Comandos de solução de problemas da Cisco ao seu serviço

A resolução de problemas envolve três aspectos principais: prever o que pode acontecer, determinar as anomalias e investigar por que essas anomalias aconteceram. Muitos administradores de rede resolvem problemas de infraestrutura de rede analisando o caminho da Camada 3 através da rede, salto por salto, em ambas as direções. Esse processo ajuda a isolar o problema; uma vez que determinam qual salto no caminho da camada falha, eles podem então investigar mais a fundo os detalhes.

Existem várias ferramentas que podem ajudar na resolução de problemas de rede. Vamos analisá-las e ver quais problemas elas podem ajudar você a investigar.

Protocolo de Descoberta Cisco (CDP)O Cisco Discovery Protocol (CDP) descobre informações básicas sobre roteadores e switches vizinhos sem a necessidade de conhecer as senhas desses dispositivos de rede Cisco. Isso é possível porque roteadores e switches Cisco enviam rotineiramente mensagens CDP que anunciam informações sobre si mesmos. Portanto, o hardware Cisco que suporta CDP pode aprender sobre outros dispositivos simplesmente ouvindo essas mensagens.

O CDP descobre vários detalhes úteis dos dispositivos Cisco vizinhos:

• Identificador do dispositivo: O nome do host
• Lista de endereços: Endereços de rede e de ligação de dados
• Identificador de porta: A interface no dispositivo remoto que enviou o anúncio CDP
• Lista de capacidades: Tipo de dispositivo (por exemplo, roteador ou switch)
• Platform: A versão do IOS em execução no dispositivo

Para ver esta informação, utilize o comando show cdp:

      show cdp neighbors 
      

Este comando lista cada dispositivo vizinho, um por linha. Cada linha fornece as informações de topologia mais importantes sobre o vizinho: seu hostname (ID do dispositivo), a interface do dispositivo local e sua interface (sob o cabeçalho Porta). Este comando de interface também lista a plataforma, identificando o modelo específico do roteador ou switch vizinho.

Para obter detalhes adicionais, como o nome completo do modelo do switch e o endereço IP configurado no dispositivo vizinho, adicione o parâmetro detail da seguinte forma:

      show cdp neighbors detail
      

Claro, ser capaz de descobrir muitas informações sobre dispositivos vizinhos é uma exposição à segurança de rede. A Cisco recomenda desativar o CDP em qualquer interface IP que não necessite dele. Para alternar o CDP desligado e ligado em um dispositivo inteiro, use os comandos globais no cdp run e cdp run . Para alterná-lo em uma interface específica, use os subcomandos de interface no cdp enable e cdp enable .

Mostrar Versão

Você pode usar o comando Cisco IOS show version no modo exec privilegiado para verificar a versão do Cisco IOS e o número de lançamento do software IOS que está sendo executado nos dispositivos Cisco. Ele fornece as seguintes informações:

• Versão do software Cisco IOS — O nome e o número da versão do software da Cisco
• Tempo de atividade do switch — O período de tempo desde a última inicialização do dispositivo
• Trocar plataforma — Informações da plataforma de hardware, incluindo revisão e quantidade de RAM
• ID da placa do processador — O número de série do dispositivo

Ping

O propósito básico do ping é verificar a acessibilidade, o tempo de ida e volta (RTT) e a perda de pacotes. Para diagnosticar um dispositivo quanto a essas propriedades, precisamos especificar o endereço IP do dispositivo — por exemplo, ping 172.17.4.6. Este comando envia uma solicitação de eco do Protocolo de Mensagens de Controle da Internet (ICMP) e exibe um dos seguintes:

! — Um pacote de resposta de eco ICMP foi recebido dentro do período de tempo limite (2 segundos, por padrão)

. — Não foi recebida nenhuma resposta dentro do período de tempo limite.

Você pode fazer ping a partir da interface específica adicionando o parâmetro source com o nome da interface ao final do comando — por exemplo, ping 172.17.4.6 source Ethernet 0/0.

Traceroute

Traceroute é uma função que rastreia o caminho de uma rede para outra, ajudando assim a diagnosticar a origem de muitos problemas. O Traceroute funciona enviando ao host remoto uma sequência de três datagramas UDP com um TTL de 1 no cabeçalho IP; isso faz com que o datagrama expire ao atingir o primeiro roteador no caminho, fazendo com que o roteador responda com uma mensagem “ICMP time exceeded”. Em seguida, o traceroute envia um conjunto de três datagramas UDP com TTL 2, para que expirem ao atingir o segundo roteador, fazendo com que este responda com uma mensagem de tempo esgotado. Esse processo continua até que o pacote alcance o destino final e receba uma mensagem ICMP de “port unreachable”.

Portanto, você pode usar o traceroute para testar o caminho que os pacotes escolhem para se mover até seu destino.

Você também pode usar um comando traceroute estendido para testar a conectividade de uma fonte especificada — por exemplo, traceroute 10.10.60.6 source Loopback0.

Telnet

Quando você usa Telnet para se conectar a um dispositivo remoto, ele usa a porta padrão (23). Você pode usar qualquer número de porta de 1 a 65535 para testar se um dispositivo remoto está escutando a porta específica, por exemplo, telnet 172.17.5.74 8080.

Comando Show Interfaces e Códigos de Status da Interface

Os switches Cisco utilizam dois conjuntos diferentes de códigos de status de interface. Ambos os conjuntos de códigos de status podem determinar se uma interface está funcionando.

• Exibir interfaces e exibir descrição das interfaces — Esses comandos listam o status da linha e status do protocolo. Eles geralmente indicam se a Camada 1 está funcionando (status da linha) e se a Camada 2 está funcionando (status do protocolo). Para interfaces de switches LAN, ambos os códigos tipicamente têm o mesmo valor, seja “up” ou “down”.
• show interfaces status — Lista o status da interface. Este único código de status corresponde a diferentes combinações dos status de linha e protocolo, conforme mostrado na tabela abaixo. Por exemplo, o status da interface “conectada” corresponde a um estado up/up para os outros dois status.

Aqui está a lista de códigos de status e os problemas que eles podem indicar:

Comando de desligamento da Cisco

Quando você configura uma interface pela primeira vez no modo configure terminal, deve habilitar administrativamente a interface antes que o roteador possa usá-la para transmitir ou receber pacotes. Use o comando Cisco no shutdown para permitir que o software IOS utilize a interface.

Mais tarde, você pode querer desativar uma interface específica para realizar manutenção de hardware nela ou em um segmento de uma rede. Você também pode querer desativar uma interface se existir um problema em um segmento específico da rede e precisar isolar esse segmento do resto da rede. O comando shutdown administrativamente habilita uma interface. Para reiniciar a interface, use o comando no shutdown.

Exibir rota IP

A maioria das tabelas de roteamento contém uma combinação de rotas estáticas e dinâmicas. No entanto, antes que qualquer roteamento estático ou dinâmico possa ser utilizado, a tabela de roteamento deve conter as redes diretamente conectadas que são usadas para acessar redes remotas. Para verificar as rotas estáticas na tabela de roteamento, use o comando show ip route, especificando o endereço de rede, máscara de sub-rede e endereço IP do próximo roteador ou interface de saída.

Problemas Comuns em Dispositivos Cisco

Problemas de Velocidade e Duplex da Interface

Muitas interfaces Ethernet baseadas em UTP suportam múltiplas velocidades (full-duplex ou half-duplex) e auto-negociação padrão IEEE. Essas interfaces podem ser configuradas para usar uma velocidade específica usando o subcomando da interface speed {10 | 100 | 1000} e para usar um duplex específico usando o subcomando da interface duplex {half | full} . Se ambas as configurações forem aplicadas a uma interface, o switch ou roteador desabilita o processo de auto-negociação padrão IEEE nessa interface.

Tanto o comando show interfaces quanto o comando show interfaces status listam as configurações de velocidade e duplex de uma interface, mas apenas o comando show interfaces status indica como o switch determinou as configurações de velocidade e duplex; ele lista todas as configurações autonegociadas com um prefixo de a-. Por exemplo, a-full significa full-duplex como autonegociado, enquanto full significa full-duplex, mas configurado manualmente. Embora a autonegociação funcione bem, os valores padrão permitem a possibilidade de um problema chamado duplex mismatch, no qual os dispositivos consideram o link como ativo, mas um lado usaria half-duplex e o outro lado usaria full-duplex.

O número de erros de entrada e o número de erros CRC são apenas dois dos contadores na saída do comando show interfaces. O desafio é decidir quais contadores você precisa ver, quais indicam que um problema está ocorrendo e quais são normais e não representam preocupação. Aqui está a lista de contadores para ajudá-lo a começar a entender quais apontam para problemas e quais estão apenas contabilizando eventos normais que não são problemas:

• Runts: Quadros que não atendem ao requisito mínimo de tamanho de quadro (64 bytes, incluindo os 18 bytes do MAC de destino, MAC de origem e tipo). Runts podem ser causados por colisões.
• Gigantes: Quadros que excedem o tamanho máximo de quadro exigido (1518 bytes, incluindo os 18 bytes do MAC de destino, MAC de origem e tipo).
• Erros de Entrada: O número total de contadores, incluindo runts, giants, no buffer, CRC, frame, overrun e ignored counts.
• CRC: Quadros recebidos que não passaram na verificação de FCS; estes podem ser causados por colisões.
• Quadro: Quadros recebidos que possuem um formato ilegal (por exemplo, terminando com um byte parcial); podem ser causados por colisões.
• Saída de Pacotes: Número total de pacotes (quadros) encaminhados para fora da interface.
• Erros de Saída: Número total de pacotes (quadros) que a porta do switch tentou transmitir, mas para os quais ocorreu algum problema.
• Colisões: Contador de todas as colisões que ocorreram quando a interface estava transmitindo um quadro.
• Colisões Tardias: O subconjunto de todas as colisões que acontecem após a transmissão do 64º byte do quadro. Em uma LAN Ethernet que funciona corretamente, as colisões devem ocorrer dentro dos primeiros 64 bytes; colisões tardias hoje frequentemente indicam um descompasso de duplex.

Previsão do Conteúdo da Tabela de Endereços MAC

Os switches aprendem endereços MAC e, em seguida, usam as entradas na tabela de endereços MAC para tomar uma decisão de encaminhamento/filtragem para cada quadro. Para saber exatamente como um switch específico irá encaminhar um quadro Ethernet, você precisa examinar a tabela de endereços MAC em um switch Cisco.

O comando show mac address-table exec exibe o conteúdo da tabela de endereços MAC de um switch. Este comando lista todos os endereços MAC atualmente conhecidos pelo switch. A saída inclui alguns endereços MAC estáticos usados pelo switch e quaisquer endereços MAC configurados estaticamente, como aqueles configurados com o recurso de segurança de porta. O comando também lista todos os endereços MAC aprendidos dinamicamente. Se você deseja ver apenas as entradas da tabela de endereços MAC aprendidos dinamicamente, basta usar o comando show mac address-table dynamic EXEC.

Ao prever as entradas da tabela de endereços MAC, você precisa imaginar um quadro enviado por um dispositivo para outro dispositivo do outro lado da LAN e, em seguida, determinar por quais portas do switch o quadro entraria à medida que passa pela LAN.

Segurança de Porta e Filtragem

Ao rastrear o caminho que um quadro percorre através de switches de LAN, lembre-se de que diferentes tipos de filtros podem descartar quadros, mesmo quando todas as interfaces estão ativas. Por exemplo, switches de LAN podem usar filtros chamados listas de controle de acesso (ACLs) que filtram com base no endereço MAC de origem e destino, descartando alguns quadros. Além disso, roteadores podem filtrar pacotes IP usando ACLs de IP. Em alguns casos, você pode facilmente perceber que a segurança da porta tomou uma ação porque ela desativou a interface.

No entanto, em outros casos, a segurança da porta mantém a interface ativa, mas simplesmente descarta o tráfego ofensivo. Do ponto de vista da resolução de problemas, uma configuração de segurança da porta que mantém a interface ativa, mas ainda descarta quadros, exige que o engenheiro de rede observe atentamente o status da segurança da porta, em vez de apenas olhar para as interfaces e a tabela de endereços MAC. A segurança da porta permite três modos de violação (shutdown, protect e restrict), mas apenas a configuração padrão de shutdown faz com que o switch desabilite a interface por erro.

Para encontrar evidências de que a segurança da porta está ativa e em funcionamento, você precisaria executar o comando show port-security interface . Além disso, a tabela de endereços MAC fornece algumas pistas de que a segurança da porta pode estar habilitada. Como a segurança da porta gerencia os endereços MAC, quaisquer endereços MAC associados a uma porta na qual a segurança da porta está habilitada aparecem como endereços MAC estáticos. Como resultado, o comando show mac address-table dynamic não lista os endereços MAC das interfaces nas quais a segurança da porta está habilitada. No entanto, os comandos show mac address-table e show mac address-table static listam esses endereços MAC estáticos.

Garantindo que as Interfaces de Acesso Corretas Estejam nas VLANs Corretas

Para garantir que cada interface de acesso foi atribuída à VLAN correta, os engenheiros simplesmente precisam determinar quais interfaces de switch são interfaces de acesso em vez de interfaces trunk, determinar as VLANs de acesso atribuídas a cada interface e comparar as informações com a documentação. Se possível, comece utilizando os comandos show vlan e show vlan brief , pois esses comandos show listam todas as VLANs conhecidas e as interfaces de acesso atribuídas a cada VLAN. Esteja ciente, no entanto, de que esses dois comandos não listam trunks operacionais. A saída lista todas as outras interfaces (aquelas que atualmente não estão trunking), independentemente de a interface estar em um estado funcional ou não funcional.

Se os comandos show vlan e show interface switchport não estiverem disponíveis, o comando show mac address-table também pode ajudar a identificar a VLAN de acesso. Este comando lista a tabela de endereços MAC, com cada entrada incluindo um endereço MAC, interface e ID da VLAN. Se uma interface estiver atribuída à VLAN errada, use o subcomando da interface switchport access vlan vlan-id para atribuir o ID da VLAN correta.

VLANs de acesso não definidas

Switches não encaminham quadros para VLANs que não estão configuradas ou que estão configuradas, mas desativadas (desligadas). O comando show vlan sempre lista todas as VLANs conhecidas pelo switch, mas o comando show running-config não o faz. Switches configurados como servidores e clientes VTP não listam os comandos vlan na configuração atual em execução ou no arquivo de configuração inicial; nesses switches, você deve usar o comando show vlan Switches configurados para usar o modo transparente VTP, ou que desativam o VTP, listam os comandos de configuração vlan nos arquivos de configuração. (Use o comando show vtp status para saber o modo VTP atual de um switch.) Depois de determinar que uma VLAN não existe, o problema pode ser que a VLAN simplesmente precisa ser definida.

Desativação de VLANs de acesso

Outro passo na resolução de problemas é verificar se cada VLAN está ativa. O comando show vlan lista um de dois estados: active ou act/lshut. Este último significa que a VLAN está desativada. Desativar uma VLAN desabilita a VLAN apenas naquele switch, de modo que o switch não encaminhará quadros nessa VLAN. O Cisco IOS oferece dois métodos de configuração semelhantes para desativar (shutdown) e ativar (no shutdown) uma VLAN.

Verifique a Lista de VLANs Permitidas em Ambas as Extremidades de um Tronco

Se as listas de VLANs permitidas nas extremidades de um tronco não coincidirem, o tronco não poderá transmitir tráfego para essa VLAN. A saída do comando show interfaces trunk em cada lado parecerá completamente normal; você só pode identificar o problema comparando as listas permitidas em ambas as extremidades do tronco.

Estados Operacionais de Trunking Incompatíveis

Se o trunking estiver configurado corretamente, ambos os switches encaminham quadros para o mesmo conjunto de VLANs. Se os trunks estiverem mal configurados, podem ocorrer alguns resultados diferentes. Em alguns casos, ambos os switches concluem que suas interfaces não estão em trunking. Em outros casos, um switch acredita que sua interface está fazendo trunking corretamente, mas o outro switch não.

A configuração incorreta mais comum — que resulta em ambos os switches não realizarem trunking — utiliza o comando switchport mode dynamic auto em ambos os switches no link. A palavra “auto” nos faz pensar que o link faria trunking automaticamente, na verdade ambos os switches esperam que o outro dispositivo no link inicie as negociações. Para identificar essa configuração incorreta, use o comando show interfaces switchport para verificar se ambos os switches têm o estado administrativo “auto” e que ambos operam como portas de “acesso estático”.

Conclusão

Agora você conhece os comandos básicos de solução de problemas para investigar questões que administradores de rede enfrentam todos os dias. Você também pode baixar a Cisco Commands Cheat Sheet para ter uma lista de referência rápida de comandos de solução de problemas e suas descrições sempre à mão.