 식별합니다.

    • show service network-connections - l2vpn(서버) 및 naclientd(클라이언트) 프로세스가 포트 443에서 수신하고 있는지를 식별합니다.

    • show service monitor [service] - 모니터 서비스 데몬을 통해 지원되는 모니터의 세부 정보(예: 데몬이 실행되고 있는지 여부 및 예약된 모니터 인스턴스의 세부 정보)입니다.

    • show service loadbalancer pool/virtual - 기본 제공 상태 검사가 상태 모니터를 제공하는 경우 상태 검사가 실패할 때 출력에 마지막 상태 변경 시간실패 원인도 표시됩니다. 모니터 서비스에서 상태 모니터를 제공하는 경우 위의 두 가지 출력 외에 마지막 확인 시간도 표시됩니다.

    show service load balancer monitor - 이 명령 출력의 마지막 열은 풀 멤버의 상태입니다. 다음 상태가 표시됩니다.

    표 1. 상태 및 설명

    상태

    설명

    UNK

    알 수 없음

    INI

    초기화 중

    SOCKERR

    소켓 오류

    L4OK

    계층 4에서 검사 통과, 상위 계층 테스트가 사용되도록 설정되지 않음

    L4TOUT

    계층 1-4 시간 초과

    L4CON

    계층 1-4 연결 문제. 예: "연결이 거부됨"(tcp rst) 또는 "호스트에 대한 경로 없음"(icmp)

    L6OK

    계층 6에서 검사 통과

    L6TOUT

    계층 6(SSL) 시간 초과

    L6RSP

    계층 6 잘못된 응답 - 프로토콜 오류. 발생 가능한 원인은 다음과 같습니다.

    • 백엔드 서버가 "SSLv3" 또는 "TLSv1.0"만 지원하는 경우

    • 백엔드 서버의 인증서가 올바르지 않은 경우

    • 암호 협상에 실패하는 경우

    L7OK

    계층 7에서 검사 통과

    L7OKC

    계층 7에서 조건부로 검사 통과 예: disable-on-404 상태의 404

    L7TOUT

    계층 7(HTTP/SMTP) 시간 초과

    L7RSP

    계층 7 잘못된 응답 - 프로토콜 오류

    L7STS

    계층 7 응답 오류. 예: HTTP 5xx

    • 오류 코드가 L4TOUT/L4CON인 경우 일반적으로 기본 네트워킹에 연결 문제가 있는 것입니다. 고객 환경에서 이러한 문제가 발생할 경우 종종 근본 원인으로 Duplicate IP가 나타납니다. 이 오류가 발생하면 다음과 같이 문제를 해결합니다.

    1. 두 Edge에서 show service highavailability 명령을 사용하여 HA가 사용되도록 설정될 때 Edge의 HA(고가용성) 상태를 확인합니다. HA 링크가 DOWN 상태인지와 모든 Edge가 Active 상태인지 그리고 결과적으로 네트워크에 중복된 Edge IP가 없는지 확인합니다.
    2. show arp 명령으로 Edge ARP 테이블을 확인하고, 두 MAC 주소 간에 백엔드 서버의 ARP 항목이 변경되는지도 확인합니다.
    3. 백엔드 서버 ARP 테이블을 확인하거나 arp-ping 명령을 사용하고 다른 시스템이 Edge IP와 동일한 IP를 갖는지 여부를 확인합니다.