Comandi di risoluzione dei problemi Cisco al tuo servizio

La risoluzione dei problemi riguarda tre aspetti fondamentali: prevedere ciò che può accadere, determinare le anomalie e indagare sul perché si siano verificate tali anomalie. Molti amministratori di rete risolvono i problemi dell'infrastruttura di rete analizzando il percorso del Livello 3 attraverso la rete, passo dopo passo, in entrambe le direzioni. Questo processo li aiuta a isolare il problema; una volta determinato quale passaggio nel percorso del livello fallisce, possono poi approfondire i dettagli.

Ci sono vari strumenti che possono aiutare nella risoluzione dei problemi di rete. Esaminiamoli e vediamo quali problemi possono aiutarti a investigare.

Cisco Discovery Protocol (CDP)

The Cisco Discovery Protocol (CDP) discovers basic information about neighbor routers and switches without needing to know the passwords for those Cisco network devices. This is possible because Cisco routers and switches routinely send out CDP messages that announce information about themselves. Therefore, Cisco hardware that supports CDP can learn about other devices by listening for these messages. CDP discovers several useful details from neighboring Cisco devices:

• Identificativo del dispositivo: Il nome host
• Elenco degli indirizzi: Indirizzi di rete e collegamento dati
• Identificatore della porta: L'interfaccia sul dispositivo remoto che ha inviato la pubblicità CDP
• Elenco delle capacità: Tipo di dispositivo (ad esempio, router o switch)
• Platform: La versione IOS in esecuzione sul dispositivo

Per vedere queste informazioni, usa il comando show cdp:

      show cdp neighbors 
      

Questo comando elenca ogni dispositivo vicino, uno per linea. Ogni linea fornisce le informazioni topologiche più importanti sul vicino: il suo hostname (ID dispositivo), l'interfaccia del dispositivo locale e la sua interfaccia (sotto l'intestazione Porta). Questo comando dell'interfaccia elenca anche la piattaforma, identificando il modello specifico del router o switch vicino.

Per ottenere dettagli aggiuntivi, come il nome completo del modello dello switch e l'indirizzo IP configurato sul dispositivo vicino, aggiungi il parametro detail come segue:

      show cdp neighbors detail
      

Ovviamente, essere in grado di scoprire molte informazioni sui dispositivi vicini è un'esposizione alla sicurezza della rete. Cisco raccomanda di disabilitare CDP su qualsiasi interfaccia IP che non ne abbia bisogno. Per attivare e disattivare CDP su un intero dispositivo, utilizzare i comandi globali no cdp run e cdp run . Per attivarlo su una specifica interfaccia, utilizzare i sottocomandi dell'interfaccia no cdp enable e cdp enable .

Mostra Versione

Puoi utilizzare il comando Cisco IOS show version nella modalità exec privilegiata per verificare la versione e il numero di rilascio del software IOS in esecuzione sui dispositivi Cisco. Esso fornisce le seguenti informazioni:

• Versione del software Cisco IOS — Il nome e il numero di versione del software Cisco
• Tempo di attività dello switch — Il tempo trascorso dall'ultimo avvio del dispositivo
• Cambia piattaforma — Informazioni sulla piattaforma hardware, inclusa la revisione e la quantità di RAM
• ID della scheda processore — Il numero di serie del dispositivo

Ping

Lo scopo principale del ping è verificare la raggiungibilità, il tempo di andata e ritorno (RTT) e la perdita di pacchetti. Per diagnosticare un dispositivo per queste proprietà, dobbiamo specificare l'indirizzo IP del dispositivo — ad esempio, ping 172.17.4.6. Questo comando invia una richiesta di echo del Protocollo di Controllo dei Messaggi Internet (ICMP) e visualizza uno dei seguenti:

! — Un pacchetto di risposta echo ICMP è stato ricevuto entro il periodo di timeout (2 secondi, per impostazione predefinita)

. — Non è stata ricevuta alcuna risposta entro il periodo di timeout.

È possibile effettuare un ping dall'interfaccia specifica aggiungendo il parametro source con il nome dell'interfaccia alla fine del comando — ad esempio, ping 172.17.4.6 source Ethernet 0/0.

Traceroute

Traceroute è una funzione che traccia il percorso da una rete all'altra, quindi può aiutare a diagnosticare l'origine di molti problemi. Traceroute funziona inviando a un host remoto una sequenza di tre datagrammi UDP con un TTL di 1 nell'intestazione IP; ciò causa il timeout del datagramma quando raggiunge il primo router sul percorso, facendo sì che il router risponda con un messaggio “ICMP time exceeded”. Quindi traceroute invia un set di tre datagrammi UDP con TTL 2, così che scadano quando raggiungono il secondo router, facendolo rispondere con un messaggio di timeout. Questo processo continua fino a quando il pacchetto raggiunge la destinazione finale e riceve un messaggio ICMP “port unreachable”.

Pertanto, puoi utilizzare traceroute per testare il percorso che i pacchetti scelgono per raggiungere la loro destinazione.

Puoi anche utilizzare un comando traceroute esteso per testare la connettività da una fonte specificata — per esempio, traceroute 10.10.60.6 source Loopback0.

Telnet

Quando si utilizza Telnet per connettersi a un dispositivo remoto, viene utilizzata la porta predefinita (23). È possibile utilizzare qualsiasi numero di porta da 1 a 65535 per testare se un dispositivo remoto è in ascolto sulla porta specifica, ad esempio, telnet 172.17.5.74 8080.

Comando Show Interfaces e codici di stato dell'interfaccia

Gli switch Cisco utilizzano due diversi insiemi di codici di stato dell'interfaccia. Entrambi gli insiemi di codici di stato possono determinare se un'interfaccia è funzionante.

• Mostra interfacce e mostra la descrizione delle interfacce — Questi comandi elencano lo stato della linea e stato del protocollo. Generalmente indicano se il Livello 1 è funzionante (stato della linea) e se il Livello 2 è funzionante (stato del protocollo). Per le interfacce degli switch LAN, entrambi i codici tipicamente hanno lo stesso valore, che sia “up” o “down”.
• mostra lo stato delle interfacce — Elenca lo stato dell'interfaccia. Questo singolo codice di stato corrisponde a diverse combinazioni dello stato della linea e dello stato del protocollo, come mostrato nella tabella sottostante. Ad esempio, lo stato dell'interfaccia “connesso” corrisponde a uno stato up/up per gli altri due stati.

Ecco l'elenco dei codici di stato e dei problemi che possono indicare:

Comando di spegnimento Cisco

Quando si configura un'interfaccia per la prima volta in modalità configure terminal, è necessario abilitare amministrativamente l'interfaccia prima che il router possa utilizzarla per trasmettere o ricevere pacchetti. Utilizzare il comando Cisco no shutdown per consentire al software IOS di utilizzare l'interfaccia.

In seguito, potresti voler disabilitare un'interfaccia specifica per eseguire la manutenzione hardware su di essa o su un segmento di una rete. Potresti anche voler disabilitare un'interfaccia se esiste un problema su un segmento di rete specifico e devi isolare quel segmento dal resto della rete. Il comando shutdown consente di disabilitare amministrativamente un'interfaccia. Per riavviare l'interfaccia, utilizza il comando no shutdown.

Mostra percorso IP

La maggior parte delle tabelle di routing contengono una combinazione di route statiche e dinamiche. Tuttavia, prima che qualsiasi routing statico o dinamico possa essere utilizzato, la tabella di routing deve contenere le reti direttamente connesse che sono utilizzate per accedere alle reti remote. Per verificare le route statiche nella tabella di routing, utilizzare il comando show ip route, specificando l'indirizzo di rete, la maschera di sottorete e l'indirizzo IP del router di next hop o dell'interfaccia di uscita.

Problemi comuni sui dispositivi Cisco

Problemi di velocità e duplex dell'interfaccia

Molte interfacce Ethernet basate su UTP supportano velocità multiple (full-duplex o half-duplex) e l'auto-negoziazione standard IEEE. Queste interfacce possono essere configurate per utilizzare una velocità specifica usando il sottocomando dell'interfaccia speed {10 | 100 | 1000} e per utilizzare un duplex specifico usando il sottocomando dell'interfaccia duplex {half | full} . Se entrambi sono configurati per un'interfaccia, lo switch o il router disabilita il processo di auto-negoziazione standard IEEE su quell'interfaccia.

Entrambi i comandi show interfaces e show interfaces status elenca le impostazioni di velocità e duplex di un'interfaccia, ma solo il comando show interfaces status indica come lo switch ha determinato le impostazioni di velocità e duplex; elenca tutte le impostazioni autonegoziate con un prefisso di a-. Ad esempio, a-full significa full-duplex come autonegoziato, mentre full significa full-duplex ma configurato manualmente. Sebbene l'autonegoziazione funzioni bene, i valori predefiniti consentono la possibilità di un problema chiamato duplex mismatch, in cui i dispositivi considerano il collegamento attivo ma un lato utilizzerebbe half-duplex e l'altro full-duplex.

Il numero di errori di input e il numero di errori CRC sono solo due dei contatori nell'output del comando show interfaces. La sfida consiste nel decidere quali contatori è necessario visualizzare, quali indicano che si sta verificando un problema e quali sono normali e non preoccupanti. Ecco l'elenco dei contatori per aiutarti a iniziare a capire quali indicano problemi e quali stanno semplicemente contando eventi normali che non sono problematici:

• Runts: Frame che non soddisfano il requisito minimo di dimensione del frame (64 byte, inclusi i 18 byte del MAC di destinazione, MAC sorgente e tipo). I Runts possono essere causati da collisioni.
• Giganti: Frame che superano la dimensione massima richiesta per un frame (1518 byte, inclusi i 18 byte del MAC di destinazione, MAC di origine e tipo).
• Errori di input: Il numero totale di contatori, inclusi runts, giants, no buffer, CRC, frame, overrun e conteggi ignorati.
• CRC: Frame ricevuti che non hanno superato il controllo FCS; possono essere causati da collisioni.
• Frame: Frame ricevuti che presentano un formato illegale (ad esempio, che terminano con un byte parziale); possono essere causati da collisioni.
• Output pacchetti: Numero totale di pacchetti (frame) inoltrati fuori dall'interfaccia.
• Errori di uscita: Numero totale di pacchetti (frame) che la porta dello switch ha tentato di trasmettere ma per i quali si è verificato qualche problema.
• Collisioni: Contatore di tutte le collisioni che si sono verificate quando l'interfaccia stava trasmettendo un frame.
• Collisioni tarde: Il sottoinsieme di tutte le collisioni che avvengono dopo che il 64° byte del frame è stato trasmesso. In una LAN Ethernet che funziona correttamente, le collisioni dovrebbero verificarsi entro i primi 64 byte; le collisioni tarde oggi spesso indicano un mismatch di duplex.

Prevedere il contenuto della Tabella degli indirizzi MAC

Gli switch apprendono gli indirizzi MAC e poi utilizzano le voci nella tabella degli indirizzi MAC per prendere una decisione di inoltro/filtraggio per ogni frame. Per sapere esattamente come uno switch particolare inoltrerà un frame Ethernet, è necessario esaminare la tabella degli indirizzi MAC su uno switch Cisco.

Il comando show mac address-table exec mostra il contenuto della tabella degli indirizzi MAC di uno switch. Questo comando elenca tutti gli indirizzi MAC attualmente noti allo switch. L'output include alcuni indirizzi MAC statici di overhead utilizzati dallo switch e qualsiasi indirizzo MAC configurato staticamente, come quelli configurati con la funzionalità di sicurezza delle porte. Il comando elenca anche tutti gli indirizzi MAC appresi dinamicamente. Se vuoi vedere solo le voci della tabella degli indirizzi MAC appresi dinamicamente, usa semplicemente il comando show mac address-table dynamic EXEC.

Quando si prevedono le voci della tabella degli indirizzi MAC, è necessario immaginare un frame inviato da un dispositivo ad un altro dispositivo dall'altra parte della LAN e poi determinare quali porte dello switch il frame attraverserebbe mentre passa attraverso la LAN.

Sicurezza delle porte e filtraggio

Quando si traccia il percorso che un frame percorre attraverso gli switch LAN, ricordare che diversi tipi di filtri possono scartare i frame, anche quando tutte le interfacce sono attive. Ad esempio, gli switch LAN possono utilizzare filtri chiamati liste di controllo di accesso (ACL) che filtrano in base all'indirizzo MAC sorgente e destinazione, scartando alcuni frame. Inoltre, i router possono filtrare i pacchetti IP utilizzando ACL IP. In alcuni casi, è possibile capire facilmente che la sicurezza della porta ha preso provvedimenti perché ha disattivato l'interfaccia.

Tuttavia, in altri casi, la sicurezza della porta lascia l'interfaccia attiva, ma semplicemente scarta il traffico non conforme. Da un punto di vista della risoluzione dei problemi, una configurazione di sicurezza della porta che lascia l'interfaccia attiva ma scarta comunque i frame richiede all'ingegnere di rete di esaminare attentamente lo stato della sicurezza della porta, piuttosto che guardare solo le interfacce e la tabella degli indirizzi MAC. La sicurezza della porta consente tre modalità di violazione (shutdown, protect e restrict), ma solo l'impostazione predefinita di shutdown fa sì che lo switch disabiliti l'interfaccia con errore.

Per trovare prove che la sicurezza delle porte sia attiva e funzionante, è necessario eseguire il comando show port-security interface . Inoltre, la tabella degli indirizzi MAC fornisce alcuni indizi che la sicurezza delle porte potrebbe essere abilitata. Poiché la sicurezza delle porte gestisce gli indirizzi MAC, qualsiasi indirizzo MAC associato a una porta su cui è abilitata la sicurezza delle porte appare come indirizzo MAC statico. Di conseguenza, il comando show mac address-table dynamic non elenca gli indirizzi MAC delle interfacce su cui è abilitata la sicurezza delle porte. Tuttavia, i comandi show mac address-table e show mac address-table static elencheranno questi indirizzi MAC statici.

Assicurarsi che le Interfacce di Accesso Corrette Siano nelle VLAN Giuste

Per assicurarsi che ogni interfaccia di accesso sia stata assegnata al VLAN corretto, gli ingegneri devono semplicemente determinare quali interfacce degli switch sono interfacce di accesso invece di interfacce trunk, determinare i VLAN di accesso assegnati a ciascuna interfaccia e confrontare le informazioni con la documentazione. Se possibile, iniziare utilizzando i comandi show vlan e show vlan brief , poiché questi comandi show elencheranno tutti i VLAN conosciuti e le interfacce di accesso assegnate a ciascun VLAN. Tuttavia, è importante essere consapevoli del fatto che questi due comandi non elencano i trunk operativi. L'output elenca tutte le altre interfacce (quelle che attualmente non stanno eseguendo il trunking), indipendentemente dal fatto che l'interfaccia sia in uno stato funzionante o non funzionante.

Se i comandi show vlan e show interface switchport non sono disponibili, il comando show mac address-table può anche aiutare a identificare la VLAN di accesso. Questo comando elenca la tabella degli indirizzi MAC, con ogni voce che include un indirizzo MAC, interfaccia e ID VLAN. Se un'interfaccia è assegnata alla VLAN sbagliata, utilizzare il subcomando dell'interfaccia switchport access vlan vlan-id per assegnare l'ID VLAN corretto.

VLAN di Accesso non definite

Gli switch non inoltrano frame per VLAN che non sono configurate o che sono configurate ma disabilitate (spente). Il comando show vlan elenca sempre tutte le VLAN conosciute dallo switch, ma il comando show running-config non lo fa. Gli switch configurati come server VTP e clienti non elencano i comandi vlan nella configurazione corrente in esecuzione o nel file di configurazione iniziale; su questi switch, è necessario utilizzare il comando show vlan Gli switch configurati per utilizzare la modalità VTP trasparente, o che disabilitano il VTP, elencano i comandi di configurazione vlan nei file di configurazione. (Utilizzare il comando show vtp status per conoscere la modalità VTP corrente di uno switch.) Dopo aver determinato che una VLAN non esiste, il problema potrebbe essere che la VLAN ha semplicemente bisogno di essere definita.

Disabilitazione delle VLAN di Accesso

Un altro passo nella risoluzione dei problemi consiste nel verificare che ogni VLAN sia attiva. Il comando show vlan elenca uno dei due stati: active o act/lshut. Quest'ultimo indica che la VLAN è disattivata. Disattivare una VLAN disabilita la VLAN su quello switch solamente, in modo che lo switch non inoltrerà frame in quella VLAN. Cisco IOS offre due metodi di configurazione simili con cui disabilitare (shutdown) e abilitare (no shutdown) una VLAN.

Controlla l'elenco delle VLAN consentite su entrambe le estremità di un trunk

Se le liste VLAN consentite alle estremità di un trunk non corrispondono, il trunk non può trasmettere traffico per quella VLAN. L'output del comando show interfaces trunk da entrambi i lati sembrerà completamente normale; è possibile individuare il problema solo confrontando le liste consentite su entrambe le estremità del trunk.

Stati operativi di trunking non corrispondenti

Se il trunking è configurato correttamente, entrambi gli switch inoltrano frame per lo stesso set di VLAN. Se i trunk sono configurati in modo errato, possono verificarsi diversi risultati. In alcuni casi, entrambi gli switch concludono che le loro interfacce non effettuano il trunking. In altri casi, uno switch ritiene che la sua interfaccia stia eseguendo correttamente il trunking mentre l'altro switch non lo ritiene.

La configurazione errata più comune — che porta entrambi gli switch a non eseguire il trunking — utilizza il comando switchport mode dynamic auto su entrambi gli switch nel collegamento. La parola “auto” ci fa pensare che il collegamento eseguirebbe il trunking automaticamente, in realtà entrambi gli switch attendono che l'altro dispositivo nel collegamento inizi le negoziazioni. Per individuare questa configurazione errata, utilizza il comando show interfaces switchport per verificare se entrambi gli switch hanno lo stato amministrativo “auto” e che entrambi operino come porte di “accesso statico”.

Conclusione

Ora conosci i comandi di base per la risoluzione dei problemi per indagare sulle questioni che gli amministratori di rete affrontano ogni giorno. Puoi anche scaricare il Cisco Commands Cheat Sheet per avere a portata di mano un elenco di riferimento rapido dei comandi di risoluzione dei problemi e delle loro descrizioni.