Zum Inhalt

Problembehandlung der MVE bei Ausfall oder Nichtverfügbarkeit

Wenn Ihre MVE nicht funktioniert oder nicht verfügbar ist, führen Sie die folgenden Maßnahmen zur Problembehandlung aus.

Tipp

Sie können den MVE-Status über das Megaport Portal überprüfen. Suchen Sie im Portal auf der Seite Services (Dienste) die MVE, und bewegen Sie die Maus über deren Symbol. Eine Meldung zeigt den Status des Dienstes an. (Die Farbe des Symbols zeigt ebenfalls den Status des Dienstes an.)

Maßnahmen zur Problembehandlung

Aktion Schritte
Ping-Test zur MVE Führen Sie Ping-Tests von der MVE zu den folgenden Zielen aus:
  • MVE-Standard-Gateway-IP-Adresse
  • SD-WAN-Verwaltungsserver/-controller
  • Öffentliche IP (zum Beispiel ns1.google.com, 8.8.8.8)
Ein Ping-Test sendet Datenpakete an eine bestimmte IP-Adresse und bestätigt oder verneint die Konnektivität zwischen Geräten in IP-Netzwerken. Bei Bestätigung der Konnektivität zeigt ein Ping-Test auch die Latenz (die Antwortzeit) der Verbindung an.
Konfigurationen für MVE-Remotezugriff überprüfen
  • Überprüfen Sie, ob der MVE-Status im SD-WAN-Verwaltungscontroller „Erreichbar“/„Aktiv“ anzeigt.
  • Überprüfen Sie, ob der MVE-Status im Megaport Portal „Aktiv“ ist.
  • Überprüfen Sie, ob SSH funktioniert.
  • Überprüfen Sie die Konfigurationen für verschiedene Anbieter zur weiteren Problembehandlung.
Cisco-Konfiguration überprüfen Überprüfen Sie, ob die Kommunikation über Megaport-API-Aufrufe zulässig ist.
Die Cisco vManage-Konsole verwendet Megaport-API-Aufrufe zur Synchronisierung und Authentifizierung der MVE. Wenn Sie eine vManage-Konsole verwenden, die diesen API-Aufruf nicht zulässt, z. B. eine lokale vManage-Konsole, müssen Sie möglicherweise Ports auf der Kundenfirewall öffnen, die die lokale vManage-Konsole schützt. Weitere Informationen dazu finden Sie unter Firewall-Ports für Cisco SD-WAN-Implementierungen.

Sicherstellen, dass Internetzugang gewährt wird (vManage)
Damit ein Edge-Gerät online gehen kann, benötigt es Internetzugang über das Transport & Management-VPN.

So überprüfen Sie die Konfigurationsdetails in vManage:
  1. Gehen Sie zu „Configuration“ (Konfiguration) > „Templates“ (Vorlagen), und klicken Sie auf „Feature“.
  2. Suchen Sie die von Ihnen angewendete Vorlage (vom Typ „Cisco VPN Interface Ethernet“).
  3. Klicken Sie ganz rechts auf die Ellipse (…), und wählen Sie entweder „View“ (Anzeigen) oder „Edit“ (Bearbeiten) aus, um die Details zu überprüfen.
Fortinet-Konfiguration überprüfen Überprüfen Sie, ob der SSH-Zugang gewährt wird.
Versuchen Sie, sich per SSH mit der Fortinet-MVE-Instanz zu verbinden, und verwenden Sie dabei den bei der Bestellung generierten privaten Schlüssel und die von Megaport zugewiesene öffentliche IP-Adresse. Der Standardbenutzername ist admin.

Beispiel:
ssh -i ~/.ssh/mp1-mve-sa-sandbox admin@162.43.xx.x

Beachten Sie, dass der Schlüssel, der im Megaport Portal angegeben wird, der öffentliche Schlüssel ist und der Schlüssel, der für SSH verwendet wird, der private ist.
Wenn Sie keine SSH-Verbindung zur MVE herstellen können, während die VM aktiv ist, müssen Sie die MVE möglicherweise löschen und neu generieren.

Stellen Sie sicher, dass der HTTPS-Zugriff erlaubt ist.
Der selbstgehostete Webzugriff auf FortiGate wird über eine sichere HTTPS-Sitzung bereitgestellt. Die MVE blockiert alle Zugriffe auf die dem Gerät zugewiesenen öffentlichen IP-Adressen, bis Sie sich per SSH am Gerät anmelden und HTTPS-Zugriff gewähren.

Sie können mit dem folgenden Befehl überprüfen, ob der Zugriff gewährt wird:
show system interface
Versa-Konfiguration überprüfen Überprüfen Sie die Konfiguration des Remotezugriffs in Versa Director:
  1. Wählen Sie in der oberen Menüleiste die Registerkarte „Configuration“ (Konfiguration) aus.
  2. Wählen Sie in der horizontalen Menüleiste „Templates“ (Vorlagen) > „Device Templates“ (Gerätevorlagen) aus.
  3. Suchen Sie Ihre Gerätevorlage, und klicken Sie auf „View“-Anzeigen.
In den Details können Sie die Konfiguration überprüfen, auch ob SSH aktiviert ist.
ACL/FW-Regeln auf Kundengeräten überprüfen Bei der Problembehandlung kann es vorkommen, dass die Verbindung zwar funktioniert, aber kein Ping zwischen den Layer 3-Endpunkten möglich ist, weil eine Firewall oder ACL dazwischen liegt.

Es ist hinsichtlich des Ping wichtig, die Quelle, das Ziel, den Pfad und alle durchlaufenen Zwischengeräte des Signals zu kennen. Megaport verlangt, dass vor weiteren Untersuchungen des Problems ein Netzwerkdiagramm und das Traceroute-Ergebnis zur Verfügung gestellt werden. Ungenaue Informationen können zu falschen Ergebnissen bei der Problembehandlung und zu ungeeigneten Lösungen führen.

Führen Sie diese Überprüfungen durch, bevor Sie eine Supportanfrage einreichen:
  • Stellen Sie sicher, dass das Quellgerät die Ping-Pakete sendet, indem Sie die Egress-Schnittstelle/Unterschnittstelle untersuchen.
  • Stellen Sie sicher, dass das Zielgerät die Ping-Pakete empfängt, indem Sie die Ingress-Schnittstelle/Unterschnittstelle auslesen.
  • Führen Sie ein Traceroute aus, und suchen Sie den Hop, bei dem Traceroute einen Timeout verursacht. Überprüfen Sie die Konfiguration auf dem Hop.
Auf vielen Geräten ist es möglich, eine Schnittstelle so einzustellen, dass ICMP-Anfragen gefiltert oder ignoriert werden, was zu einem fehlgeschlagenen Ping führt, während anderer Datenverkehr ohne Probleme passieren kann.

Nächste Schritte

Wenn durch die Maßnahmen zur Fehlerbehebung Ihr Problem nicht gelöst wird, wenden Sie sich an den Support. Bevor Sie sich an den Support wenden, legen Sie die folgenden Informationen bereit.

  • Geben Sie Einzelheiten zu allen Schritten der Problembehandlung an.
    Wenn z. B. Loopbacks platziert wurden, notieren Sie deren Position und Richtung.

Letztes Update: 2022-02-11