CloudBridge Connector-Tunnel-Diagnose und Fehlerbehebung

Wenn Sie Probleme mit einer CloudBridge Connector-Tunnelkonfiguration haben, stellen Sie sicher, dass alle Voraussetzungen eingehalten wurden, bevor der Tunnel eingerichtet wurde. Wenn dies der Fall ist, könnte das Problem mit den IP-Adressen des Tunnelendpunkts, einer NAT-Konfiguration, der Art und Weise des Tunnels oder mit dem Datenverkehr liegen.

Problembehandlung bei einem CloudBridge Connector-Tunnel

Wenn Ihr CloudBridge Connector-Tunnel nicht ordnungsgemäß funktioniert, kann das Problem mit der Einrichtung eines Tunnels oder mit dem Datenverkehr liegen. Wenn Sie nicht sicher sind, welche Art von Problem Sie haben, suchen Sie nach einer Fehlermeldung in der Protokolldatei und prüfen Sie, ob die Fehlermeldung in der Liste der Probleme mit dem Tunnelaufbau aufgeführt ist. Wenn Sie Ihre Fehlermeldung nicht finden, überprüfen Sie die Liste der möglichen Probleme im Zusammenhang mit dem Datenverkehr.

Fragen im Zusammenhang mit der Errichtung von Tunneln

Wenn die Anforderungen für die Konfiguration des IPSec-Tunnels erfüllt sind und der CloudBridge Connector-Tunnel konfiguriert ist, suchen Sie nach Debugging-Informationen in der Datei iked.log auf einer oder beiden Citrix ADC Appliances, die als Tunnelendpunkte konfiguriert sind.

Geben Sie auf beiden Appliances den folgenden Befehl an der Citrix ADC -Shell Eingabeaufforderung ein:

`cat /tmp/iked.debug T-Stück /var/iked.log ‘

DasProblembehandlungpdf listet einige häufige Fehler und deren Lösungen auf.

Probleme im Zusammenhang mit dem Datenverkehr

Wenn die Daten im CloudBridge Connector-Tunnel nicht ordnungsgemäß zwischen den Tunnelendpunkten ausgetauscht werden, gehen Sie wie folgt vor.

  • Für einen CloudBridge Connector-Tunnel, der GRE- und IPSec-Protokolle verwendet:
    • Stellen Sie sicher, dass der L2-Modus auf beiden CloudBridge Connector-Tunnelendpunkten aktiviert ist. Geben Sie zum Aktivieren des L2-Modus den folgenden Befehl an der Citrix ADC Befehlszeilenschnittstelle ein:

      enable mode L2

      • Wenn einer der CloudBridge Connector-Tunnelendpunkte eine virtuelle CloudBridge-Appliance (VPX) ist und auf einem VMware ESXi Hypervisor bereitgestellt wird, stellen Sie sicher, dass Promiscuous-Modus für den vSwitch festgelegt ist, der der CloudBridge VPX-Appliance zugeordnet ist.
    • Wenn ein VLAN über einen CloudBridge Connector-Tunnel erweitert wird, überprüfen Sie die Eins-zu-Eins-Zuordnung auf der erweiterten VLAN-Entität auf jedem Tunnelendpunkt
    • Stellen Sie sicher, dass die IP-Tunnelentität an die richtige Netbridge-Entität in jedem Tunnelendpunkt gebunden ist.
    • Stellen Sie sicher, dass der ARP-Eintrag für den Peer-CloudBridge Connector-Tunnelendpunkt auf dem lokalen Tunnelendpunkt vorhanden ist, indem Sie den folgenden Befehl an der Citrix ADC Befehlszeilenschnittstelle eingeben:

      show arp

    • Wenn die Ausgabe einen unvollständigen ARP-Eintrag anzeigt, fließt der bidirektionale Datenverkehr nicht durch den Tunnel. Wenn der bidirektionale Datenverkehr fließt, zeigt der ARP-Eintrag den Namen der Tunnelschnittstelle für die Geräte auf der anderen Seite des Tunnels an.
    • Entfernen Sie die IP-Tunnelentitäten von beiden Tunnelendpunkten, und fügen Sie sie erneut mit denselben Parametern hinzu, jedoch mit dem IPSec-Profil auf NONE, sodass der Tunnel nur das GRE-Protokoll verwendet.

      Nachdem Sie im IP-Tunnel (der das GRE-Protokoll verwendet) Folgendes überprüft haben, konfigurieren Sie den Tunnel mit IPSec-Parametern, indem Sie für die jeweiligen IP-Tunnelentitäten an jedem Tunnelendpunkt ein gültiges IPSec-Profil angeben.

      Richtiger Ping- oder TCP-Fluss durch den Tunnel. Richtiger Datenverkehr durch den Tunnel.

      Nachdem sich der konfigurierte Tunnel (der GRE- und IPSec-Protokolle verwendet) im UP-Zustand befindet, wenn der Datenverkehr nicht ordnungsgemäß durch den Tunnel fließt und ein NAT-Gerät vor einem oder beiden Tunnelendpunkten bereitgestellt wurde, analysieren Sie die Ein- und Ausreißpakete auf den NAT-Geräten.

  • Wenn eine Citrix ADC Appliance als Router oder Gateway verwendet wird.
    • Stellen Sie sicher, dass der L3-Modus auf der Citrix ADC Appliance aktiviert ist. Um den L3-Modus zu aktivieren, führen Sie den folgenden Befehl in der CloudBridge-Befehlszeile aus.
    • Aktivierungsmodus L3
    • Wenn Subnetze an eine Netbridge-Entität gebunden sind, stellen Sie sicher, dass die korrekte IP-Tunnelentität auch an die Netbridge gebunden ist.
    • Führen Sie den folgenden Befehl in der Citrix ADC Befehlszeile aus, um zu sehen, wo die Pakete (Input und Output) gelöscht werden:

      stat ipsec counters

    • Stellen Sie sicher, dass die richtigen Routen auf beiden Tunnelendpunkten konfiguriert sind.
    • Wenn kein NAT-Gerät vor der Citrix ADC Appliance bereitgestellt wird, stellen Sie sicher, dass die Firewalls so konfiguriert sind, dass alle ESP-Pakete (IP-Protokollnummer 50) und alle UDP-Pakete für Port 4500 zulässig sind.

Wenn keine der oben genannten Maßnahmen zu einem erfolgreichen Austausch des Datenverkehrs zwischen den Tunnelendpunkten führt, wenden Sie sich an den technischen Support von Citrix.

Prüfliste vor der Kontaktaufnahme mit dem technischen Support von Citrix

Um eine schnelle Lösung zu erhalten, stellen Sie sicher, dass die folgenden Elemente bereit sind, bevor Sie sich an den technischen Support von Citrix wenden.

  • Details zur Bereitstellung und Netzwerktopologie.
  • Protokolldatei, die durch Eingabe des folgenden Befehls an der Citrix ADC -Shell-Eingabeaufforderung erfasst wurde. cat /tmp/iked.debug | tee /var/log/iked.log

  • Technisches Support-Paket, das durch Eingabe des folgenden Befehls in der Citrix ADC Befehlszeile erfasst wird. show techsupport
  • Paketverfolgung, die an beiden CloudBridge Connector-Tunnelendpunkten erfasst wurden. Um eine Paketverfolgung zu starten, geben Sie den folgenden Befehl in der Citrix ADC Befehlszeile ein. start nstrace -size 0

    Um die Paketverfolgung zu stoppen, geben Sie den folgenden Befehl in der Citrix ADC Befehlszeile ein. stop nstrace

  • Ausgabe des folgenden Befehls, der an der Citrix ADC Eingabeaufforderung eingegeben wurde. show arp