Solución de problemas de la implementación de VMware NSX/ESXi

Solución de problemas de la implementación de VMware NSX/ESXi

38971
Created On 09/26/18 19:10 PM - Last Modified 04/20/20 23:58 PM


Resolution


Las cuestiones relacionadas con VMware NSX pueden caer ampliamente en las siguientes categorías:

  • Panorama no se puede registrar ni sincronizar con NSX Manager
  • PA-VM no pasa el tráfico
  • DAGs no se actualizan en panorama
  • Varios

1.  Recoge las respuestas para las siguientes preguntas:
preguntas (relacionadas con pan).
     • ¿Qué producto pan para VMware?
-VM-series para vSphere
-VM-series para NSX
-VM-series para NSX con Cross vCenter NSX (multi NSX Manager)
• ¿qué versión de panorama?
     • ¿Qué versión del plugin de integración de VMware NSX (si corresponde)?
• ¿qué versión de VM-series?
• ¿cuántas direcciones IP de VM están registradas en panorama?
• ¿Qué cambios se hicieron recientemente en panorama y/o VM-series?

 

    Preguntas (relacionadas con VMware).
     • ¿se trata de una implementación de infraestructura de escritorio virtual (VDI) o de infraestructura de servidor virtual (VSI)?
• ¿cuántos clústeres están destinados para su despliegue?
• ¿cuántos hosts ESXi en cada cluster (s)?
• ¿qué versión de vCSA/vCenter?
• ¿qué versión de los hosts ESXi?
• ¿cuántas direcciones IP de VM están registradas en panorama?
• ¿Qué cambios se hicieron recientemente en vSphere o NSX?

Preguntas (específicas de la serie VM para vSphere).
     • ¿qué modo Firewall?
-vwire
-L2/L3
-L3
-L3 (use el hypervisor asignado direcciones MAC)
• ¿qué Switch virtual?
            -Virtual Standard switch (vSS)
-virtual Distributed switch (VDS)

preguntas (específicas de VM-series para NSX).
    • ¿Qué versión de NSX?
• ¿está conectado el panorama a un NSX Manager o a varios administradores de NSX?
• Si Cross vCenter NSX, ¿cuántos vCenters?
• ¿cuál es el estado de VMware Service Manager de panorama?
• ¿qué versión de OVF de VM-series para NSX está configurada en panorama?
• ¿cuántas definiciones de servicios panorámicos?
• ¿cuántos grupos de seguridad NSX se utilizan?
• ¿cuántas políticas de seguridad de NSX se utilizan?
• ¿se han implementado las direcciones VM IPv6?
• ¿se está despuntando el tráfico de VM del NSX DFW a la serie VM?
• ¿la serie VM recibe tráfico de VM (p.ej. pcaps)?
• ¿Qué cambios se hicieron recientemente en NSX?

 

2.  Validar la configuración en panorama-VM:

      Registre el cortafuegos de la serie VM como un servicio con NSX Manager.
      • Panorama-> VMware NSX-> Service Managers-> Add (Edit) ø NSX Manager URL: "https://"o "https://" ø NSX Manager login: <Username must="" be="" same="" used="" to="" login="" nsx="" manager="">ø NSX administrador contraseña: <Password must="" be="" same="" as="" used="" to="" login="" nsx="" manager="">ø confirme la contraseña del administrador NSX: <Confirm the="" password=""><x 5="">• Compruebe por Logi n en la URL de NSX Manager e introduzca las mismas credenciales.</Confirm> </Password> </Username> </NSX> </NSX> </x>
     • Seleccione "Commit" y confirme el tipo "Commit to panorama"
• Verifique: panorama
ø Verifique el estado "registrado"

3. Solución de problemas: estado de panorama como "error! Trigger NSX-config-sync! "o" error de conexión "etc..:

 

    Los mensajes de estado fallidos son:

  • No conectado: no se puede alcanzar/establecer una conexión de red con el NSX Manager.
  • No autorizado: las credenciales de acceso (nombre de usuario y/o contraseña) son incorrectas.
  • No está registrado: el servicio, el administrador de servicios o el perfil de servicio no están disponibles o se han eliminado en el NSX Manager.
  • Fuera de sincronización: los ajustes de configuración definidos en panorama son diferentes de lo que se define en el NSX Manager. Compruebe si se han realizado cambios en el NSX Manager. Validar los cambios de configuración e intentar sincronizar manualmente el config en panorama.
  • Sin servicio/sin perfil de servicio: indica una configuración incompleta en el NSX Manager.

 

      • Para Panos 8.0. x, compruebe si la versión de plugin instalada en panorama es 2.0.0/2.0.2 o tlsv 1.0 está habilitada en NSX Manager bajo:


      Administrador de NSX > administrar > configuraciones > general > modo FIPS y configuración TLS. [JIRA Issue: Plug-252]

 

      • Para las nuevas implementaciones de 6.4.0 de NSX Manager, TLS 1,0 está deshabilitado de forma predeterminada.
            1) si se utiliza el plugin de panorama NSX 2.0.1 o inferior, NSX Manager TLS 1,0 tiene que estar habilitado para que panorama se comunique, o
2) si se utiliza el plugin de panorama NSX 2.0.2 o superior, panorama utilizará TLS 1,2 de forma predeterminada (a continuación, recurrir a TLS 1,1 es necesario)

 

     • Examine los errores de plugins o NSX en los logs del sistema:

            > Mostrar sistema de registro subtipo igual dirección de plugin igual al revés

 

4. Solución de problemas: problemas relacionados con DAGs faltan en panorama, fuera de sincronización con NSX Manager, etc.

 

    Registros de depuración: puede que necesite habilitar debug para obtener información más detallada:

       • Comprobar el estado de NSX a través de CLI:
> Mostrar plugins vmware_nsx estado
• Habilitar registro de nivel de debug para configd > gestión de depuración
-servidor en Debug
> solicitud plugins Debug plugin-nombre vmware_nsx nivel alto
• navegador web Php Debug logs:
https://<panorama_ip>/debug (marque la casilla "debug")
activar el registro de nivel de debug para PHP. Debug. log </panorama_ip>

 

Sincronice manualmente config en panorama seleccionando ' NSX config sync ' en la sección operaciones para sincronizar los cambios en el NSX Manager.

     O
para problemas de DAGs, haga clic en ' sincronizar objetos dinámicos '

   

        > cola seguir sí MP-log plugin_vmware_nsx. log
> cola seguir sí MP-log php. Debug. log

 

     Depurar las actualizaciones de Dau a los cortafuegos administrados:
> cola seguir sí MP-log configd. log deshabilitar la depuración posterior a la

replicación:
> Administración de Debug-Server OFF
> solicitar plugins Debug plugin-nombre vmware_nsx LEVEL OFF

 

5. Solución de problemas: administrador de NSX y conectividad panorámica:
• capturas de puerto de administración: Cómo capturar paquetes (tcpdump ) en la interfaz de administración

 

6. Solución de problemas: PA-VM no está pasando el tráfico:

  • Si no se generan sesiones en el cortafuegos, compruebe si el tráfico se ha apostado a PA-VM desde el administrador de NSX. Desplácese hasta ' NSX > Networking & Security > Firewall > servicios de seguridad de partners ' para confirmar. 
  • Utilice la herramienta ' NSX Manager > Tools > Traceflow ' para identificar si las gotas de paquetes están ocurriendo en el NSX o en el firewall.
  • Compruebe si los grupos de seguridad y las reglas de dirección [sólo válidas para Panos 8.0. x o superior] se configuran en panorama. Los grupos de seguridad creados en NSX Manager deben estar asociados a grupos de direcciones dinámicos en panorama.
  • Nota: la directiva predeterminada del cortafuegos de la serie VM está establecida en denegar todo el tráfico, lo que significa que se eliminará todo el tráfico redirigido al cortafuegos de la serie VM.
  • Asegúrese de que panorama ha empujado las directivas de seguridad para permitir el tráfico interesado a través de PA-VM.
  • Si se reciben y se eliminan paquetes en PA-VM, se solucionan los problemas mediante la recopilación de contadores globales, flujos básicos, capturas de patartas, etc. Referencia: captura de paquetes, comandos de depuración de flujo-básico y contador
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm2jCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language