ADC

CloudBridge Connector-Tunneldiagnose und -Fehlerbehebung

Wenn Sie Probleme mit einer CloudBridge Connector-Tunnelkonfiguration haben, stellen Sie sicher, dass alle Voraussetzungen erfüllt wurden, bevor der Tunnel eingerichtet wurde. Wenn dies der Fall wäre, könnte das Problem an den IP-Adressen der Tunnelendpunkte, einer NAT-Konfiguration, der Art und Weise, wie der Tunnel eingerichtet wurde, oder am Datenverkehr liegen.

Fehlerbehebung bei einem CloudBridge Connector-Tunnel

Wenn Ihr CloudBridge Connector-Tunnel nicht ordnungsgemäß funktioniert, liegt das Problem möglicherweise an der Einrichtung des Tunnels oder am Datenverkehr. Wenn Sie sich nicht sicher sind, welche Art von Problem Sie haben, suchen Sie in der Protokolldatei nach einer Fehlermeldung und prüfen Sie, ob die Fehlermeldung in der Liste der Probleme beim Tunnelaufbau enthalten ist. Wenn Sie Ihre Fehlermeldung nicht finden, überprüfen Sie die Liste möglicher Probleme im Zusammenhang mit dem Datenverkehr.

Probleme im Zusammenhang mit der Einrichtung von Tunneln

Wenn die Anforderungen für die Konfiguration des IPSec-Tunnels erfüllt und der CloudBridge Connector-Tunnel konfiguriert ist und der Status des Tunnels nicht AKTIV ist, suchen Sie in der Datei iked.log nach Debugging-Informationen auf einer oder beiden NetScaler-Appliances, die als Tunnelendpunkte konfiguriert sind.

Geben Sie auf beiden Appliances den folgenden Befehl an der NetScaler -Shell Eingabeaufforderung ein:

cat /tmp/iked.debug | tee /var/iked.log

Das PDF zur Fehlerbehebung listet einige häufige Fehler und ihre Lösungen auf.

Probleme im Zusammenhang mit dem Datenverkehr

Wenn die Daten im CloudBridge Connector-Tunnel nicht ordnungsgemäß zwischen den Tunnelendpunkten ausgetauscht werden, gehen Sie wie folgt vor.

  • Für einen CloudBridge Connector-Tunnel, der die GRE- und IPSec-Protokolle verwendet:
    • Stellen Sie sicher, dass der L2-Modus auf beiden CloudBridge Connector-Tunnelendpunkten aktiviert ist. Um den L2-Modus zu aktivieren, geben Sie den folgenden Befehl an der NetScaler-Befehlszeilenschnittstelle ein:

      enable mode L2

      • Wenn einer der CloudBridge Connector-Tunnelendpunkte eine virtuelle CloudBridge-Appliance (VPX) ist und auf einem VMware ESXi-Hypervisor bereitgestellt wird, stellen Sie sicher, dass der Promiscuous-Modus für den mit der CloudBridge VPX-Appliance verknüpften vSwitch auf Accept gesetzt ist.
    • Wenn ein VLAN durch einen CloudBridge Connector-Tunnel erweitert wird, überprüfen Sie die Eins-zu-Eins-Zuordnung auf der erweiterten VLAN-Entität an jedem der Tunnelendpunkte
    • Stellen Sie sicher, dass die IP-Tunnelentität an die richtige Netbridge-Entität in jedem der Tunnelendpunkte gebunden ist.
    • Stellen Sie sicher, dass der ARP-Eintrag für den Peer-CloudBridge Connector-Tunnelendpunkt auf dem lokalen Tunnelendpunkt vorhanden ist, indem Sie den folgenden Befehl an der NetScaler-Befehlszeilenschnittstelle eingeben:

      show arp

    • Wenn die Ausgabe einen unvollständigen ARP-Eintrag anzeigt, fließt kein bidirektionaler Verkehr durch den Tunnel. Wenn bidirektionaler Verkehr fließt, zeigt der ARP-Eintrag den Namen der Tunnelschnittstelle für die Geräte auf der anderen Seite des Tunnels an.
    • Entfernen Sie die IP-Tunnelentitäten von beiden Tunnelendpunkten und fügen Sie sie erneut mit denselben Parametern hinzu, wobei das IPSec-Profil jedoch auf NONE gesetzt ist, sodass der Tunnel nur das GRE-Protokoll verwendet.

      Nachdem Sie im IP-Tunnel (der das GRE-Protokoll verwendet) Folgendes überprüft haben, konfigurieren Sie den Tunnel mit IPSec-Parametern, indem Sie ein gültiges IPSec-Profil für die jeweiligen IP-Tunnelentitäten an jedem der Tunnelendpunkte angeben.

      Der richtige PING- oder TCP-Fluss durch den Tunnel. Richtiger Fluss des Datenverkehrs durch den Tunnel.

      Nachdem sich der konfigurierte Tunnel (der die GRE- und IPSec-Protokolle verwendet) im Status UP befindet und der Datenverkehr nicht ordnungsgemäß durch den Tunnel fließt und wenn ein NAT-Gerät vor einem oder beiden Tunnelendpunkten bereitgestellt wurde, analysieren Sie die eingehenden und ausgehenden Pakete auf den NAT-Geräten.

  • Wenn eine NetScaler-Appliance als Router oder Gateway verwendet wird.
    • Stellen Sie sicher, dass der L3-Modus auf der NetScaler-Appliance aktiviert ist. Um den L3-Modus zu aktivieren, führen Sie den folgenden Befehl in der CloudBridge-Befehlszeile aus.
    • aktiviere den Modus L3
    • Wenn Subnetze an eine Netbridge-Entität gebunden sind, stellen Sie sicher, dass die richtige IP-Tunnelentität auch an die Netbridge gebunden ist.
    • Führen Sie den folgenden Befehl in der NetScaler-Befehlszeile aus, um zu sehen, wo die Pakete (Eingabe und Ausgabe) verworfen werden:

      stat ipsec counters

    • Stellen Sie sicher, dass die richtigen Routen an beiden Tunnelendpunkten konfiguriert sind.
    • Wenn kein NAT-Gerät vor der NetScaler-Appliance bereitgestellt wird, stellen Sie sicher, dass die Firewalls so konfiguriert sind, dass sie alle ESP-Pakete (IP-Protokollnummer 50) und alle UDP-Pakete für Port 4500 zulassen.

Wenn keine der oben genannten Maßnahmen zu einem erfolgreichen Datenaustausch zwischen den Tunnelendpunkten führt, wenden Sie sich an den technischen Support von Citrix.

Checkliste, bevor Sie sich an den technischen Support von Citrix wenden

Stellen Sie für eine schnelle Lösung sicher, dass Sie die folgenden Artikel bereit haben, bevor Sie sich an den technischen Support von Citrix wenden.

  • Einzelheiten zur Bereitstellung und Netzwerktopologie.
  • Die Protokolldatei wurde gesammelt, indem Sie den folgenden Befehl an der NetScaler-Shell-Eingabeaufforderung eingeben. cat /tmp/iked.debug | tee /var/log/iked.log

  • Das Paket für den technischen Support wurde erfasst, indem Sie den folgenden Befehl in der NetScaler-Befehlszeile eingeben. show techsupport
  • Paketspuren wurden an beiden CloudBridge Connector-Tunnelendpunkten erfasst. Um eine Paketverfolgung zu starten, geben Sie den folgenden Befehl in der NetScaler-Befehlszeile ein. start nstrace -size 0

    Um die Paketverfolgung zu beenden, geben Sie den folgenden Befehl in der NetScaler-Befehlszeile ein. stop nstrace

  • Ausgabe des folgenden Befehls, der an der NetScaler Eingabeaufforderung eingegeben wurde. show arp
CloudBridge Connector-Tunneldiagnose und -Fehlerbehebung