ADC

CloudBridge Connector トンネルの診断とトラブルシューティング

CloudBridge Connectorのトンネル構成に問題がある場合は、トンネルを設定する前にすべての前提条件が満たされていることを確認してください。もしそうなら、問題はトンネルのエンドポイントのIPアドレス、NAT構成、トンネルの設定方法、またはデータトラフィックにある可能性があります。

CloudBridge Connector トンネルのトラブルシューティング

CloudBridge Connectorトンネルが正しく機能しない場合は、トンネルの確立またはデータトラフィックに問題がある可能性があります。発生している問題の種類が不明な場合は、ログファイルでエラーメッセージを探し、そのエラーメッセージがトンネル確立の問題のリストに含まれているかどうかを確認してください。エラーメッセージが見つからない場合は、データトラフィックに関連して発生する可能性のある問題の一覧を確認してください。

トンネル設置に関する問題

IPsecトンネルを構成するための要件を満たし、CloudBridge Connector トンネルを構成した後、トンネルのステータスが「UP」でない場合は、トンネルエンドポイントとして構成されている一方または両方のNetScalerアプライアンスの iked.log ファイルでデバッグ情報を探します。

いずれかのアプライアンスで、Citrix ADCシェルプロンプトで次のコマンドを入力します。

cat /tmp/iked.debug | tee /var/iked.log

トラブルシューティング pdf には、一般的なエラーとその解決策が記載されています。

データトラフィックに関連する問題

CloudBridge Connectorトンネル内のデータがトンネルのエンドポイント間で適切に交換されない場合は、以下を実行してください。

  • GRE および IPsec プロトコルを使用する CloudBridge Connector トンネルの場合:
    • 両方の CloudBridge Connector トンネルエンドポイントで L2 モードが有効になっていることを確認します。L2モードを有効にするには、NetScalerコマンドラインインターフェイスで次のコマンドを入力します。

      enable mode L2

      • CloudBridge Connectorのトンネルエンドポイントの1つがCloudBridge 仮想アプライアンス(VPX)で、VMware ESXiハイパーバイザー上にプロビジョニングされている場合は、CloudBridge VPXアプライアンスに関連付けられたvSwitchの無差別モードがAcceptに設定されていることを確認してください。
    • VLANがCloudBridge Connectorトンネルを介して拡張されている場合は 、各トンネルエンドポイントの拡張VLANエンティティで1対1のマッピングを確認してください
    • IP トンネルエンティティが各トンネルエンドポイントの正しい netbridge エンティティにバインドされていることを確認します。
    • NetScalerコマンドラインインターフェイスで次のコマンドを入力して、ピアCloudBridge ConnectorトンネルエンドポイントのARPエントリがローカルトンネルエンドポイントに存在することを確認します。

      show arp

    • 出力に不完全な ARP エントリが表示されている場合、双方向トラフィックはトンネルを通過していません。双方向トラフィックが流れている場合、ARP エントリにはトンネルの反対側にあるデバイスのトンネルインターフェイスの名前が表示されます。
    • 両方のトンネルエンドポイントから IP トンネルエンティティを削除し、同じパラメータで IPsec プロファイルを NONE に設定して、トンネルが GRE プロトコルのみを使用するように再度追加します。

      IP トンネル(GRE プロトコルを使用する)で次のことを確認したら、各トンネルエンドポイントの各 IP トンネルエンティティに有効な IPsec プロファイルを指定して、IPsec パラメータを使用してトンネルを設定します。

      トンネルを通る適切な PING または TCP フロー。 トンネルを通るデータトラフィックの適切なフロー。

      設定したトンネル(GRE および IPsec プロトコルを使用する)が UP 状態になった後、データトラフィックがトンネルを正常に通過せず、NAT デバイスがトンネルエンドポイントのどちらかまたは両方の前に配置されている場合は、NAT デバイス上の入力パケットと出力パケットを分析します。

  • NetScalerアプライアンスがルーターまたはゲートウェイとして使用されている場合。
    • NetScalerアプライアンスでL3モードが有効になっていることを確認します。L3 モードを有効にするには、CloudBridge コマンドラインで次のコマンドを実行します。
    • 有効モード L3
    • サブネットがネットブリッジエンティティにバインドされている場合は、正しい IP トンネルエンティティもネットブリッジにバインドされていることを確認してください。
    • NetScalerコマンドラインで次のコマンドを実行して、パケット(入力と出力)がドロップされる場所を確認します。

      stat ipsec counters

    • 両方のトンネルエンドポイントに正しいルートが設定されていることを確認してください。
    • NetScalerアプライアンスの前にNATデバイスが展開されていない場合は、ポート4500のすべてのESP(IPプロトコル番号50)パケットとUDPパケットを許可するようにファイアウォールが構成されていることを確認してください。

上記のいずれの方法でもトンネルエンドポイント間のトラフィック交換が成功しない場合は、Citrix のテクニカルサポートに連絡してください。

Citrix のテクニカルサポートに連絡する前のチェックリスト

迅速に解決するには、Citrix のテクニカルサポートに連絡する前に、次のアイテムを用意しておいてください。

  • 展開とネットワークトポロジの詳細。
  • NetScalerシェルプロンプトで次のコマンドを入力して収集されたログファイル。 cat /tmp/iked.debug | tee /var/log/iked.log

  • NetScalerコマンドラインで次のコマンドを入力してキャプチャしたテクニカルサポートバンドル。 show techsupport
  • 両方の CloudBridge Connector トンネルエンドポイントでキャプチャされたパケットトレース。パケットトレースを開始するには、NetScalerコマンドラインで次のコマンドを入力します。 start nstrace -size 0

    パケットトレースを停止するには、NetScalerコマンドラインで次のコマンドを入力します。 stop nstrace

  • NetScalerのコマンドプロンプトで入力した次のコマンドの出力。 show arp
CloudBridge Connector トンネルの診断とトラブルシューティング