Comandos de solución de problemas de Cisco a su servicio

La resolución de problemas se trata de tres cosas importantes: predecir lo que puede suceder, determinar las anomalías e investigar por qué sucedieron esas anomalías. Muchos administradores de redes descomponen los problemas de infraestructura de red analizando la ruta de la Capa 3 a través de la red, salto por salto, en ambas direcciones. Este proceso les ayuda a aislar el problema; una vez que determinan cuál salto en la ruta de la capa falla, pueden entonces investigar más a fondo los detalles.

Existen diversas herramientas que pueden ayudar con la resolución de problemas de red. Vamos a revisarlas y ver qué problemas pueden ayudarte a investigar.

Protocolo de Descubrimiento de Cisco (CDP)

El Cisco Discovery Protocol (CDP) descubre información básica sobre routers y switches vecinos sin necesidad de conocer las contraseñas de esos dispositivos de network device Cisco. Esto es posible porque los routers y switches de Cisco envían rutinariamente mensajes CDP que anuncian información sobre sí mismos. Por lo tanto, el hardware de Cisco que soporta CDP puede aprender sobre otros dispositivos escuchando estos mensajes. CDP descubre varios detalles útiles de los dispositivos Cisco vecinos:

• Identificador del dispositivo: El nombre del host
• Lista de direcciones: Direcciones de red y de enlace de datos
• Identificador de puerto: La interfaz en el dispositivo remoto que envió el anuncio CDP
• Lista de capacidades: Tipo de dispositivo (por ejemplo, router o switch)
• Platform: La versión de IOS que se ejecuta en el dispositivo

Para ver esta información, utilice el comando show cdp:

      show cdp neighbors 
      

Este comando enumera cada dispositivo vecino, uno por línea. Cada línea proporciona la información de topología más importante sobre el vecino: su nombre de host (ID del dispositivo), la interfaz del dispositivo local y su interfaz (bajo el encabezado de Puerto). Este comando de interfaz también enumera la plataforma, identificando el modelo específico del router o switch vecino.

Para obtener detalles adicionales, como el nombre completo del modelo del switch y la dirección IP configurada en el dispositivo vecino, agregue el parámetro detail de la siguiente manera:

      show cdp neighbors detail
      

Por supuesto, ser capaz de descubrir mucha información sobre dispositivos vecinos es una exposición a la seguridad de la red. Cisco recomienda desactivar CDP en cualquier interfaz IP que no necesite utilizarlo. Para alternar CDP apagado y encendido en un dispositivo completo, use los comandos globales no cdp run y cdp run . Para alternarlo en una interfaz específica, use los subcomandos de interfaz no cdp enable y cdp enable .

Mostrar versión

Puede utilizar el comando de Cisco IOS show version en modo exec privilegiado para verificar la versión de Cisco IOS y el número de lanzamiento del software IOS que se ejecuta en los dispositivos Cisco. Proporciona la siguiente información:

• Versión del software Cisco IOS — El nombre y número de versión del software de Cisco
• Tiempo de actividad del switch — El tiempo transcurrido desde el último reinicio del dispositivo
• Cambiar plataforma — Información de la plataforma de hardware, incluyendo la revisión y la cantidad de RAM
• ID de la placa del procesador — El número de serie del dispositivo

Ping

El propósito básico de ping es verificar la accesibilidad, el tiempo de ida y vuelta (RTT) y la pérdida de paquetes. Para solucionar problemas de un dispositivo con respecto a estas propiedades, necesitamos especificar la dirección IP del dispositivo — por ejemplo, ping 172.17.4.6. Este comando envía una solicitud de eco del Protocolo de Mensajes de Control de Internet (ICMP) y muestra uno de los siguientes:

! — Se recibió un paquete de respuesta de eco ICMP dentro del período de tiempo de espera (2 segundos, por defecto)

. — No se recibió respuesta en el período de tiempo de espera.

Puede hacer ping desde la interfaz específica agregando el parámetro source con el nombre de la interfaz al final del comando — por ejemplo, ping 172.17.4.6 source Ethernet 0/0.

Traceroute

Traceroute es una función que rastrea la ruta desde una red a otra, por lo que puede ayudar a diagnosticar el origen de muchos problemas. Traceroute funciona enviando al host remoto una secuencia de tres datagramas UDP con un TTL de 1 en la cabecera IP; esto provoca que el datagrama expire al llegar al primer enrutador en la ruta, haciendo que el enrutador responda con un mensaje de “ICMP time exceeded”. Luego, traceroute envía un conjunto de tres datagramas UDP con TTL 2, para que expiren al llegar al segundo enrutador, lo que provoca que este responda con un mensaje de tiempo agotado. Este proceso continúa hasta que el paquete alcanza el destino final y recibe un mensaje ICMP de “puerto inalcanzable”.

Por lo tanto, puedes usar traceroute para probar la ruta que los paquetes eligen para moverse hacia su destino.

También puedes utilizar un comando de traceroute extendido para probar la conectividad desde una fuente especificada — por ejemplo, traceroute 10.10.60.6 source Loopback0.

Telnet

Cuando utilizas Telnet para conectarte a un dispositivo remoto, utiliza el puerto predeterminado (23). Puedes usar cualquier número de puerto de 1 a 65535 para probar si un dispositivo remoto está escuchando en el puerto específico, por ejemplo, telnet 172.17.5.74 8080.

Comando Show Interfaces y códigos de estado de interfaz

Los switches de Cisco utilizan dos conjuntos diferentes de códigos de estado de interfaz. Ambos conjuntos de códigos de estado pueden determinar si una interfaz está funcionando.

• Mostrar interfaces y mostrar descripción de interfaces — Estos comandos listan el estado de línea y estado del protocolo. Estos generalmente indican si la Capa 1 está funcionando (estado de línea) y si la Capa 2 está funcionando (estado del protocolo). Para las interfaces de conmutadores LAN, ambos códigos típicamente tienen el mismo valor, ya sea “arriba” o “abajo”.
• show interfaces status — Muestra el estado de la interfaz. Este único código de estado corresponde a diferentes combinaciones del estado de la línea y el estado del protocolo, como se muestra en la tabla a continuación. Por ejemplo, el estado de interfaz “conectado” corresponde a un estado up/up para los otros dos estados.

Aquí está la lista de códigos de estado y los problemas que pueden indicar:

Comando de apagado de Cisco

Cuando configura una interfaz por primera vez en el modo configure terminal, debe habilitar administrativamente la interfaz antes de que el enrutador pueda utilizarla para transmitir o recibir paquetes. Utilice el comando de Cisco no shutdown para permitir que el software IOS utilice la interfaz.

Más tarde, es posible que quieras deshabilitar una interfaz específica para realizar mantenimiento del hardware en ella o en un segmento de una red. También podrías querer deshabilitar una interfaz si existe un problema en un segmento específico de la red y necesitas aislar ese segmento del resto de la red. El comando shutdown permite deshabilitar administrativamente una interfaz. Para reiniciar la interfaz, utiliza el comando no shutdown.

Mostrar ruta IP

La mayoría de las tablas de enrutamiento contienen una combinación de rutas estáticas y dinámicas. Sin embargo, antes de que se puedan utilizar las rutas estáticas o dinámicas, la tabla de enrutamiento debe contener las redes directamente conectadas que se utilizan para acceder a redes remotas. Para verificar las rutas estáticas en la tabla de enrutamiento, utilice el comando show ip route, especificando la dirección de red, la máscara de subred y la dirección IP del siguiente router o interfaz de salida.

Problemas comunes en dispositivos Cisco

Problemas de velocidad y dúplex de interfaz

Muchas interfaces Ethernet basadas en UTP admiten múltiples velocidades (dúplex completo o medio) y la auto-negociación estándar IEEE. Estas interfaces pueden configurarse para usar una velocidad específica usando el subcomando de interfaz speed {10 | 100 | 1000} , y para usar un dúplex específico usando el subcomando de interfaz duplex {half | full} . Si ambas configuraciones se aplican a una interfaz, el switch o router deshabilita el proceso de auto-negociación estándar IEEE en esa interfaz.

Tanto el comando show interfaces como el show interfaces status listan la velocidad y la configuración dúplex de una interfaz, pero solo el comando show interfaces status indica cómo el switch determinó la configuración de velocidad y dúplex; enumera todas las configuraciones autonegociadas con un prefijo de a-. Por ejemplo, a-full significa dúplex completo como autonegociado, mientras que full significa dúplex completo pero configurado manualmente. Aunque la autonegociación funciona bien, los valores predeterminados permiten la posibilidad de un problema llamado duplex mismatch, en el cual los dispositivos consideran que el enlace está activo pero un lado usaría dúplex medio y el otro dúplex completo.

El número de errores de entrada y el número de errores CRC son solo dos de los contadores en la salida del comando show interfaces. El desafío es decidir qué contadores necesita ver, cuáles indican que hay un problema y cuáles son normales y no representan una preocupación. Aquí está la lista de contadores para ayudarlo a comenzar a entender cuáles señalan problemas y cuáles simplemente cuentan eventos normales que no son problemas:

• Runts: Tramas que no cumplen con el requisito de tamaño mínimo de trama (64 bytes, incluyendo los 18 bytes de MAC destino, MAC origen y tipo). Los runts pueden ser causados por colisiones.
• Gigantes: Marcos que exceden el tamaño máximo de marco requerido (1518 bytes, incluyendo los 18 bytes de MAC destino, MAC origen y tipo).
• Errores de entrada: El número total de contadores, incluyendo fragmentos, gigantes, sin búfer, CRC, trama, exceso de capacidad y cuentas ignoradas.
• CRC: Tramas recibidas que no superaron el cálculo de FCS; pueden ser causadas por colisiones.
• Marco: Marcos recibidos que tienen un formato ilegal (por ejemplo, que terminan con un byte parcial); pueden ser causados por colisiones.
• Salida de paquetes: Número total de paquetes (tramas) reenviados por la interfaz.
• Errores de salida: Número total de paquetes (tramas) que el puerto del switch intentó transmitir pero con los que ocurrió algún problema.
• Colisiones: Contador de todas las colisiones que ocurrieron cuando la interfaz estaba transmitiendo un marco.
• Colisiones tardías: El subconjunto de todas las colisiones que ocurren después de que se transmitieron los 64 primeros bytes del marco. En una LAN Ethernet que funciona correctamente, las colisiones deberían ocurrir dentro de los primeros 64 bytes; las colisiones tardías hoy en día a menudo indican una incompatibilidad de dúplex.

Prediciendo el contenido de la tabla de direcciones MAC

Los switches aprenden direcciones MAC y luego utilizan las entradas en la tabla de direcciones MAC para tomar una decisión de reenvío/filtrado para cada trama. Para saber exactamente cómo un switch en particular reenviará una trama Ethernet, necesitas examinar la tabla de direcciones MAC en un switch de Cisco.

El comando EXEC show mac address-table muestra el contenido de la tabla de direcciones MAC de un switch. Este comando lista todas las direcciones MAC actualmente conocidas por el switch. La salida incluye algunas direcciones MAC estáticas de sobrecarga utilizadas por el switch y cualquier dirección MAC configurada estáticamente, como las configuradas con la función de seguridad de puerto. El comando también lista todas las direcciones MAC aprendidas dinámicamente. Si solo quieres ver las entradas de la tabla de direcciones MAC aprendidas dinámicamente, simplemente utiliza el comando EXEC show mac address-table dynamic .

Al predecir las entradas de la tabla de direcciones MAC, necesita imaginar un marco enviado por un dispositivo a otro dispositivo en el otro lado de la LAN y luego determinar por qué puertos del switch pasaría el marco a medida que atraviesa la LAN.

Seguridad de puerto y filtrado

Al rastrear la ruta que toma un marco a través de los conmutadores LAN, recuerde que diferentes tipos de filtros pueden descartar marcos, incluso cuando todas las interfaces están activas. Por ejemplo, los conmutadores LAN pueden usar filtros llamados listas de control de acceso (ACL) que filtran en base a la dirección MAC de origen y destino, descartando algunos marcos. Además, los enrutadores pueden filtrar paquetes IP utilizando ACL de IP. En algunos casos, se puede detectar fácilmente que la seguridad del puerto ha actuado porque ha cerrado la interfaz.

Sin embargo, en otros casos, la seguridad del puerto deja la interfaz activa, pero simplemente descarta el tráfico ofensivo. Desde una perspectiva de resolución de problemas, una configuración de seguridad del puerto que deja la interfaz activa pero aún descarta tramas requiere que el ingeniero de red examine detenidamente el estado de la seguridad del puerto, en lugar de solo mirar las interfaces y la tabla de direcciones MAC. La seguridad del puerto permite tres modos de violación (shutdown, protect y restrict), pero solo la configuración predeterminada de shutdown hace que el switch deshabilite la interfaz por error.

Para encontrar evidencia de que la seguridad del puerto está activa y en funcionamiento, necesitaría ejecutar el comando show port-security interface. Además, la tabla de direcciones MAC proporciona algunas pistas de que la seguridad del puerto podría estar habilitada. Debido a que la seguridad del puerto gestiona las direcciones MAC, cualquier dirección MAC asociada con un puerto en el que la seguridad del puerto está habilitada aparece como direcciones MAC estáticas. Como resultado, el comando show mac address-table dynamic no lista las direcciones MAC de las interfaces en las que la seguridad del puerto está habilitada. Sin embargo, los comandos show mac address-table y show mac address-table static sí listan estas direcciones MAC estáticas.

Asegurando que las Interfaces de Acceso Correctas Estén en las VLANs Adecuadas

Para asegurar que cada interfaz de acceso ha sido asignada al VLAN correcto, los ingenieros simplemente necesitan determinar cuáles interfaces de switch son interfaces de acceso en lugar de interfaces troncales, determinar los VLAN de acceso asignados en cada interfaz y comparar la información con la documentación. Si es posible, comience utilizando los comandos show vlan y show vlan brief , ya que estos comandos show listan todos los VLAN conocidos y las interfaces de acceso asignadas a cada VLAN. Sin embargo, tenga en cuenta que estos dos comandos no listan troncales operativos. La salida sí lista todas las demás interfaces (aquellas que actualmente no están en trunking), sin importar si la interfaz está en un estado de funcionamiento o no.

Si los comandos show vlan y show interface switchport no están disponibles, el comando show mac address-table también puede ayudar a identificar la VLAN de acceso. Este comando lista la tabla de direcciones MAC, con cada entrada incluyendo una dirección MAC, interfaz e ID de VLAN. Si una interfaz está asignada a la VLAN incorrecta, use el subcomando de interfaz switchport access vlan vlan-id para asignar el ID de VLAN correcto.

VLANs de acceso no definidas

Los switches no reenvían tramas para VLANs que no están configuradas o que están configuradas pero deshabilitadas (apagadas). El comando show vlan siempre lista todas las VLANs conocidas por el switch, pero el comando show running-config no lo hace. Los switches configurados como servidores y clientes VTP no listan los comandos vlan en la configuración actual en ejecución ni en el archivo de configuración de inicio; en estos switches, debes usar el comando show vlan Los switches configurados para usar el modo transparente VTP, o que deshabilitan VTP, listan los comandos de configuración vlan en los archivos de configuración. (Utiliza el comando show vtp status para conocer el modo VTP actual de un switch.) Después de determinar que una VLAN no existe, el problema podría ser que simplemente necesita ser definida.

Desactivación de VLANs de acceso

Otro paso en la resolución de problemas es verificar que cada VLAN esté activa. El comando show vlan enumera uno de dos estados: active o act/lshut. Este último significa que la VLAN está apagada. Apagar una VLAN deshabilita la VLAN solo en ese switch, de modo que el switch no reenviará tramas en esa VLAN. Cisco IOS te ofrece dos métodos de configuración similares con los cuales deshabilitar (shutdown) y habilitar (no shutdown) una VLAN.

Verifique la lista de VLAN permitidas en ambos extremos de un troncal

Si las listas de VLAN permitidas en los extremos de un troncal no coinciden, el troncal no puede pasar tráfico para esa VLAN. La salida del comando show interfaces trunk en cada lado se verá completamente normal; solo puedes detectar el problema comparando las listas permitidas en ambos extremos del troncal.

Estados operativos de trunking incompatibles

Si el trunking está configurado correctamente, ambos switches reenvían tramas para el mismo conjunto de VLANs. Si los trunks están mal configurados, puede haber un par de resultados diferentes. En algunos casos, ambos switches concluyen que sus interfaces no están en trunking. En otros casos, un switch cree que su interfaz está haciendo trunking correctamente pero el otro switch no.

La configuración incorrecta más común — que resulta en que ambos switches no hagan trunking — utiliza el comando switchport mode dynamic auto en ambos switches en el enlace. La palabra “auto” nos hace pensar que el enlace haría trunking automáticamente, de hecho, ambos switches esperan a que el otro dispositivo en el enlace comience las negociaciones. Para detectar esta configuración incorrecta, usa el comando show interfaces switchport para verificar si ambos switches tienen el estado administrativo “auto” y que ambos operan como puertos de “acceso estático”.

Conclusión

Ahora conoces los comandos básicos de resolución de problemas para investigar los problemas que los administradores de red enfrentan todos los días. También puedes descargar la Cisco Commands Cheat Sheet para tener a mano una lista de referencia rápida de comandos de resolución de problemas y sus descripciones.