De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document worden verschillende tools beschreven die beschikbaar zijn voor probleemoplossing bij Nexus-producten die u kunt gebruiken om een probleem te diagnosticeren en op te lossen.
Het is belangrijk om te begrijpen welke hulpmiddelen beschikbaar zijn en in welk scenario u hen voor maximumwinst zou gebruiken. In feite is een bepaald gereedschap soms niet haalbaar, simpelweg omdat het is ontworpen om aan iets anders te werken.
Deze tabel compileert de verschillende tools om problemen op te lossen op het Nexus platform en hun mogelijkheden. Zie voor meer informatie en CLI-voorbeelden het gedeelte Nexus Tools.
TOOLS |
FUNCTIE |
VOORBEELD VAN GEBRUIKSCASES |
Voordelen |
NADELEN |
PERSISTENTIE |
UITGEVOERD VLIEGTUIG |
CLI-OPDRACHTEN GEBRUIKT |
Ethanalyzer |
Leg verkeer vast dat bestemd is voor of afkomstig is van de CPU |
Problemen met verkeerstraagheid, latentie en congestie |
Uitstekend voor traagheid, congestie en latency problemen |
Meestal alleen controle vliegtuig verkeer, tarief beperkt |
N.v.t. |
Besturingsplane. Kan in sommige scenario's voor gegevensvlak worden gebruikt (SPAN naar CPU) |
#ethanalyzer lokale interface-inband #ethanalyzer Weergavefilter voor lokale interface [interface-ID] [WORD] voorbeeld: #ethanalyzer lokale interface Ethernet 6/4 display filter ICMP |
OVERSPANNING | Leg een hoop pakketten vast en spiegel deze |
Mislukte |
Uitstekend voor intermitterend verkeersverlies |
Vereist extern apparaat dat snuffelsoftware draait Vereist TCAM-bronnen |
SPAN-sessie moet worden geconfigureerd en ingeschakeld/uitgeschakeld |
Controle + gegevens |
#monitor sessie [#] #description [NAME] #source interface [poort-ID] #destination interface [poort-ID] #no gesloten |
DMirror |
Leg alleen verkeer vast dat is bestemd voor of afkomstig is van de CPU voor Broadcom Nexus-apparaten |
Problemen met verkeerstraagheid, latentie en congestie |
Uitstekend voor traagheid, congestie en latency problemen |
Alleen voor Broadcom Nexus-apparaten. Snelheid beperkt (CloudScale Nexus 9k heeft wel SPAN-naar-CPU) |
N.v.t. |
Besturingsplane. Kan in sommige scenario's voor gegevensvlak worden gebruikt |
Afhankelijk van het platform, zie |
ELAM |
Leg één pakket vast dat de Nexus-switch ingaat [of uitstroomt, indien Nexus 7K] dit wel doet |
Controleer of het pakket de Nexus bereikt, controleer de doorsturen beslissingen, controleer het pakket op wijzigingen, controleer de interface/VLAN van het pakket, enzovoort |
Uitstekend voor pakketstroom en doorsturen problemen. Niet opdringerig |
Vereist een diepgaand begrip van de hardware. Maakt gebruik van unieke triggermechanismen die architectuurspecifiek zijn. Alleen nuttig als u weet welk verkeer u wilt onderzoeken |
N.v.t. |
Controle + gegevens |
# attach module [MODULE NUMBER] # debug platform intern <> |
Nexus 9k pakkettracer |
Pad van het pakket detecteren |
Connectiviteitsproblemen en pakketverlies |
Biedt teller voor stroomstatistieken nuttig voor intermitterend/volledig verlies. Perfect voor lijnkaarten zonder TCAM inkervingen |
Kan ARP-verkeer niet opnemen. Alleen werken voor Nexus 9k |
N.v.t. |
Gegevens + controle |
# test packet-tracer src_IP [SOURCE IP] dst_IP [BESTEMMING IP] # test packet-tracer start # test packet-tracer stop # test packet-tracer show |
Traceroute |
Detecteer het pad van het pakket met betrekking tot L3 hop |
Mislukte pings, kan host/bestemming/internet niet bereiken, enzovoort |
Detecteert de verschillende hops op het pad om L3-storingen te isoleren. |
Geeft alleen aan waar de L3-grens is verbroken (identificeert de kwestie zelf niet) |
N.v.t. |
Gegevens + controle |
# traceroute [BESTEMMING IP] De argumenten omvatten: poort, poortnummer, bron, interface, vrf, bron-interface |
Ping |
Connectiviteit tussen twee punten in een netwerk testen |
Bereikbaarheid tussen apparaten testen |
Een snel en eenvoudig hulpmiddel om connectiviteit te testen |
Identificeert alleen of de host bereikbaar is of niet |
N.v.t. |
Gegevens + controle |
# ping [BESTEMMING IP] De argumenten omvatten: telling, pakketgrootte, broninterface, interval, multicast, loopback, timeout |
PAL/RACL/VACL |
Leg verkeer in/uit een bepaalde poort of VLAN |
Intermitterend pakketverlies tussen hosts, bevestig als pakketten aankomen/vertrekken bij de Nexus, enzovoort |
Uitstekend voor intermitterend verkeersverlies |
Vereist TCAM-bronnen. Voor sommige modules is handmatig TCAM-carving vereist |
Persistent (toegepast op |
Gegevens + controle |
# ip access-list [ACL NAME] # ip poort access-groep [ACL NAME] # ip access-groep [ACL NAME] De argumenten omvatten: ontkennen, fragmenten, nee, vergunning, opmerking, tonen, statistieken, einde, uitgang, pop, duw, waar |
LogFlash |
Hierop worden historische gegevens voor de switch wereldwijd opgeslagen, zoals logboekaccounts, crashbestanden en gebeurtenissen, ongeacht het opnieuw laden van het apparaat |
Plotseling apparaat herladen / afsluiten, op elk moment dat een apparaat wordt herladen, logbestand flash-gegevens biedt enige informatie die nuttig kan zijn in analyse |
Informatie over het opnieuw laden van het apparaat (permanente opslag) blijft behouden |
Extern op Nexus 7K = Moet worden geïnstalleerd/geïntegreerd op het supervisor-platform voor deze logbestanden die moeten worden verzameld (con is niet van toepassing op 3K/9K aangezien logflash een verdeling van het interne opslagapparaat is) |
Persistent opnieuw laden |
Gegevens + controle |
# dir logflash: |
OBFL |
Slaat historische gegevens op een specifieke module zoals storingen en milieu-informatie |
Plotselinge apparaat herladen / afsluiten, op elk moment dat een apparaat wordt herladen, logbestand flash-gegevens biedt enige informatie die nuttig kan zijn |
Informatie over het opnieuw laden van het apparaat (permanente opslag) blijft behouden |
Ondersteunt een beperkt aantal lees- en schrijfbewerkingen |
Persistent opnieuw laden |
Gegevens + controle |
# toont vastlegging aan boord module [#] De argumenten omvatten: boot-uptime, kaart-boot-geschiedenis, kaart-first-power-on, contrasistans, apparaat-versie, endtime, milieu-geschiedenis, fout-stats, uitzondering-log, intern, interrupt-stats, obfl-geschiedenis, start-time, status |
Geschiedenis van gebeurtenissen |
Wanneer u informatie nodig hebt voor een specifiek proces dat momenteel wordt uitgevoerd |
Elk proces in nexus heeft zijn eigen gebeurtenisgeschiedenissen zoals CDP, STP, OSPF, EIGRP, BGP, vPC, LACP, etc. |
Probleemoplossing voor een specifiek proces op Nexus |
Informatie gaat verloren wanneer het apparaat opnieuw wordt geladen (niet-persistent) |
niet persistent |
Gegevens + controle |
# toon [PROCES] interne gebeurtenisgeschiedenis [ARGUMENT] De argumenten omvatten: Aangrenzing, cli, gebeurtenis, overstroming, ha, hallo, ldp, lsa, msgs, objstore, herverdeling, rib, segment, spf-trigger, statistiek, |
Debugs |
Wanneer u meer gedetailleerde real-time/live-informatie nodig hebt voor een specifiek proces |
Debug op elk proces in nexus kan worden gedaan zoals CDP, STP, OSPF, IGRP, BGP, vPC, LACP enzovoort |
Probleemoplossing voor een specifiek proces dat op Nexus wordt uitgevoerd in real-time voor meer granulariteit |
Kan van invloed zijn op netwerkprestaties |
niet persistent |
Gegevens + controle |
# debug proces [PROCESSING] voorbeeld: # debug ip ospf [?] |
GOUD |
Biedt opstart, uitvoertijd en diagnostiek op aanvraag voor hardwarecomponenten (zoals I/O en Supervisor modules) |
Test hardware zoals USB, Bootflash, OBFL, ASIC-geheugen, PCIE, Port loopback, NVRAM, enzovoort |
Kan fouten in de hardware detecteren en de nodige corrigerende maatregelen nemen alleen bij release 6(2)8 en hoger |
Detecteert alleen hardwareproblemen |
niet persistent |
N.v.t. |
# toon diagnostische inhoudsmodule alle # toon diagnostische beschrijving module [#] test alles |
EEM |
Bewaak gebeurtenissen op het apparaat en neem de nodige maatregelen |
Elke apparaatactiviteit waarvoor enige actie/tijdelijke oplossing/kennisgeving nodig is, zoals het uitschakelen van de interface, ventilatorstoring, CPU-gebruik, enzovoort |
Ondersteunt Python-scripts |
U moet over netwerkbeheerdersrechten beschikken om EEM te kunnen configureren |
EEM script en trigger bevinden zich in configuratie | N.v.t. |
Varieert, zie |
Als u meer informatie over verschillende opdrachten en de syntaxis of opties ervan nodig hebt, raadpleegt u Cisco Nexus 9000 Series Switches - Command References - Cisco.
Ethanalyzer is een NX-OS-tool die is ontworpen om pakketverkeer via CPU's op te nemen. Alles wat de CPU raakt, of er nu toegang of uitgang is, kan met deze tool worden opgenomen. Het is gebaseerd op de veelgebruikte opensource-netwerkprotocolanalyzer Wireshark. Raadpleeg de Ethanalyzer op de Nexus 7000 Handleiding voor probleemoplossing voor meer informatie over deze tool
Het is belangrijk om op te merken dat Ethanalyzer in het algemeen al het verkeer van en naar de supervisor opneemt. Dat wil zeggen dat het geen interfacespecifieke opnamen ondersteunt. Er zijn specifieke interfaceverbeteringen beschikbaar voor bepaalde platforms in recentere codepunten. Ethanalyzer neemt ook alleen verkeer op dat via CPU is geschakeld, en niet via hardware. U kunt bijvoorbeeld verkeer opnemen via de inband-interface, de beheerinterface of een voorpaneelpoort (indien ondersteund):
Nexus9000_A(config-if-range)# ethanalyzer local interface inband Capturing on inband 2020-02-18 01:40:55.183177 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:40:55.184031 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184096 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184147 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184190 f8:b7:e2:49:2d:f3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.493543 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:40:56.365722 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xc82a6d3 2020-02-18 01:40:56.469094 f8:b7:e2:49:2d:b4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:57.202658 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:40:57.367890 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xc82a6d3 10 packets captured Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt Capturing on mgmt0 2020-02-18 01:53:07.055100 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:09.061398 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:11.081596 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:13.080874 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:15.087361 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:17.090164 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:19.096518 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:20.391215 00:be:75:5b:d9:00 -> 01:00:0c:cc:cc:cc CDP Device ID: Nexus9000_A(FDO21512ZES) Port ID: mgmt0 2020-02-18 01:53:21.119464 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:23.126011 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 10 packets captured
Nexus9000-A# ethanalyzer local interface front-panel eth1/1
Capturing on 'Eth1-1'
1 2022-07-15 19:46:04.698201919 28:ac:9e:ad:5c:b8 → 01:80:c2:00:00:00 STP 53 RST. Root = 32768/1/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
2 2022-07-15 19:46:04.698242879 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/1/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
3 2022-07-15 19:46:04.698314467 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/10/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
4 2022-07-15 19:46:04.698386112 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/20/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
5 2022-07-15 19:46:04.698481274 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/30/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
6 2022-07-15 19:46:04.698555784 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/40/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
7 2022-07-15 19:46:04.698627624 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/50/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
Deze output toont weinig van de berichten die met Ethanalyzer kunnen worden gevangen.
Opmerking: standaard neemt ethanalyzer maximaal 10 pakketten op. U kunt deze opdracht echter gebruiken om de CLI te vragen pakketten voor onbepaalde tijd op te nemen. Gebruik CTRL+C om de opnamemodus te verlaten.
Nexus9000_A(config-if-range)# ethanalyzer local interface inband limit-captured-frames 0 Capturing on inband 2020-02-18 01:43:30.542588 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542626 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542873 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542892 f8:b7:e2:49:2d:f3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.596841 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:43:31.661089 f8:b7:e2:49:2d:b2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.661114 f8:b7:e2:49:2d:b3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.661324 f8:b7:e2:49:2d:b5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.776638 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:43:33.143814 f8:b7:e2:49:2d:b4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.596810 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:43:33.784099 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:43:33.872280 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.872504 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.872521 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 15 packets captured
U kunt filters ook gebruiken met Ethanalyzer om zich te richten op specifiek verkeer. Er zijn twee soorten filters die u kunt gebruiken met ethanalzyer, ze staan bekend als Capture filters en Display filters. Een opnamefilter neemt alleen het verkeer op dat voldoet aan de criteria die in het opnamefilter zijn gedefinieerd. Een weergavefilter vangt nog steeds al het verkeer op, maar alleen het verkeer dat voldoet aan de criteria die in het weergavefilter zijn gedefinieerd, wordt weergegeven.
Nexus9000_B# ping 10.82.140.106 source 10.82.140.107 vrf management count 2 PING 10.82.140.106 (10.82.140.106) from 10.82.140.107: 56 data bytes 64 bytes from 10.82.140.106: icmp_seq=0 ttl=254 time=0.924 ms 64 bytes from 10.82.140.106: icmp_seq=1 ttl=254 time=0.558 ms Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt display-filter icmp Capturing on mgmt0 2020-02-18 01:58:04.403295 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 01:58:04.403688 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 01:58:04.404122 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 01:58:04.404328 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 4 packets captured
U kunt ook pakketten opnemen met de detailoptie en ze bekijken in uw terminal, vergelijkbaar met hoe u in Wireshark. Hierdoor kunt u de volledige headerinformatie zien op basis van het pakketdissectorresultaat. Als een frame bijvoorbeeld is versleuteld, kunt u de versleutelde payload niet zien. Zie dit voorbeeld:
Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt display-filter icmp detail Capturing on mgmt0 Frame 2 (98 bytes on wire, 98 bytes captured) Arrival Time: Feb 18, 2020 02:02:17.569801000 [Time delta from previous captured frame: 0.075295000 seconds] [Time delta from previous displayed frame: 0.075295000 seconds] [Time since reference or first frame: 0.075295000 seconds] Frame Number: 2 Frame Length: 98 bytes Capture Length: 98 bytes [Frame is marked: False] [Protocols in frame: eth:ip:icmp:data] Ethernet II, Src: 00:be:75:5b:de:00 (00:be:75:5b:de:00), Dst: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) Destination: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) Address: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) Type: IP (0x0800) >>>>>>>Output Clipped
Met Ethanalyzer kunt u:
Zie voorbeelden hiervan voor verschillende interfacebronnen en uitvoeropties:
Nexus9000_A# ethanalyzer local interface mgmt capture-filter "host 10.82.140.107" write bootflash:TEST.PCAP Capturing on mgmt0 10 Nexus9000_A# dir bootflash: 4096 Feb 11 02:59:04 2020 .rpmstore/ 4096 Feb 12 02:57:36 2020 .swtam/ 2783 Feb 17 21:59:49 2020 09b0b204-a292-4f77-b479-1ca1c4359d6f.config 1738 Feb 17 21:53:50 2020 20200217_215345_poap_4168_init.log 7169 Mar 01 04:41:55 2019 686114680.bin 4411 Nov 15 15:07:17 2018 EBC-SC02-M2_303_running_config.txt 13562165 Oct 26 06:15:35 2019 GBGBLD4SL01DRE0001-CZ07- 590 Jan 10 14:21:08 2019 MDS20190110082155835.lic 1164 Feb 18 02:18:15 2020 TEST.PCAP >>>>>>>Output Clipped Nexus9000_A# copy bootflash: ftp: Enter source filename: TEST.PCAP Enter vrf (If no input, current vrf 'default' is considered): management Enter hostname for the ftp server: 10.122.153.158 Enter username: calo Password: ***** Transfer of file Completed Successfully ***** Copy complete, now saving to disk (please wait)... Copy complete. Nexus9000_A# ethanalyzer local read bootflash:TEST.PCAP 2020-02-18 02:18:03.140167 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 02:18:03.140563 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 02:18:15.663901 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 02:18:15.664303 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 02:18:15.664763 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 02:18:15.664975 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 02:18:15.665338 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 02:18:15.665536 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 02:18:15.665864 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 02:18:15.666066 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply RTP-SUG-BGW-1# ethanalyzer local interface front-panel eth1-1 write bootflash:e1-1.pcap Capturing on 'Eth1-1' 10 RTP-SUG-BGW-1# ethanalyzer local read bootflash:e1-1.pcap detail Frame 1: 53 bytes on wire (424 bits), 53 bytes captured (424 bits) on interface Eth1-1, id 0 Interface id: 0 (Eth1-1) Interface name: Eth1-1 Encapsulation type: Ethernet (1) Arrival Time: Jul 15, 2022 19:59:50.696219656 UTC [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1657915190.696219656 seconds [Time delta from previous captured frame: 0.000000000 seconds] [Time delta from previous displayed frame: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Frame Length: 53 bytes (424 bits) Capture Length: 53 bytes (424 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:llc:stp]
SwitchPort Analyzer (SPAN) wordt gebruikt om al het verkeer van een interface en spiegel die verkeer naar een bestemmingshaven op te nemen. De bestemmingshaven verbindt zich typisch met een hulpmiddel van de netwerkanalysator (zoals een PC die Wireshark in werking stellen) dat u toestaat om het verkeer te analyseren dat door die havens oversteekt. U kunt SPAN voor verkeer vanaf één poort of meerdere poorten en VLAN’s maken.
SPAN-sessies omvatten een bronpoort en een doelpoort. Een bronpoort kan een Ethernet-poort (geen subinterfaces), poortkanalen, Supervisor Inband-interfaces zijn en kan niet tegelijkertijd een doelpoort zijn. Bovendien worden voor sommige apparaten, zoals het 9300- en 9500-platform, Fabric Extender (FEX)-poorten ook ondersteund. Een bestemmingshaven kan een Ethernet-poort (Access of Trunk), poortkanaal (Access of Trunk) en voor sommige apparaten, zoals de 9300 uplinkpoorten, worden ook ondersteund, terwijl FEX-poorten niet worden ondersteund. bestemming
U kunt meerdere SPAN-sessies configureren als een toegang/uitgang/beide. Er is een limiet aan het totale aantal SPAN-sessies dat een afzonderlijk apparaat kan ondersteunen. Zo kan een Nexus 9000 tot 32 sessies ondersteunen, terwijl een Nexus 7000 slechts 16 sessies kan ondersteunen. U kunt dit controleren op de CLI of de SPAN-configuratiehandleidingen raadplegen voor het product dat u gebruikt.
Opmerking: elke NX-OS release, het producttype, de ondersteunde interfacetypen en functionaliteit verschillen. Raadpleeg de nieuwste configuratierichtlijnen en -beperkingen voor het product en de versie die u gebruikt.
Hier zijn de links voor respectievelijk Nexus 9000 en Nexus 7000:
Er zijn verschillende typen SPAN-sessies. Enkele van de meest voorkomende types worden hier vermeld:
Opmerking: RSPAN wordt niet ondersteund op Nexus.
sniffing een of meer broninterfaces die de policer overschrijden kunnen resulteren in dalingen voor de SPAN naar CPU-sessie. Als dit gebeurt, zijn de gegevens niet 100% weerspiegelend van wat op de draad is, zodat is SPAN aan CPU niet altijd geschikt voor het oplossen van problemen scenario's met hoge gegevenssnelheid en/of intermitterend verlies. Zodra u een SPAN naar CPU-sessie configureert en deze administratief inschakelt, moet u Ethanalyzer uitvoeren om het verkeer te zien dat naar de CPU wordt verzonden om de analyse dienovereenkomstig uit te voeren.
Dit is een voorbeeld van hoe u een eenvoudige lokale SPAN-sessie kunt configureren op een Nexus 9000 switch:
Nexus9000_A(config-monitor)# monitor session ?
*** No matching command found in current mode, matching in (config) mode ***
<1-32>
all All sessions
Nexus9000_A(config)# monitor session 10
Nexus9000_A(config-monitor)# ?
description Session description (max 32 characters)
destination Destination configuration
filter Filter configuration
mtu Set the MTU size for SPAN packets
no Negate a command or set its defaults
show Show running system information
shut Shut a monitor session
source Source configuration
end Go to exec mode
exit Exit from command interpreter
pop Pop mode from stack or restore from name
push Push current mode to stack or save it under name
where Shows the cli context you are in
Nexus9000_A(config-monitor)# description Monitor_Port_e1/1
Nexus9000_A(config-monitor)# source interface ethernet 1/1
Nexus9000_A(config-monitor)# destination interface ethernet 1/10
Nexus9000_A(config-monitor)# no shut
Dit voorbeeld toont de configuratie van een SPAN-naar-CPU sessie die is opgestart, en vervolgens het gebruik van Ethanalyzer om het verkeer op te nemen:
N9000-A# show run monitor
monitor session 1
source interface Ethernet1/7 rx
destination interface sup-eth0 << this is what sends the traffic to CPU
no shut
RTP-SUG-BGW-1# ethanalyzer local interface inband mirror limit-c 0
Capturing on 'ps-inb'
2020-02-18 02:18:03.140167 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.663901 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
Dmirror
Dmirror is een type SPAN-TO-CPU sessie voor Broadcom-gebaseerde Nexus-platforms. Het concept is hetzelfde als bij SPAN-to-CPU en is beperkt tot 50 pps (pakketten per seconde). De functie is geïmplementeerd om de interne datapad met de bcm-shell CLI te debuggen. Wegens de bijbehorende beperkingen is er geen NX-OS CLI om gebruikers toe te staan om sessies van SPAN aan de Opstelling te configureren omdat het controleverkeer kan beïnvloeden en CoPP-klassen kan verbruiken.
ELAM
Embedded Logic Analyzer Module (ELAM) biedt de mogelijkheid om in de ASIC te kijken en te bepalen welke doorsturen beslissingen worden genomen voor één enkel pakket. Zo, met ELAM, kunt u identificeren of het pakket de Forwarding Engine en op welke Poorten/VLAN informatie bereikt. U kunt ook controleren op L2 - L4 pakketstructuur en of er wijzigingen in het pakket zijn aangebracht of niet.
Het is belangrijk om te begrijpen dat ELAM architectuurafhankelijk is en dat de procedure om een pakket op te nemen van platform tot platform verschilt op basis van de interne architectuur. U moet de ASIC-toewijzingen van de hardware kennen om het gereedschap correct te kunnen toepassen. Voor Nexus 7000 worden twee opnamen gemaakt voor één pakket, één voordat de beslissing wordt genomen Data BUS (DBUS) en andere nadat de beslissing is genomen Result BUS (RBUS). Wanneer u de DBUS-informatie bekijkt, kunt u zien wat/waar het pakket is ontvangen, evenals de Layer 2 tot 4-informatie. De resultaten in de RBUS kunnen u laten zien waar het pakket naar doorgestuurd wordt en of het frame gewijzigd is. U moet triggers instellen voor DBUS en RBUS, ervoor zorgen dat ze klaar zijn en vervolgens proberen om het pakket in real time op te nemen. De procedures voor verschillende lijnkaarten zijn als volgt:
Zie voor meer informatie over de verschillende ELAM-procedures de links in deze tabel:
ELAM - OVERZICHT |
|
Nexus 7K F1 module |
|
Nexus 7K F2-module |
|
Nexus 7K F3 module |
|
Nexus 7K M3-module |
|
Nexus 7K M1/M2 en F2 module |
|
Nexus 7K M3-module |
ELAM voor Nexus 7000 - M1/M2 (Eureka-platform)
- Controleer het modulenummer met de commando show module.
- Bevestig de module met module x, waarbij x het modulenummer is.
- Controleer of interne ASIC-mapping met de opdracht hardware interne dev-port-map toont en controleer of L2LKP en L3LKP aanwezig zijn.
Nexus7000(config)# show module
Mod Ports Module-Type Model Status
--- ----- ----------------------------------- ------------------ ----------
1 0 Supervisor Module-2 N7K-SUP2E active *
2 0 Supervisor Module-2 N7K-SUP2E ha-standby
3 48 1/10 Gbps Ethernet Module N7K-F248XP-25E ok
4 24 10 Gbps Ethernet Module N7K-M224XP-23L ok
Nexus7000(config)# attach module 4
Attaching to module 4 ...
To exit type 'exit', to abort type '$.'
Last login: Fri Feb 14 18:10:21 UTC 2020 from 127.1.1.1 on pts/0
module-4# show hardware internal dev-port-map
--------------------------------------------------------------
CARD_TYPE: 24 port 10G
>Front Panel ports:24
--------------------------------------------------------------
Device name Dev role Abbr num_inst:
--------------------------------------------------------------
> Skytrain DEV_QUEUEING QUEUE 4
> Valkyrie DEV_REWRITE RWR_0 4
> Eureka DEV_LAYER_2_LOOKUP L2LKP 2
> Lamira DEV_LAYER_3_LOOKUP L3LKP 2
> Garuda DEV_ETHERNET_MAC MAC_0 2
> EDC DEV_PHY PHYS 6
> Sacramento Xbar ASIC DEV_SWITCH_FABRIC SWICHF 1
+-----------------------------------------------------------------------+
+----------------+++FRONT PANEL PORT TO ASIC INSTANCE MAP+++------------+
+-----------------------------------------------------------------------+
FP port | PHYS | SECUR | MAC_0 | RWR_0 | L2LKP | L3LKP | QUEUE |SWICHF
1 0 0 0 0,1 0 0 0,1 0
2 0 0 0 0,1 0 0 0,1 0
3 0 0 0 0,1 0 0 0,1 0
4 0 0 0 0,1 0 0 0,1 0
5 1 0 0 0,1 0 0 0,1 0
6 1 0 0 0,1 0 0 0,1 0
7 1 0 0 0,1 0 0 0,1 0
8 1 0 0 0,1 0 0 0,1 0
9 2 0 0 0,1 0 0 0,1 0
10 2 0 0 0,1 0 0 0,1 0
11 2 0 0 0,1 0 0 0,1 0
12 2 0 0 0,1 0 0 0,1 0
13 3 1 1 2,3 1 1 2,3 0
14 3 1 1 2,3 1 1 2,3 0
15 3 1 1 2,3 1 1 2,3 0
16 3 1 1 2,3 1 1 2,3 0
17 4 1 1 2,3 1 1 2,3 0
18 4 1 1 2,3 1 1 2,3 0
19 4 1 1 2,3 1 1 2,3 0
20 4 1 1 2,3 1 1 2,3 0
21 5 1 1 2,3 1 1 2,3 0
22 5 1 1 2,3 1 1 2,3 0
23 5 1 1 2,3 1 1 2,3 0
24 5 1 1 2,3 1 1 2,3 0
+-----------------------------------------------------------------------+
+-----------------------------------------------------------------------+
- Eerst, vangt u het pakket in L2 en ziet of is het het door:sturen besluit juist. Om dit te doen, kijk je in de kolom L2LKP-toewijzingen en identificeer je de ASIC-instantie # die overeenkomt met de poort.
- Vervolgens voert u ELAM op deze instantie uit met de commando elam asic eureka instantie xwaar x het ASIC-instantienummer is en configureer onze triggers voor DBUS en RBUS. Controleer de status van de triggers met de commando status en bevestig dat de triggers zijn geconfigureerd.
module-4(eureka-elam)# trigger dbus dbi ingress ipv4 if source-ipv4-address 192.0.2.2 destination-ipv4-address 192.0.2.4 rbi-corelatemodule-4(eureka-elam)#trigger rbus rbi pb1 ip if cap2 1
module-4(eureka-elam)# status
Slot: 4, Instance: 1
EU-DBUS: Configured
trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1
EU-RBUS: Configured
trigger rbus rbi pb1 ip if cap2 1
- Activeer de triggers met de commando start, en controleer of de status van de triggers met de commando status om te bevestigen dat de triggers gewapend zijn.
module-4(eureka-elam)# start
module-4(eureka-elam)# status
Slot: 4, Instance: 1
EU-DBUS: Armed <<<<<<<<<<
trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1
EU-RBUS: Armed <<<<<<<<<<
trigger rbus rbi pb1 ip if cap2 1
- Zodra de status laat zien dat de triggers gewapend zijn, zijn ze klaar om te vangen. Op dit moment moet je het verkeer doorsturen en de status opnieuw controleren om te zien of je triggers daadwerkelijk zijn geactiveerd.
module-4(eureka-elam)# status
Slot: 4, Instance: 1
EU-DBUS: Triggered <<<<<<<<<<
trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1
EU-RBUS: Triggered <<<<<<<<<<
trigger rbus rbi pb1 ip if cap2 1
- Controleer na activering het pakketvolgnummer voor zowel rbus als dbus om te bevestigen dat beide hetzelfde pakket hebben opgenomen. Dit kan worden gedaan met de opdracht show dbus | i seq ; toon rbus | i seq. Als het volgnummer overeenkomt, kunt u de inhoud van de dbus en rbus bekijken. Als dit niet het geval is, voert u de opname opnieuw uit totdat u hetzelfde pakket kunt opnemen.
Opmerking: Voor meer nauwkeurigheid, altijd meerdere keren uitvoeren ELAM om te bevestigen doorsturen problemen.
- U kunt de inhoud van rbus en dbus bekijken met de opdrachten tonen dbus en tonen rbus. Het belangrijke ding in de opname is de reeks # en de bron/bestemmingsindex. Dbus toont u de bronindex die u vertelt de poort die het pakket ontvangen heeft. Rbus toont u de bestemmingsindex van de haven waaraan het pakket door:sturen aan. Daarnaast kunt u ook kijken naar de IP/MAC-adressen van de bron en de bestemming en naar de VLAN-informatie.
- Met de bron- en doelindex (ook bekend als LTL-index), kunt u de bijbehorende voorpaneelpoort controleren met de opdracht systeem interne pixelinfo ltl #.
ELAM voor Nexus 7000 - M1/M2 (Lamira platform)
De procedure is ook voor het platform van Lamira hetzelfde, maar er zijn een paar verschillen:
- U draait ELAM met het sleutelwoord Lamiraelam asic lamira instantie x.
- De opdrachten om de ELAM te activeren zijn:
module-4(lamira-elam)# trigger dbus ipv4 if source-ipv4-address 192.0.2.2 destination-ipv4-address 192.0.2.4
module-4(lamira-elam)# trigger rbus <ife|ofe> ip if elam-match 1
- U controleert op status met de opdracht status en zorgt ervoor dat ze bewapend zijn voordat u verkeer verstuurt en geactiveerd nadat u het hebt opgenomen.
- U kunt dan de uitgangen van dbus interpreteren en bus tonen op dezelfde manier als getoond voor Eureka.
ELAM voor Nexus 7000 - F2/F2E (Clipper-platform)
Opnieuw, de procedure is gelijkaardig, slechts zijn de triggers verschillend. De enkele verschillen zijn als volgt:
- U voert ELAM uit met het sleutelwoord Clipperelam asic clipper instantie x en specificeert Layer 2 of Layer 3-modus.
module-4# elam asic clipper instance 1 module-4(clipper-elam)# <layer2/Layer3>
- De opdrachten om de ELAM te activeren zijn als volgt:
module-4(clipper-l2-elam)# trigger dbus ipv4 ingress if source-ipv4-address 192.0.2.3 destination-ipv4-address 192.0.2.2 module-4(clipper-l2-elam)# trigger rbus ingress if trig
- U controleert op status met de opdracht status, en zorgt ervoor dat ze bewapend zijn voordat u verkeer verstuurt, en geactiveerd nadat u het hebt opgenomen.
- U kunt dan de uitgangen van dbus interpreteren en bus tonen op dezelfde manier als getoond voor Eureka.
ELAM voor Nexus 7000 - F3 (Flanker Platform)
Opnieuw, de procedure is gelijkaardig, slechts zijn de triggers verschillend. De enkele verschillen zijn als volgt:
- U voert ELAM uit met het sleutelwoord Flanker Elam asic flanker instantie x en specificeert Layer 2 of Layer 3-modus.
module-4# elam asic flanker instance 1
module-4(flanker-elam)# <layer2/Layer3>
- De opdrachten om de ELAM te activeren zijn als volgt:
module-9(fln-l2-elam)# trigger dbus ipv4 if destination-ipv4-address 10.1.1.2 module-9(fln-l2-elam)# trigger rbus ingress if trig
- U controleert op status met de status commando, en zorg ervoor dat ze bewapend zijn voordat u verkeer verstuurt, en geactiveerd nadat u het hebt opgenomen.
- U kunt dan de uitgangen van dbus en rbus op dezelfde manier interpreteren zoals getoond voor Eureka.
ELAM voor Nexus 9000 (platform met tahoe)
Bij Nexus 9000 is de procedure iets anders dan bij Nexus 7000. Raadpleeg voor Nexus 9000 de koppeling Nexus 9000 Cloud Scale SIC (Tahoe) NX-OS ELAM - Cisco
- Controleer eerst of interface mapping met de opdracht hardware interne tah interface #. De belangrijkste informatie in deze uitvoer is ASIC #, Slice # en source ID (srcid) #.
- Daarnaast kunt u deze informatie ook nog eens controleren met de commando show systeem interne ethpm info interface # | i src. Het belangrijke ding hier naast wat eerder werd vermeld is de dpid en dmod waarden.
- Controleer het modulenummer met de commando show module.
- Bevestig de module met module x, waarbij x het modulenummer is.
- Start ELAM op de module met de opdrachtmodule module-1# debug platform interne tah elam asic #
- Configureer de binnen- of buitengerechtelijke trigger op basis van het soort verkeer dat u wilt opnemen (L2, L3, ingesloten verkeer zoals GRE of VXLAN, enzovoort):
Nexus9000(config)# attach module 1 module-1# debug platform internal tah elam asic 0 module-1(TAH-elam)# trigger init asic # slice # lu-a2d 1 in-select 6 out-select 0 use-src-id # module-1(TAH-elam-insel6)# reset module-1(TAH-elam-insel6)# set outer ipv4 dst_ip 192.0.2.1 src_ip 192.0.2.2
- Zodra de triggers zijn ingesteld, start ELAM met de opdracht start, verstuur verkeer en bekijk de uitvoer met het commando rapport. De output van het rapport toont u de uitgaande en inkomende interfaces samen met het adres van VLAN-id, bron en bestemming IP/MAC.
SUGARBOWL ELAM REPORT SUMMARY
slot - 1, asic - 1, slice - 1
============================
Incoming Interface: Eth1/49 Src Idx : 0xd, Src BD : 10 Outgoing Interface Info: dmod 1, dpid 14 Dst Idx : 0x602, Dst BD : 10
Packet Type: IPv4
Dst MAC address: CC:46:D6:6E:28:DB
Src MAC address: 00:FE:C8:0E:27:15
.1q Tag0 VLAN: 10, cos = 0x0
Dst IPv4 address: 192.0.2.1
Src IPv4 address: 192.0.2.2
Ver = 4, DSCP = 0, Don't Fragment = 0
Proto = 1, TTL = 64, More Fragments = 0
Hdr len = 20, Pkt len = 84, Checksum = 0x667f
ELAM voor Nexus 9000 (NorthStar-platform)
De procedure voor het NorthStar-platform is hetzelfde als het Tahoe-platform, het enige verschil is dat het trefwoord ns wordt gebruikt in plaats van tah wanneer de ELAM-modus wordt ingevoerd:
module-1# debug platform internal ns elam asic 0
N9K-pakkettracer
Nexus 9000 pakkettracer tool kan worden gebruikt om het pad van het pakket te volgen en met zijn ingebouwde tellers voor stroomstatistieken maakt het een waardevol gereedschap voor intermitterende / volledige verkeersverlies scenario's. Het zou zeer nuttig zijn wanneer TCAM-bronnen beperkt zijn of niet beschikbaar zijn om andere tools te gebruiken. Bovendien, kan dit hulpmiddel geen ARP verkeer vangen en toont geen details van de pakketinhoud zoals Wireshark.
Gebruik deze opdrachten om pakkettracer te configureren:
N9K-9508# test packet-tracer src_ip <src_ip> dst_ip <dst_ip> <==== provide your src and dst ip N9K-9508# test packet-tracer start <==== Start packet tracer N9K-9508# test packet-tracer stop <==== Stop packet tracer N9K-9508# test packet-tracer show <==== Check for packet matches
Raadpleeg voor meer informatie de link Nexus 9000: Packet Tracer tool uitgelegd - Cisco
Traceroute en pings
Deze opdrachten zijn de twee meest bruikbare opdrachten waarmee u snel connectiviteitsproblemen kunt identificeren.
Ping gebruikt Internet Control Message Protocol (ICMP) om ICMP-echoberichten naar de specifieke bestemming te verzenden en wacht op ICMP-echoantwoorden van die bestemming. Als het pad tussen de host werkt prima zonder problemen, kunt u de antwoorden terugkomen en pings zijn succesvol. Het ping-commando verstuurt standaard 5x ICMP echo-berichten (gelijke grootte in beide richtingen) en als alles goed werkt, kunt u 5x ICMP echo-antwoorden zien. Soms mislukt het eerste echoverzoek wanneer switches het MAC-adres leren tijdens het ARP-verzoek (Address Resolution Protocol). Als u de ping direct daarna opnieuw uitvoert, is er geen eerste ping-verlies. Bovendien kunt u met deze trefwoorden het aantal pings-, pakketgrootte-, bron-, broninterface- en time-outintervallen instellen:
F241.04.25-N9K-C93180-1# ping 10.82.139.39 vrf management
PING 10.82.139.39 (10.82.139.39): 56 data bytes
36 bytes from 10.82.139.38: Destination Host Unreachable
Request 0 timed out
64 bytes from 10.82.139.39: icmp_seq=1 ttl=254 time=23.714 ms
64 bytes from 10.82.139.39: icmp_seq=2 ttl=254 time=0.622 ms
64 bytes from 10.82.139.39: icmp_seq=3 ttl=254 time=0.55 ms
64 bytes from 10.82.139.39: icmp_seq=4 ttl=254 time=0.598 ms
F241.04.25-N9K-C93180-1# ping 10.82.139.39 ?
<CR>
count Number of pings to send
df-bit Enable do not fragment bit in IP header
interval Wait interval seconds between sending each packet
packet-size Packet size to send
source Source IP address to use
source-interface Select source interface
timeout Specify timeout interval
vrf Display per-VRF information
Traceroute wordt gebruikt om de verschillende hops te identificeren die een pakket neemt voordat het zijn 'bestemming bereikt. Het is een zeer belangrijk hulpmiddel omdat het helpt om de L3 grens te identificeren waar de mislukking gebeurt. U kunt ook de poort-, bron- en broninterface met deze trefwoorden gebruiken:
F241.04.25-N9K-C93180-1# traceroute 10.82.139.39 ?
<CR>
port Set destination port
source Set source address in IP header
source-interface Select source interface
vrf Display per-VRF information
Nexus_1(config)# traceroute 192.0.2.1
traceroute to 192.0.2.1 (192.0.2.1), 30 hops max, 40 byte packets
1 198.51.100.3 (198.51.100.3) 1.017 ms 0.655 ms 0.648 ms
2 203.0.113.2 (203.0.113.2) 0.826 ms 0.898 ms 0.82 ms
3 192.0.2.1 (192.0.2.1) 0.962 ms 0.765 ms 0.776 ms
PAL/RACL/VACL
Toegangscontrolelijst (ACL) is een belangrijk gereedschap waarmee u verkeer kunt filteren op basis van een relevant gedefinieerd criterium. Zodra ACL met ingangen voor overeenkomende criteria wordt gevuld, kan het worden toegepast om of inkomend of uitgaand verkeer te vangen. Een belangrijk aspect van ACL is zijn capaciteit om tellers voor stroomstatistieken te verstrekken. De termen PACL/RACL/VACL verwijzen naar verschillende implementaties van deze ACL’s die u in staat stellen om ACL te gebruiken als een krachtig probleemoplossingsgereedschap, met name voor intermitterend verkeersverlies. Deze termen worden hier kort beschreven:
- Port Access Control List (PACL): wanneer u een toegangslijst op een L2-switchpoort/interface toepast, wordt die toegangslijst aangeduid als PACL.
- Router Access Control List (RACL): wanneer u een toegangslijst op een L3 routed-poort/interface toepast, wordt die toegangslijst bekend als RACL.
- VLAN Access Control List (VACL): u kunt VACL’s configureren die van toepassing zijn op alle pakketten die in of uit een VLAN worden gerouteerd of binnen een VLAN worden overbrugd. VACL’s zijn strikt bedoeld voor security pakketfilters en om verkeer om te leiden naar specifieke fysieke interfaces. VACL's worden niet gedefinieerd door richting (ingress of egress).
Deze tabel biedt een vergelijking tussen de versies van ACL’s.
ACL-TYPE |
PACL |
RACL |
VACL |
FUNCTIE |
Filter verkeer ontvangen op een L2 interface. |
Filterverkeer ontvangen op een L3-interface |
Filter VLAN-verkeer |
TOEGEPAST OP |
- L2-interfaces/poorten. - L2 poort-kanaal interfaces. - Indien toegepast op een trunkpoort, ACL-filters verkeer op alle VLAN’s toegestaan op die trunkpoort. |
- VLAN-interfaces. - Fysieke L3-interfaces. - L3-subinterfaces. - L3 poort-kanaal interfaces. - Beheerinterfaces. |
Na inschakeling wordt de ACL toegepast op alle poorten in dat VLAN (inclusief trunkpoorten). |
TOEGEPASTE RICHTING |
Alleen inkomend. |
Inkomend of Uitgaand |
- |
Hier is een voorbeeld van hoe u een toegangslijst kunt configureren. Raadpleeg voor meer informatie de link naar de Cisco Nexus 9000 Series NX-OS security configuratiegids, release 9.3(x) - IP-ACL’s configureren [Cisco Nexus 9000 Series Switches] - Cisco
Nexus93180(config)# ip access-list <Name_of_ACL> Nexus93180(config-acl)# ?
<1-4294967295> Sequence number
deny Specify packets to reject
fragments Optimize fragments rule installation
no Negate a command or set its defaults
permit Specify packets to forward
remark Access list entry comment
show Show running system information
statistics Enable per-entry statistics for the ACL
end Go to exec mode
exit Exit from command interpreter
pop Pop mode from stack or restore from name
push Push current mode to stack or save it under name
where Shows the cli context you are in
Nexus93180(config)# int e1/1
Nexus93180(config-if)# ip port access-group <NAME_of_ACL> ? >>>>>> When you configure ACL like this, it is PACL.
in Inbound packets
Nexus93180(config-if)# ip access-group <NAME_of_ACL> ? >>>>>> When you configure ACL like this, it is RACL.
in Inbound packets
out Outbound packets
LOGFLASH
LogFlash is een type permanente opslag beschikbaar op Nexus-platforms als een externe compacte flitser, een USB-apparaat of een ingesloten schijf in de supervisor. Indien verwijderd uit de switch, meldt het systeem de gebruiker periodiek dat LogFlash ontbreekt. Logflash is geïnstalleerd op de supervisor en houdt historische gegevens zoals boekhoudingslogboeken, syslog berichten, debugs en ingesloten Event Manager (EEM) outputs. EEM wordt besproken later in dit artikel. U kunt de inhoud van de LogFlash controleren met deze opdracht:
Nexus93180(config)# dir logflash:
0 Nov 14 04:13:21 2019 .gmr6_plus
20480 Feb 18 13:35:07 2020 ISSU_debug_logs/
24 Feb 20 20:43:24 2019 arp.pcap
24 Feb 20 20:36:52 2019 capture_SYB010L2289.pcap
4096 Feb 18 17:24:53 2020 command/
4096 Sep 11 01:39:04 2018 controller/
4096 Aug 15 03:28:05 2019 core/
4096 Feb 02 05:21:47 2018 debug/
1323008 Feb 18 19:20:46 2020 debug_logs/
4096 Feb 17 06:35:36 2020 evt_log_snapshot/
4096 Feb 02 05:21:47 2018 generic/
1024 Oct 30 17:27:49 2019 icamsql_1_1.db
32768 Jan 17 11:53:23 2020 icamsql_1_1.db-shm
129984 Jan 17 11:53:23 2020 icamsql_1_1.db-wal
4096 Feb 14 13:44:00 2020 log/
16384 Feb 02 05:21:44 2018 lost+found/
4096 Aug 09 20:38:22 2019 old_upgrade/
4096 Feb 18 13:40:36 2020 vdc_1/
Usage for logflash://sup-local
1103396864 bytes used
7217504256 bytes free
8320901120 bytes total
In het geval dat een gebruiker het apparaat opnieuw laadde of het plotseling op zijn eigen wegens een gebeurtenis herlaadde, zou alle logboekinformatie verloren gaan. In dergelijke scenario's kan LogFlash historische gegevens verstrekken die kunnen worden herzien om een waarschijnlijke oorzaak van het probleem te identificeren. Uiteraard is verder zorgvuldigheid vereist om de basisoorzaak te identificeren die u voorzien van tips over wat te zoeken in het geval deze gebeurtenis zich opnieuw voordoet.
Raadpleeg de koppeling Nexus 7000 Logging Capabilities - Cisco voor informatie over het installeren van logflash op het apparaat.
OBFL
On Board Failure Logging (OBFL) is een type permanente opslag dat beschikbaar is voor zowel Nexus Top of Rack- als modulaire switches. Net als de LogFlash, wordt de informatie behouden zodra het apparaat wordt herladen. OBFL slaat informatie op zoals storingen en milieugegevens. De informatie varieert voor elk platform en module, maar hier is een steekproefoutput van module 1 van Nexus 93108 platform (dat is een vast chassis met slechts één module):
Nexus93180(config)# show logging onboard module 1 ?
*** No matching command found in current mode, matching in (exec) mode ***
<CR>
> Redirect it to a file
>> Redirect it to a file in append mode
boot-uptime Boot-uptime
card-boot-history Show card boot history
card-first-power-on Show card first power on information
counter-stats Show OBFL counter statistics
device-version Device-version
endtime Show OBFL logs till end time mm/dd/yy-HH:MM:SS
environmental-history Environmental-history
error-stats Show OBFL error statistics
exception-log Exception-log
internal Show Logging Onboard Internal
interrupt-stats Interrupt-stats
obfl-history Obfl-history
stack-trace Stack-trace
starttime Show OBFL logs from start time mm/dd/yy-HH:MM:SS
status Status
| Pipe command output to filter
Nexus93180(config)# show logging onboard module 1 status
----------------------------
OBFL Status
----------------------------
Switch OBFL Log: Enabled
Module: 1 OBFL Log: Enabled
card-boot-history Enabled
card-first-power-on Enabled
cpu-hog Enabled
environmental-history Enabled
error-stats Enabled
exception-log Enabled
interrupt-stats Enabled
mem-leak Enabled
miscellaneous-error Enabled
obfl-log (boot-uptime/device-version/obfl-history) Enabled
register-log Enabled
system-health Enabled
temp Error Enabled
stack-trace Enabled
Opnieuw, is deze informatie nuttig in het geval van een apparaat dat of opzettelijk door de gebruiker of wegens een gebeurtenis wordt herladen wordt herladen. In dit geval kan OBFL-informatie helpen om vast te stellen wat er verkeerd is gegaan vanuit het perspectief van een lijnkaart. De opdracht toont vastlegging aan boord is een goede plek om te beginnen. Vergeet niet dat je van binnen de modulecontext moet vastleggen om alles te krijgen wat je nodig hebt. Zorg ervoor dat u gebruik maakt van show logging aan boord module x of voeg mod x toe; toon vastlegging aan boord.
Geschiedenis van gebeurtenissen
Event-histories zijn een van de krachtige tools die u informatie kunnen geven over verschillende gebeurtenissen die plaatsvinden voor een proces dat loopt op Nexus. Met andere woorden, elk proces dat op een Nexus-platform loopt heeft gebeurtenisgeschiedenissen die op de achtergrond draaien en informatie opslaan over verschillende gebeurtenissen van dat proces (denk aan hen als debugs die constant lopen). Deze historiën van gebeurtenissen zijn niet-persistent en alle opgeslagen informatie gaat verloren bij het opnieuw laden van het apparaat. Deze zijn zeer nuttig wanneer u een probleem met een bepaald proces hebt geïdentificeerd en dat proces zou willen problemen oplossen. Als uw OSPF-routeringsprotocol bijvoorbeeld niet goed werkt, kunt u gebeurtenisgeschiedenissen gebruiken die aan OSPF zijn gekoppeld om te bepalen waar het OSPF-proces mislukt. U kunt geschiedenissen van gebeurtenissen vinden die worden geassocieerd met bijna elk proces op het Nexus-platform, zoals CDP/STP, UDLD, LACP/OSPF, EIGRP/BGP, enzovoort.
Dit is hoe u typisch gebeurtenisgeschiedenissen voor een proces met verwijzingsvoorbeelden zou controleren. Elk proces heeft meerdere opties die zo gebruikt worden ? om te controleren of er verschillende opties beschikbaar zijn in het kader van een proces.
Nexus93180(config)# show <Process> internal event-history ?
Nexus93180# show ip ospf event-history ?
adjacency Adjacency formation logs
cli Cli logs
event Internal event logs
flooding LSA flooding logs
ha HA and GR logs
hello Hello related logs
ldp LDP related logs
lsa LSA generation and databse logs
msgs IPC logs
objstore DME OBJSTORE related logs
redistribution Redistribution logs
rib RIB related logs
segrt Segment Routing logs
spf SPF calculation logs
spf-trigger SPF TRIGGER related logs
statistics Show the state and size of the buffers
te MPLS TE related logs
Nexus93180# show spanning-tree internal event-history ?
all Show all event historys
deleted Show event history of deleted trees and ports
errors Show error logs of STP
msgs Show various message logs of STP
tree Show spanning tree instance info
vpc Show virtual Port-channel event logs
Debugs
Debugs zijn krachtige tools binnen NX-OS die u in staat stellen om real-time probleemoplossing gebeurtenissen uit te voeren en ze te registreren naar een bestand of weergave in CLI. Het is sterk aanbevolen om de debug-uitgangen op een bestand te registreren omdat ze invloed hebben op de CPU-prestaties. Gebruik voorzichtigheid voordat u een debug direct op de CLI uitvoert.
Debugs worden meestal alleen uitgevoerd wanneer u een probleem hebt geïdentificeerd om één enkel proces te zijn en zou willen controleren hoe dit proces zich in real-time gedraagt met echt verkeer in het netwerk. U moet een debug-functie inschakelen op basis van de gedefinieerde gebruikersaccountrechten.
Net als gebeurtenishistoriën kunt u debugs uitvoeren voor elk proces op een Nexus-apparaat, zoals CDP/STP, UDLD, LACP/OSPF, EIGRP/BGP enzovoort.
Dit is hoe u typisch debug voor een proces zou in werking stellen. Elk proces heeft meerdere opties, dus gebruik ? om te controleren of er verschillende opties beschikbaar zijn onder een proces.
Nexus93180# debug <Process> ?
Nexus93180# debug spanning-tree ?
all Configure all debug flags of stp
bpdu_rx Configure debugging of stp bpdu rx
bpdu_tx Configure debugging of stp bpdu tx
error Configure debugging of stp error
event Configure debugging of Events
ha Configure debugging of stp HA
mcs Configure debugging of stp MCS
mstp Configure debugging of MSTP
pss Configure debugging of PSS
rstp Configure debugging of RSTP
sps Configure debugging of Set Port state batching
timer Configure debugging of stp Timer events
trace Configure debugging of stp trace
warning Configure debugging of stp warning
Nexus93180# debug ip ospf ?
adjacency Adjacency events
all All OSPF debugging
database OSPF LSDB changes
database-timers OSPF LSDB timers
events OSPF related events
flooding LSA flooding
graceful-restart OSPF graceful restart related debugs
ha OSPF HA related events
hello Hello packets and DR elections
lsa-generation Local OSPF LSA generation
lsa-throttling Local OSPF LSA throttling
mpls OSPF MPLS
objectstore Objectstore Events
packets OSPF packets
policy OSPF RPM policy debug information
redist OSPF redistribution
retransmission OSPF retransmission events
rib Sending routes to the URIB
segrt Segment Routing Events
snmp SNMP traps and request-response related events
spf SPF calculations
spf-trigger Show SPF triggers
GOUD
Generic OnLine Diagnostics (GOLD), zoals de naam al aangeeft, worden deze tests over het algemeen gebruikt als een systeemgezondheidscontrole en worden gebruikt om de hardware in kwestie te controleren of te verifiëren. Er zijn verschillende online tests die worden uitgevoerd en gebaseerd op het platform in gebruik, sommige van deze tests verstoren terwijl sommige niet verstorend zijn. Deze onlinetests kunnen als volgt worden gecategoriseerd:
- Boot-Up Diagnostics: Deze tests zijn de tests die worden uitgevoerd wanneer het apparaat opstart. Zij controleren ook op connectiviteit tussen de supervisor en de modules, die connectiviteit tussen gegevens en controlevliegtuig voor alle ASIC's omvat. Tests zoals ManagementPortLoopback en EOBLoopback zijn verstorend, terwijl de testen voor OBFL en USB niet storend zijn.
- Run-time of Health Monitoring Diagnostics: deze tests leveren informatie over de gezondheid van het apparaat. Deze tests zijn niet storend en worden op de achtergrond uitgevoerd om de stabiliteit van de hardware te waarborgen. U kunt deze tests in- en uitschakelen wanneer dit nodig is of voor probleemoplossing.
- On-demand diagnostiek: alle genoemde tests kunnen op aanvraag worden uitgevoerd om een probleem te lokaliseren.
U kunt met deze opdracht controleren op de verschillende soorten online tests die voor uw switch beschikbaar zijn:
Nexus93180(config)# show diagnostic content module all
Diagnostics test suite attributes:
B/C/* - Bypass bootup level test / Complete bootup level test / NA
P/* - Per port test / NA
M/S/* - Only applicable to active / standby unit / NA
D/N/* - Disruptive test / Non-disruptive test / NA
H/O/* - Always enabled monitoring test / Conditionally enabled test / NA
F/* - Fixed monitoring interval test / NA
X/* - Not a health monitoring test / NA
E/* - Sup to line card test / NA
L/* - Exclusively run this test / NA
T/* - Not an ondemand test / NA
A/I/* - Monitoring is active / Monitoring is inactive / NA
Module 1: 48x10/25G + 6x40/100G Ethernet Module (Active)
Testing Interval
ID Name Attributes (hh:mm:ss)
____ __________________________________ ____________ _________________
1) USB---------------------------> C**N**X**T* -NA-
2) NVRAM-------------------------> ***N******A 00:05:00
3) RealTimeClock-----------------> ***N******A 00:05:00
4) PrimaryBootROM----------------> ***N******A 00:30:00
5) SecondaryBootROM--------------> ***N******A 00:30:00
6) BootFlash---------------------> ***N******A 00:30:00
7) SystemMgmtBus-----------------> **MN******A 00:00:30
8) OBFL--------------------------> C**N**X**T* -NA-
9) ACT2--------------------------> ***N******A 00:30:00
10) Console-----------------------> ***N******A 00:00:30
11) FpgaRegTest-------------------> ***N******A 00:00:30
12) Mce---------------------------> ***N******A 01:00:00
13) AsicMemory--------------------> C**D**X**T* -NA-
14) Pcie--------------------------> C**N**X**T* -NA-
15) PortLoopback------------------> *P*N**XE*** -NA-
16) L2ACLRedirect-----------------> *P*N***E**A 00:01:00
17) BootupPortLoopback------------> CP*N**XE*T* -NA-
Om weer te geven wat elk van de 17 genoemde tests doet, kunt u deze opdracht gebruiken:
Nexus93180(config)# show diagnostic description module 1 test all
USB :
A bootup test that checks the USB controller initialization
on the module.
NVRAM :
A health monitoring test, enabled by default that checks the
sanity of the NVRAM device on the module.
RealTimeClock :
A health monitoring test, enabled by default that verifies
the real time clock on the module.
PrimaryBootROM :
A health monitoring test that verifies the primary BootROM
on the module.
SecondaryBootROM :
A health monitoring test that verifies the secondary BootROM
on the module.
BootFlash :
A Health monitoring test, enabled by default, that verifies
access to the internal compactflash devices.
SystemMgmtBus :
A Health monitoring test, enabled by default, that verifies
the standby System Bus.
OBFL :
A bootup test that checks the onboard flash used for failure
logging (OBFL) device initialization on the module.
ACT2 :
A Health monitoring test, enabled by default, that verifies
access to the ACT2 device.
Console :
A health monitoring test,enabled by default that checks health
of console device.
FpgaRegTest :
A health monitoring test,enabled by default that checks read/write
access to FPGA scratch registers on the module.
Mce :
A Health monitoring test, enabled by default, that check for
machine errors on sup.
AsicMemory :
A bootup test that checks the asic memory.
Pcie :
A bootup test that tests pcie bus of the module
PortLoopback :
A health monitoring test that tests the packet path from
the Supervisor card to the physical port in ADMIN DOWN state
on Linecards.
L2ACLRedirect :
A health monitoring test, enabled by default, that does a
non disruptive loopback for TAHOE asics to check the ACL Sup
redirect with the CPU port.
BootupPortLoopback :
A Bootup test that tests the packet path from the Supervisor
card to all of the physical ports at boot time.
EEM
Embedded Event Manager (EEM) is een krachtige tool waarmee u uw apparaat kunt programmeren om specifieke taken uit te voeren in het geval dat een bepaalde gebeurtenis zich voordoet. Het controleert verschillende gebeurtenissen op het apparaat en neemt dan noodzakelijke actie om het probleem op te lossen en mogelijk te herstellen. EEM bestaat uit drie hoofdcomponenten, die hier kort worden beschreven:
- Event Statement: Dit zijn de gebeurtenissen die u wilt monitoren en die u wilt dat Nexus een bepaalde actie uitvoert zoals een tijdelijke oplossing uitvoeren of gewoon een SNMP-server inlichten of een CLI-logbestand weergeven, enzovoort.
- Action Statements: Dit zijn de stappen die de EEM zou nemen zodra een gebeurtenis wordt geactiveerd. Deze acties zouden eenvoudig kunnen zijn om een interface uit te schakelen of sommige showbevelen en kopieeroutput uit te voeren naar een bestand op ftp server, een e-mail te versturen, etc.
- Beleid: Het is in principe een gebeurtenis in combinatie met een of meerdere actieverklaringen die u op de supervisor via CLI of een bash script kunt configureren. Je kunt EEM ook aanhalen met een python script. Zodra het beleid is gedefinieerd over de toezichthouder, duwt het het beleid naar de relevante module.
Raadpleeg voor meer informatie over EEM de link Cisco Nexus 9000 Series NX-OS Systeembeheerconfiguratiehandleiding, release 9.2(x) - De ingesloten Event Manager [Cisco Nexus 9000 Series Switches] configureren - Cisco.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
22-Sep-2023 |
Bijgewerkte stijlvereisten en opmaak. |
1.0 |
29-Aug-2022 |
Eerste vrijgave |