ADC

Diagnostic et résolution des problèmes liés au tunnel CloudBridge Connector

Si vous rencontrez des problèmes avec la configuration d’un tunnel CloudBridge Connector, assurez-vous que tous les prérequis ont été respectés avant la configuration du tunnel. Si tel était le cas, le problème pourrait être lié aux adresses IP du point de terminaison du tunnel, à une configuration NAT, à la façon dont le tunnel a été configuré ou au trafic de données.

Résolution des problèmes liés à un tunnel CloudBridge Connector

Si votre tunnel CloudBridge Connector ne fonctionne pas correctement, le problème peut être lié à l’établissement du tunnel ou au trafic de données. Si vous ne savez pas quel type de problème vous rencontrez, recherchez un message d’erreur dans le fichier journal et vérifiez si le message d’erreur figure dans la liste des problèmes liés à l’établissement du tunnel. Si vous ne trouvez pas votre message d’erreur, consultez la liste des problèmes éventuels liés au trafic de données.

Problèmes liés à la création d’un tunnel

Une fois que les conditions requises pour la configuration du tunnel IPsec sont satisfaites et que le tunnel CloudBridge Connector est configuré, si l’état du tunnel n’est pas UP, recherchez les informations de débogage dans le fichier iked.log sur l’une ou les deux appliances NetScaler configurées comme points de terminaison du tunnel.

Sur l’une ou l’autre des appliances, tapez la commande suivante à l’invite du shell NetScaler :

cat /tmp/iked.debug | tee /var/iked.log

Le fichier PDF de dépannage répertorie certaines erreurs courantes et leurs solutions.

Problèmes liés au trafic de données

Si les données du tunnel CloudBridge Connector ne sont pas échangées correctement entre les points de terminaison du tunnel, procédez comme suit.

  • Pour un tunnel CloudBridge Connector qui utilise les protocoles GRE et IPsec :
    • Assurez-vous que le mode L2 est activé sur les deux points de terminaison du tunnel CloudBridge Connector. Pour activer le mode L2, tapez la commande suivante sur l’interface de ligne de commande NetScaler :

      enable mode L2

      • Si l’un des points de terminaison du tunnel CloudBridge Connector est une appliance virtuelle CloudBridge (VPX) approvisionnée sur un hyperviseur VMware ESXi, assurez-vous que le mode Promiscuous est défini sur Accept pour le vSwitch associé à l’appliance CloudBridge VPX.
    • Si un VLAN est étendu via un tunnel CloudBridge Connector, vérifiez le mappage biunivoque sur l’entité VLAN étendue à chacune des extrémités du tunnel
    • Assurez-vous que l’entité du tunnel IP est liée à l’entité netbridge appropriée à chacun des points de terminaison du tunnel.
    • Vérifiez que l’entrée ARP du point de terminaison du tunnel CloudBridge Connector homologue existe sur le point de terminaison du tunnel local, en saisissant la commande suivante sur l’interface de ligne de commande NetScaler :

      show arp

    • Si la sortie indique une entrée ARP incomplète, le trafic bidirectionnel ne traverse pas le tunnel. Si le trafic circule dans les deux sens, l’entrée ARP indique le nom de l’interface du tunnel pour les appareils situés de l’autre côté du tunnel.
    • Supprimez les entités du tunnel IP des deux points de terminaison du tunnel et ajoutez-les à nouveau avec les mêmes paramètres, mais avec le profil IPsec défini sur NONE, afin que le tunnel utilise uniquement le protocole GRE.

      Après avoir vérifié les points suivants dans le tunnel IP (qui utilise le protocole GRE), configurez le tunnel avec des paramètres IPsec en spécifiant un profil IPsec valide pour les entités du tunnel IP respectives sur chacune des extrémités du tunnel.

      Flux PING ou TCP correct dans le tunnel. Flux correct du trafic de données dans le tunnel.

      Une fois que le tunnel configuré (qui utilise les protocoles GRE et IPsec) est à l’état UP, si le trafic de données ne circule pas correctement dans le tunnel et si un périphérique NAT a été déployé devant l’un des points de terminaison du tunnel ou les deux, analysez les paquets d’entrée et de sortie sur les périphériques NAT.

  • Si une appliance NetScaler est utilisée comme routeur ou passerelle.
    • Assurez-vous que le mode L3 est activé sur l’appliance NetScaler. Pour activer le mode L3, exécutez la commande suivante dans la ligne de commande CloudBridge.
    • activer le mode L3
    • Si les sous-réseaux sont liés à une entité Netbridge, assurez-vous que l’entité de tunnel IP correcte est également liée à l’entité Netbridge.
    • Exécutez la commande suivante dans la ligne de commande NetScaler pour voir où les paquets (entrée et sortie) sont supprimés :

      stat ipsec counters

    • Assurez-vous que les itinéraires appropriés sont configurés aux deux extrémités du tunnel.
    • Si aucun périphérique NAT n’est déployé devant l’appliance NetScaler, assurez-vous que les pare-feux sont configurés pour autoriser tous les paquets ESP (protocole IP numéro 50) et tous les paquets UDP pour le port 4500.

Si aucune des mesures ci-dessus n’aboutit à un échange de trafic réussi entre les points de terminaison du tunnel, contactez le support technique de Citrix.

Liste de contrôle avant de contacter le support technique Citrix

Pour une résolution rapide, assurez-vous que les éléments suivants sont prêts avant de contacter le support technique de Citrix.

  • Détails du déploiement et de la topologie du réseau.
  • Fichier journal collecté en saisissant la commande suivante à l’invite du shell NetScaler. cat /tmp/iked.debug | tee /var/log/iked.log

  • Bundle de support technique capturé en saisissant la commande suivante sur la ligne de commande NetScaler. show techsupport
  • Traces de paquets capturées sur les deux points de terminaison du tunnel CloudBridge Connector. Pour démarrer un suivi de paquets, tapez la commande suivante sur la ligne de commande NetScaler. start nstrace -size 0

    Pour arrêter le suivi des paquets, tapez la commande suivante sur la ligne de commande NetScaler. stop nstrace

  • Résultat de la commande suivante saisie à l’invite de commande NetScaler. show arp
Diagnostic et résolution des problèmes liés au tunnel CloudBridge Connector