Citrix ADC

Diagnostic et dépannage du tunnel CloudBridge Connector

Si vous rencontrez des problèmes avec une configuration de tunnel CloudBridge Connector, assurez-vous que toutes les conditions préalables ont été respectées avant la configuration du tunnel. Le cas échéant, le problème peut être lié aux adresses IP du point de terminaison du tunnel, à une configuration NAT, à la façon dont le tunnel a été configuré ou au trafic de données.

Dépannage d’un tunnel CloudBridge Connector

Si votre tunnel CloudBridge Connector ne fonctionne pas correctement, le problème peut être lié à l’établissement du tunnel ou au trafic de données. Si vous ne savez pas quel type de problème vous avez, recherchez un message d’erreur dans le fichier journal et vérifiez si le message d’erreur figure dans la liste des problèmes d’établissement du tunnel. Si vous ne trouvez pas votre message d’erreur, consultez la liste des problèmes possibles liés au trafic de données.

Questions liées à l’établissement des tunnels

Une fois que les conditions requises pour configurer le tunnel IPSec sont remplies et que le tunnel CloudBridge Connector est configuré, si l’état du tunnel n’est pas UP, recherchez les informations de débogage dans le fichier iked.log sur une ou les deux appliances Citrix ADC configurées comme points d’extrémité du tunnel.

Sur l’une ou l’autre des solutions matérielles, tapez la commande suivante à l’invite de shell Citrix ADC :

`cat /tmp/iked.debug tee /var/iked.log ‘

LeRésolution des problèmespdf répertorie certaines erreurs courantes et leurs solutions.

Problèmes liés au trafic de données

Si les données du tunnel CloudBridge Connector ne sont pas échangées correctement entre les points d’extrémité du tunnel, procédez comme suit.

  • Pour un tunnel CloudBridge Connector qui utilise les protocoles GRE et IPsec :
    • Assurez-vous que le mode L2 est activé sur les deux points d’extrémité du tunnel CloudBridge Connector. Pour activer le mode L2, tapez la commande suivante dans l’interface de ligne de commande Citrix ADC :

      enable mode L2

      • Si l’un des points d’extrémité du tunnel CloudBridge Connector est un dispositif virtuel CloudBridge (VPX) et est provisionné sur un Hypervisor VMware ESXi, assurez-vous que le mode Promiscuous est défini sur Accepter pour le vSwitch associé à l’appliance CloudBridge VPX.
    • Si un VLAN est étendu via un tunnel CloudBridge Connector, vérifiez le mappage un-à-un sur l’entité VLAN étendu sur chacun des points d’extrémité du tunnel
    • Assurez-vous que l’entité de tunnel IP est liée à l’entité netbridge correcte dans chacun des points d’extrémité du tunnel.
    • Vérifiez que l’entrée ARP du point d’extrémité du tunnel CloudBridge Connector homologue existe sur le point d’extrémité du tunnel local, en tapant la commande suivante dans l’interface de ligne de commande Citrix ADC :

      show arp

    • Si la sortie affiche une entrée ARP incomplète, le trafic bidirectionnel ne circule pas dans le tunnel. Si le trafic bidirectionnel circule, l’entrée ARP indique le nom de l’interface tunnel pour les périphériques de l’autre côté du tunnel.
    • Supprimez les entités de tunnel IP des deux points d’extrémité du tunnel et ajoutez-les à nouveau avec les mêmes paramètres, mais avec le profil IPSec défini sur NONE, de sorte que le tunnel utilise uniquement le protocole GRE.

      Après avoir vérifié ce qui suit dans le tunnel IP (qui utilise le protocole GRE), configurez le tunnel avec les paramètres IPSec en spécifiant un profil IPSec valide pour les entités de tunnel IP respectives sur chacun des points d’extrémité du tunnel.

      Flux PING ou TCP correct à travers le tunnel. Flux correct du trafic de données à travers le tunnel.

      Une fois que le tunnel configuré (qui utilise les protocoles GRE et IPSec) est en état UP, si le trafic de données ne circule pas correctement dans le tunnel et si un périphérique NAT a été déployé devant l’un des points d’extrémité du tunnel ou les deux, analysez les paquets d’entrée et de sortie sur les périphériques NAT.

  • Si une appliance Citrix ADC est utilisée en tant que routeur ou passerelle.
    • Assurez-vous que le mode L3 est activé sur l’appliance Citrix ADC. Pour activer le mode L3, exécutez la commande suivante dans la ligne de commande CloudBridge.
    • activer le mode L3
    • Si les sous-réseaux sont liés à une entité netbridge, assurez-vous que l’entité de tunnel IP correcte est également liée à netbridge.
    • Exécutez la commande suivante dans la ligne de commande Citrix ADC pour voir où les paquets (entrée et sortie) sont supprimés :

      stat ipsec counters

    • Assurez-vous que les itinéraires corrects sont configurés sur les deux points d’extrémité du tunnel.
    • Si aucun périphérique NAT n’est déployé devant l’appliance Citrix ADC, assurez-vous que les pare-feu sont configurés pour autoriser tous les paquets ESP (IP protocol number 50) et tous les paquets UDP pour le port 4500.

Si aucune des mesures ci-dessus n’entraîne un échange réussi de trafic entre les points d’extrémité du tunnel, contactez le support technique Citrix.

Liste de contrôle avant de contacter le support technique Citrix

Pour une résolution rapide, assurez-vous que les éléments suivants sont prêts avant de contacter le support technique Citrix.

  • Détails du déploiement et de la topologie du réseau.
  • Fichier journal collecté en tapant la commande suivante à l’invite de shell Citrix ADC. cat /tmp/iked.debug | tee /var/log/iked.log

  • Pack de support technique capturé en tapant la commande suivante sur la ligne de commande Citrix ADC. show techsupport
  • Traces de paquets capturés sur les deux points d’extrémité du tunnel CloudBridge Connector. Pour démarrer une trace de paquets, tapez la commande suivante sur la ligne de commande Citrix ADC. start nstrace -size 0

    Pour arrêter le suivi des paquets, tapez la commande suivante sur la ligne de commande Citrix ADC. stop nstrace

  • Sortie de la commande suivante tapée à l’invite de commande Citrix ADC. show arp

Diagnostic et dépannage du tunnel CloudBridge Connector