針對初學者的Nexus備忘單故障排除
簡介
本檔案介紹可用於診斷Nexus產品並修復問題的各種工具。
概觀
瞭解有哪些可用工具以及在什麼情況下可以使用它們獲得最大收益很重要。事實上,有時某些工具並不是可行的,僅僅是因為它被設計為用於其他用途。
下表彙編了在Nexus平台上排除故障的各種工具及其功能。有關詳細資訊和CLI示例,請參閱Nexus工具部分。
| 工具 |
功能 |
用例示例 |
優點 |
缺點 |
永續性 |
受影響平面 |
使用的CLI命令 |
| Ethanalyzer |
擷取目的地為或來自CPU的流量。 |
流量緩慢問題、延遲和擁塞 |
非常適合於處理慢速、擁塞和延遲問題。 |
通常只看到控制平面流量,速率受限。 |
不適用 |
控制平面。可用於某些場景中的資料平面(SPAN到CPU)。 |
#ethanalyzer local interface inband #ethanalyzer local interface [interface ID] display filter [WORD] 範例: #ethanalyzer local interface Ethernet 6/4 display filter ICMP(本地介面乙太網6/4顯示過濾器ICMP) |
| 範圍 | 捕獲並映象大量資料包。 |
Ping失敗、資料包順序錯誤等。 |
對於間歇性流量丟失來說非常好。 |
需要執行監聽器軟體的外部裝置 需要TCAM資源。 |
需要設定和啟用/停用SPAN作業階段。 |
控制+資料 |
#monitor session [#] #description [NAME] #source interface [port ID] #destination interface [port ID] #no shut |
| DMirror |
僅捕獲目的地為Broadcom Nexus裝置或來自CPU的流量。 |
流量緩慢問題、延遲和擁塞。 |
非常適合於處理慢速、擁塞和延遲問題。 |
僅適用於Broadcom Nexus裝置。速率受限(CloudScale Nexus 9k確實具有SPAN到CPU) |
不適用 |
控制平面。可用於某些場景中的資料平面。 |
因平台而異,請參閱 |
| ELAM |
捕獲進入[或退出(如果Nexus 7K)Nexus交換機的單個資料包 |
檢驗資料包是否到達Nexus、檢查轉發決策、檢查資料包是否更改、檢驗資料包的介面/VLAN等。 |
非常適合於資料包流和轉發問題。非侵入式 |
需要深入瞭解硬體。利用架構特定的獨特觸發機制。僅在您知道要檢查的流量時有用。 |
不適用 |
控制+資料 |
# attach module [MODULE NUMBER] # debug platform internal <> |
| Nexus 9k Packet Tracer |
檢測資料包的路徑。 |
連線問題和封包遺失。 |
為流統計提供計數器,可用於間歇性/完全丟失。非常適合無TCAM雕刻的線卡。 |
無法捕獲ARP流量。僅適用於Nexus 9k。 |
不適用 |
資料+控制 |
# test packet tracer src_IP [源IP] dst_IP [目標IP] # test packet-tracer start # test packet-tracer stop # test packet tracer show |
| Traceroute |
檢測資料包相對第3層跳的路徑。 |
ping失敗、無法到達主機/目的地/Internet等。 |
檢測路徑中的各種跳以隔離L3故障。 |
僅標識L3邊界斷開的位置(不標識問題本身)。 |
不適用 |
資料+控制 |
# traceroute [目標IP] 引數包括: port、port number、source、interface、vrf、source-interface |
| Ping |
測試網路中兩點之間的連通性。 |
測試裝置之間的連通性。 |
測試連通性的快捷工具。 |
只識別主機是否可連線。 |
不適用 |
資料+控制 |
# ping [目標IP] 引數包括: count, packet-size, source interface, interval, multicast, loopback, timeout |
| PACL/RACL/VACL |
擷取特定連線埠或VLAN的輸入/輸出流量 |
主機之間間歇性丟包、確認資料包是否到達/離開Nexus等。 |
對於間歇性流量丟失來說非常好。 |
需要TCAM資源。對於某些模組,需要手動TCAM雕刻。 |
永續性(應用於運行配置) |
資料+控制 |
# ip access-list [ACL NAME] # ip port access-group [ACL NAME] # ip access-group [ACL NAME] 引數包括: deny、fragments、no、permit、remark、show、statistics、end、exit、pop、push、where |
| LogFlash |
全域性儲存交換機的歷史資料,例如日誌帳戶、故障檔案和事件,而不考慮裝置重新載入。 |
裝置突然重新載入/關閉,無論何時重新載入裝置,日誌快閃記憶體資料都會提供一些有助於分析的資訊。 |
資訊保留在裝置重新載入(永久儲存)上。 |
Nexus 7K上的外部=必須在管理引擎平台上安裝/整合,才能收集這些日誌 (con不適用於3K/9K,因為logflash是內部儲存裝置的分割槽)。 |
Reload-Persistent |
資料+控制 |
# dir logflash: |
| OBFL |
儲存特定模組的歷史資料,如故障和環境資訊。 |
裝置突然重新載入/關閉,無論何時重新載入裝置,日誌快閃記憶體資料都會提供一些有用的資訊。 |
資訊保留在裝置重新載入(永久儲存)上。 |
支援有限數量的讀取和寫入。 |
Reload-Persistent |
資料+控制 |
# show logging onboard module [#] 引數包括: boot-uptime, card-boot-history, card-first-power-on, counter-stats, device-version, endtime, environmental-history, error-stats, exception-log, internal, interrupt-stats, obfl-history, stat-trace, starttime, status |
| 事件歷史記錄 |
當您需要當前運行的特定進程的資訊時。 |
nexus中的每個進程都有自己的事件歷史記錄,例如CDP、STP、OSPF、EIGRP、BGP、vPC、LACP等。 |
對Nexus上運行的特定進程進行故障排除。 |
重新載入裝置後,資訊將丟失(非永續性)。 |
非永續性 |
資料+控制 |
# show [PROCESS] internal event-history [引數] 引數包括: 鄰接關係, cli,事件,泛洪, ha, hello, ldp, lsa, msgs, objstore,重分發, rib, segrt, spf, spf-trigger,統計資訊, te |
| 偵錯 |
當您需要更精細的即時/即時資訊用於特定流程時。 |
可以對nexus中的每個進程進行調試,如CDP、STP、OSPF、IGRP、BGP、vPC、LACP等。 |
即時排除Nexus上運行的特定進程的故障,提高精細度。 |
可能影響網路效能。 |
非永續性 |
資料+控制 |
# debug process [PROCESS] 範例: # debug ip ospf [?] |
| 金牌 |
提供對硬體元件(如I/O和管理引擎模組)的啟動、運行時間和按需診斷。 |
測試硬體,如USB、Bootflash、OBFL、ASIC記憶體、PCIE、埠環回、NVRAM等。 |
只能在版本6(2)8及更高版本上檢測硬體中的故障並採取必要的糾正措施。 |
僅檢測硬體問題。 |
非永續性 |
不適用 |
# show diagnostic content module all # show diagnostic description module [#] test all |
| EEM |
監視裝置上的事件並執行必要的操作。 |
需要某些操作/解決方法/通知的任何裝置活動,例如介面關閉、風扇故障、CPU利用率等。 |
支援Python指令碼。 |
必須具有網路管理員許可權才能配置EEM。 |
EEM指令碼和觸發器駐留在配置中。 | 不適用 |
視情況而定,請參閱 |
Nexus工具
如需各種命令及其語法或選項的更多說明,請參閱Cisco Nexus 9000系列交換機 — 命令參考 — Cisco。
Ethanalyzer
Ethanalyzer是一種NX-OS工具,旨在捕獲資料包CPU流量。使用此工具可以捕獲任何到達CPU的記錄,無論是入口還是出口。它基於廣泛使用的開源網路協定分析器Wireshark。有關此工具的更多詳細資訊,請參閱Nexus 7000上的Ethanalyzer故障排除指南 — Cisco
必須注意的是,一般來說,Ethanalyzer會擷取進出主管的所有流量。也就是說,它不支援特定於介面的捕獲。特定介面增強功能適用於較新代碼點中的特定平台。此外,Ethanalyzer僅捕獲CPU交換流量,而非硬體交換流量。例如,可以在帶內介面、管理介面或前面板埠(如果支援)上捕獲流量:
Nexus9000_A(config-if-range)# ethanalyzer local interface inband Capturing on inband 2020-02-18 01:40:55.183177 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:40:55.184031 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184096 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184147 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.184190 f8:b7:e2:49:2d:f3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:55.493543 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:40:56.365722 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xc82a6d3 2020-02-18 01:40:56.469094 f8:b7:e2:49:2d:b4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:40:57.202658 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:40:57.367890 0.0.0.0 -> 255.255.255.255 DHCP DHCP Discover - Transaction ID 0xc82a6d3 10 packets captured Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt Capturing on mgmt0 2020-02-18 01:53:07.055100 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:09.061398 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:11.081596 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:13.080874 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:15.087361 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:17.090164 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:19.096518 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:20.391215 00:be:75:5b:d9:00 -> 01:00:0c:cc:cc:cc CDP Device ID: Nexus9000_A(FDO21512ZES) Port ID: mgmt0 2020-02-18 01:53:21.119464 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 2020-02-18 01:53:23.126011 cc:98:91:fc:55:94 -> 01:80:c2:00:00:00 STP RST. Root = 32768/46/84:8a:8d:7d:a2:80 Cost = 4 Port = 0x8014 10 packets captured
Nexus9000-A# ethanalyzer local interface front-panel eth1/1
Capturing on 'Eth1-1'
1 2022-07-15 19:46:04.698201919 28:ac:9e:ad:5c:b8 → 01:80:c2:00:00:00 STP 53 RST. Root = 32768/1/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
2 2022-07-15 19:46:04.698242879 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/1/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
3 2022-07-15 19:46:04.698314467 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/10/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
4 2022-07-15 19:46:04.698386112 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/20/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
5 2022-07-15 19:46:04.698481274 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/30/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
6 2022-07-15 19:46:04.698555784 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/40/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
7 2022-07-15 19:46:04.698627624 28:ac:9e:ad:5c:b8 → 01:00:0c:cc:cc:cd STP 64 RST. Root = 32768/50/28:ac:9e:ad:5c:b7 Cost = 0 Port = 0x8001
此輸出顯示了可以使用Ethanalyzer捕獲的一些消息。
附註:預設情況下,Ethanalyzer僅捕獲最多10個資料包。但是,您可以使用此命令提示CLI無限期地捕獲資料包。使用CTRL+C退出捕獲模式。
Nexus9000_A(config-if-range)# ethanalyzer local interface inband limit-captured-frames 0 Capturing on inband 2020-02-18 01:43:30.542588 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542626 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542873 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:30.542892 f8:b7:e2:49:2d:f3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.596841 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:43:31.661089 f8:b7:e2:49:2d:b2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.661114 f8:b7:e2:49:2d:b3 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.661324 f8:b7:e2:49:2d:b5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:31.776638 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:43:33.143814 f8:b7:e2:49:2d:b4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.596810 dc:f7:19:1b:f9:85 -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/dc:f7:19:1b:f9:80 Cost = 0 Port = 0x8005 2020-02-18 01:43:33.784099 cc:98:91:fc:55:8b -> 01:80:c2:00:00:00 STP RST. Root = 32768/1/cc:98:91:fc:55:80 Cost = 0 Port = 0x800b 2020-02-18 01:43:33.872280 f8:b7:e2:49:2d:f2 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.872504 f8:b7:e2:49:2d:f5 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 2020-02-18 01:43:33.872521 f8:b7:e2:49:2d:f4 -> 01:80:c2:00:00:0e LLC U, func=UI; SNAP, OUI 0x00000C (Cisco), PID 0x0134 15 packets captured
您還可以在Ethanalyzer中使用過濾器,以專注於特定流量。乙醛可以使用兩種型別的過濾器。它們稱為捕獲過濾器和顯示過濾器。捕獲過濾器僅捕獲與捕獲過濾器中所定義的條件相匹配的流量。顯示過濾器仍會擷取所有流量,但只會顯示與顯示過濾器所定義標準相符的流量。
Nexus9000_B# ping 10.82.140.106 source 10.82.140.107 vrf management count 2 PING 10.82.140.106 (10.82.140.106) from 10.82.140.107: 56 data bytes 64 bytes from 10.82.140.106: icmp_seq=0 ttl=254 time=0.924 ms 64 bytes from 10.82.140.106: icmp_seq=1 ttl=254 time=0.558 ms Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt display-filter icmp Capturing on mgmt0 2020-02-18 01:58:04.403295 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 01:58:04.403688 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 2020-02-18 01:58:04.404122 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request 2020-02-18 01:58:04.404328 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply 4 packets captured
您還可以使用detail選項擷取封包,並在終端中檢視這些封包,方式類似於Wireshark。這樣您就可以根據資料包的扇區結果看到完整的報頭資訊。例如,如果幀經過加密,您將無法看到加密的負載。請參閱以下範例:
Nexus9000_A(config-if-range)# ethanalyzer local interface mgmt display-filter icmp detail Capturing on mgmt0 Frame 2 (98 bytes on wire, 98 bytes captured) Arrival Time: Feb 18, 2020 02:02:17.569801000 [Time delta from previous captured frame: 0.075295000 seconds] [Time delta from previous displayed frame: 0.075295000 seconds] [Time since reference or first frame: 0.075295000 seconds] Frame Number: 2 Frame Length: 98 bytes Capture Length: 98 bytes [Frame is marked: False] [Protocols in frame: eth:ip:icmp:data] Ethernet II, Src: 00:be:75:5b:de:00 (00:be:75:5b:de:00), Dst: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) Destination: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) Address: 00:be:75:5b:d9:00 (00:be:75:5b:d9:00) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) Type: IP (0x0800) >>>>>>>Output Clipped
使用Ethanalyzer,您可以:
- 將輸出(PCAP檔案)寫入各種目標檔案系統中的指定檔名:bootflash、logflash、USB等。
- 然後,您可以將儲存的檔案傳輸到裝置外部,並根據需要在Wireshark中檢視。
- 從bootflash中讀取檔案並在終端上顯示。與直接從CPU介面讀取一樣,如果使用detail關鍵字,還可以顯示完整的資料包資訊。
有關各種介面源和輸出選項,請參見以下示例:
Nexus9000_A# ethanalyzer local interface mgmt capture-filter "host 10.82.140.107" write bootflash:TEST.PCAP
Capturing on mgmt0
10
Nexus9000_A# dir bootflash:
4096 Feb 11 02:59:04 2020 .rpmstore/
4096 Feb 12 02:57:36 2020 .swtam/
2783 Feb 17 21:59:49 2020 09b0b204-a292-4f77-b479-1ca1c4359d6f.config
1738 Feb 17 21:53:50 2020 20200217_215345_poap_4168_init.log
7169 Mar 01 04:41:55 2019 686114680.bin
4411 Nov 15 15:07:17 2018 EBC-SC02-M2_303_running_config.txt
13562165 Oct 26 06:15:35 2019 GBGBLD4SL01DRE0001-CZ07-
590 Jan 10 14:21:08 2019 MDS20190110082155835.lic
1164 Feb 18 02:18:15 2020 TEST.PCAP
>>>>>>>Output Clipped
Nexus9000_A# copy bootflash: ftp:
Enter source filename: TEST.PCAP
Enter vrf (If no input, current vrf 'default' is considered): management
Enter hostname for the ftp server: 10.122.153.158
Enter username: calo
Password:
***** Transfer of file Completed Successfully *****
Copy complete, now saving to disk (please wait)...
Copy complete.
Nexus9000_A# ethanalyzer local read bootflash:TEST.PCAP
2020-02-18 02:18:03.140167 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:03.140563 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply
2020-02-18 02:18:15.663901 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.664303 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply
2020-02-18 02:18:15.664763 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.664975 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply
2020-02-18 02:18:15.665338 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.665536 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply
2020-02-18 02:18:15.665864 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.666066 10.82.140.106 -> 10.82.140.107 ICMP Echo (ping) reply
RTP-SUG-BGW-1# ethanalyzer local interface front-panel eth1-1 write bootflash:e1-1.pcap
Capturing on 'Eth1-1'
10
RTP-SUG-BGW-1# ethanalyzer local read bootflash:e1-1.pcap detail
Frame 1: 53 bytes on wire (424 bits), 53 bytes captured (424 bits) on interface Eth1-1, id 0
Interface id: 0 (Eth1-1)
Interface name: Eth1-1
Encapsulation type: Ethernet (1)
Arrival Time: Jul 15, 2022 19:59:50.696219656 UTC
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1657915190.696219656 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 53 bytes (424 bits)
Capture Length: 53 bytes (424 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:llc:stp]
範圍
交換器連線埠分析器(SPAN)用於擷取來自介面的所有流量,並將該流量映象到目的地連線埠。目的地連線埠通常連線到網路分析器工具(例如執行Wireshark的PC),以便分析通過這些連線埠的流量。您可以對來自單一連線埠或多個連線埠和VLAN的流量執行SPAN。
SPAN作業階段包括來源連線埠和目的地連線埠。來源連線埠可以是乙太網路連線埠(無子介面)、連線埠通道、Supervisor頻內介面,但不能同時作為目的地連線埠。此外,某些裝置(例如9300和9500平台)也支援光纖通路擴充模組(FEX)連線埠。目的地連線埠可以是乙太網路連線埠(存取或主幹)、連線埠通道(存取或主幹),而且對於某些裝置(例如9300上行鏈路連線埠),也支援目的地連線埠,但不支援FEX連線埠。目的地。
您可以將多個SPAN作業階段設定為輸入/輸出/雙向。個別裝置可支援的SPAN作業階段總數是有限的。例如,Nexus 9000最多支援32個會話,而Nexus 7000僅支援16個會話。您可以在CLI上檢查此項或參閱所用產品的SPAN配置指南。
附註:每個NX-OS版本、產品型別、支援的介面型別和功能都不同。請參閱您使用的產品和版本的最新設定原則與限制。
以下分別是適用於Nexus 9000和Nexus 7000的連結:
Cisco Nexus 9000系列NX-OS系統管理配置指南9.3(x)版 — 配置SPAN [Cisco Nexus 9000系列交換機] — 思科
Cisco Nexus 7000系列NX-OS系統管理配置指南 — 配置SPAN [Cisco Nexus 7000系列交換機] — 思科
有各種型別的SPAN作業階段。下面列出了一些較常見的型別:
- 本地SPAN:一種型別的SPAN作業階段,其中來源主機和目的地主機都是交換器的本地主機。換句話說,設定SPAN作業階段所需的所有組態都會套用到單一交換器,即來源和目的地主機連線埠所在的交換器。
- 遠端SPAN(RSPAN):來源和目的地主機不在交換器本地的SPAN作業階段型別。換句話說,您可以在一台交換器上設定來源RSPAN作業階段,並在目的地交換器上設定目的地RSPAN作業階段,並使用RSPAN VLAN擴充連線。
附註:Nexus不支援RSPAN。
- 延伸遠端SPAN(ERSPAN):交換器使用通用路由封裝(GRE)通道標頭封裝複製的訊框,並將封包路由到已設定的目的地。在封裝交換機和解除封裝交換器(兩個不同的裝置)上設定來源作業階段和目的地作業階段。 這讓您能夠在第3層網路上SPAN流量。
- SPAN到CPU:指定給特殊型別的SPAN作業階段的名稱,其中目的地連線埠是Supervisor或CPU。這是本地SPAN作業階段的形式,可以在無法使用標準SPAN作業階段的情況下使用。一些常見的原因包括:沒有可用或合適的SPAN目的地連線埠、無法存取的站台或未經管理的站台、沒有可連線到SPAN目的地連線埠的可用裝置等。有關詳細資訊,請參閱此連結Nexus 9000雲擴展ASIC NX-OS SPAN到CPU過程 — Cisco。請務必留意,SPAN到CPU的速率受控制平面管制(CoPP)的限制,因此超過管制器的一個或多個來源介面可以導致SPAN到CPU作業階段的捨棄
sniffing。如果發生這種情況,資料並不完全反映線路上的情況,因此SPAN到CPU並不總是適用於高資料速率和/或間歇性丟失的故障排除方案。配置SPAN到CPU會話並管理性啟用後,需要運行Ethanalyzer以檢視傳送到CPU的流量以便相應地執行分析。
以下範例顯示如何在Nexus 9000交換器上設定簡單的本地SPAN作業階段:
Nexus9000_A(config-monitor)# monitor session ? *** No matching command found in current mode, matching in (config) mode *** <1-32> all All sessions Nexus9000_A(config)# monitor session 10 Nexus9000_A(config-monitor)# ? description Session description (max 32 characters) destination Destination configuration filter Filter configuration mtu Set the MTU size for SPAN packets no Negate a command or set its defaults show Show running system information shut Shut a monitor session source Source configuration end Go to exec mode exit Exit from command interpreter pop Pop mode from stack or restore from name push Push current mode to stack or save it under name where Shows the cli context you are in Nexus9000_A(config-monitor)# description Monitor_Port_e1/1 Nexus9000_A(config-monitor)# source interface ethernet 1/1 Nexus9000_A(config-monitor)# destination interface ethernet 1/10 Nexus9000_A(config-monitor)# no shut
此範例顯示已開啟的SPAN到CPU作業階段的組態,然後使用Ethanalyzer擷取流量:
N9000-A# show run monitor
monitor session 1
source interface Ethernet1/7 rx
destination interface sup-eth0 << this is what sends the traffic to CPU
no shut
RTP-SUG-BGW-1# ethanalyzer local interface inband mirror limit-c 0
Capturing on 'ps-inb'
2020-02-18 02:18:03.140167 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
2020-02-18 02:18:15.663901 10.82.140.107 -> 10.82.140.106 ICMP Echo (ping) request
Dmirror
Dmirror是基於Broadcom的Nexus平台的SPAN到CPU會話的一種型別。此概念與SPAN到CPU的相同,且速率限製為50 pps(封包每秒)。實現此功能的目的是使用bcm-shell CLI對內部資料路徑進行偵錯。由於相關的限制,沒有NX-OS CLI允許使用者配置到Sup的SPAN會話,因為它可能影響控制流量並使用CoPP類。
ELAM
嵌入式邏輯分析器模組(ELAM)能夠檢視ASIC並確定為單個資料包做出的轉發決策。因此,使用ELAM,您可以確定資料包是否到達轉發引擎以及埠/VLAN資訊。您還可以檢查L2 - L4資料包結構,以及是否對資料包進行了任何更改。
必須瞭解,ELAM與體系結構有關,捕獲資料包的過程因平台而異,取決於內部體系結構。您必須知道硬體的ASIC對映才能正確應用該工具。對於Nexus 7000,對單個資料包進行兩次捕獲,一次是在做出決策之前,即資料匯流排(DBUS),另一次是在做出決策之後,即結果匯流排(RBUS)。 當您檢視DBUS資訊時,可以看到資料包接收的內容/位置,以及第2層到第4層資訊。RBUS中的結果可以顯示資料包轉發到的位置,以及幀是否被更改。您需要為DBUS和RBUS設定觸發器,確保它們已準備就緒,然後嘗試即時捕獲資料包。各種線卡的步驟如下:
有關各種ELAM過程的詳細資訊,請參閱下表中的連結:
| ELAM概述 |
|
| Nexus 7K F1模組 |
|
| Nexus 7K F2模組 |
|
| Nexus 7K F3模組 |
|
| Nexus 7K M模組 |
|
| Nexus 7K M1/M2和F2模組 |
|
| Nexus 7K M3模組 |
適用於Nexus 7000 - M1/M2的ELAM(Eureka平台)
- 使用show module指令檢查模組編號。
- 使用連線模組x連接到模組,其中x是模組編號。
- 使用show hardware internal dev-port-map命令檢查內部ASIC對映,並檢查L2LKP和L3LKP。
Nexus7000(config)# show module Mod Ports Module-Type Model Status --- ----- ----------------------------------- ------------------ ---------- 1 0 Supervisor Module-2 N7K-SUP2E active * 2 0 Supervisor Module-2 N7K-SUP2E ha-standby 3 48 1/10 Gbps Ethernet Module N7K-F248XP-25E ok 4 24 10 Gbps Ethernet Module N7K-M224XP-23L ok Nexus7000(config)# attach module 4 Attaching to module 4 ... To exit type 'exit', to abort type '$.' Last login: Fri Feb 14 18:10:21 UTC 2020 from 127.1.1.1 on pts/0 module-4# show hardware internal dev-port-map -------------------------------------------------------------- CARD_TYPE: 24 port 10G >Front Panel ports:24 -------------------------------------------------------------- Device name Dev role Abbr num_inst: -------------------------------------------------------------- > Skytrain DEV_QUEUEING QUEUE 4 > Valkyrie DEV_REWRITE RWR_0 4 > Eureka DEV_LAYER_2_LOOKUP L2LKP 2 > Lamira DEV_LAYER_3_LOOKUP L3LKP 2 > Garuda DEV_ETHERNET_MAC MAC_0 2 > EDC DEV_PHY PHYS 6 > Sacramento Xbar ASIC DEV_SWITCH_FABRIC SWICHF 1 +-----------------------------------------------------------------------+ +----------------+++FRONT PANEL PORT TO ASIC INSTANCE MAP+++------------+ +-----------------------------------------------------------------------+ FP port | PHYS | SECUR | MAC_0 | RWR_0 | L2LKP | L3LKP | QUEUE |SWICHF 1 0 0 0 0,1 0 0 0,1 0 2 0 0 0 0,1 0 0 0,1 0 3 0 0 0 0,1 0 0 0,1 0 4 0 0 0 0,1 0 0 0,1 0 5 1 0 0 0,1 0 0 0,1 0 6 1 0 0 0,1 0 0 0,1 0 7 1 0 0 0,1 0 0 0,1 0 8 1 0 0 0,1 0 0 0,1 0 9 2 0 0 0,1 0 0 0,1 0 10 2 0 0 0,1 0 0 0,1 0 11 2 0 0 0,1 0 0 0,1 0 12 2 0 0 0,1 0 0 0,1 0 13 3 1 1 2,3 1 1 2,3 0 14 3 1 1 2,3 1 1 2,3 0 15 3 1 1 2,3 1 1 2,3 0 16 3 1 1 2,3 1 1 2,3 0 17 4 1 1 2,3 1 1 2,3 0 18 4 1 1 2,3 1 1 2,3 0 19 4 1 1 2,3 1 1 2,3 0 20 4 1 1 2,3 1 1 2,3 0 21 5 1 1 2,3 1 1 2,3 0 22 5 1 1 2,3 1 1 2,3 0 23 5 1 1 2,3 1 1 2,3 0 24 5 1 1 2,3 1 1 2,3 0 +-----------------------------------------------------------------------+ +-----------------------------------------------------------------------+
- 首先,您在L2中捕獲資料包,並檢視轉發決策是否正確。為此,請檢視L2LKP對映列,並確定與埠對應的ASIC例項編號。
- 接下來,使用命令elam asic eureka instance x在此例項上運行ELAM其中x是ASIC例項編號,並為DBUS和RBUS配置我們的觸發器。使用命令status檢查觸發器的狀態,並確認已配置觸發器。
module-4(eureka-elam)# trigger dbus dbi ingress ipv4 if source-ipv4-address 192.0.2.2 destination-ipv4-address 192.0.2.4 rbi-corelatemodule-4(eureka-elam)#trigger rbus rbi pb1 ip if cap2 1 module-4(eureka-elam)# status Slot: 4, Instance: 1 EU-DBUS: Configured trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1 EU-RBUS: Configured trigger rbus rbi pb1 ip if cap2 1
- 使用命令start啟用觸發器,並使用命令狀態驗證觸發器的狀態,以確認觸發器的狀態已準備好。
module-4(eureka-elam)# start module-4(eureka-elam)# status
Slot: 4, Instance: 1 EU-DBUS: Armed <<<<<<<<<< trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1 EU-RBUS: Armed <<<<<<<<<< trigger rbus rbi pb1 ip if cap2 1
- 一旦狀態顯示觸發器已準備就緒,它們就可以捕獲。此時,您必須傳送流量通過,並再次檢查狀態,檢視您的觸發器是否實際觸發。
module-4(eureka-elam)# status Slot: 4, Instance: 1 EU-DBUS: Triggered <<<<<<<<<< trigger dbus dbi ingress ipv4 if source-ipv4-address 192.168.10.1 EU-RBUS: Triggered <<<<<<<<<< trigger rbus rbi pb1 ip if cap2 1
- 觸發後,請檢查rbus和dbus的資料包序列號,以確認它們都捕獲了同一個資料包。可以使用show dbus指令完成此操作 | i序列;show rbus | i seq。如果序列號匹配,則可以檢視dbus和rbus的內容。如果不能,請重新運行捕獲,直到能夠捕獲同一資料包為止。
- 您可以使用show dbus和show rbus命令檢視rbus和dbus的內容。捕獲中的重要內容是序列#和源/目標索引。Dbus向您顯示了源索引,它告訴您它接收資料包的埠。Rbus顯示將封包轉送到的連線埠的目的地索引。此外,您還可以檢視來源和目的地IP/MAC位址以及VLAN資訊。
- 使用源和目標索引(也稱為LTL索引),可以使用show system internal pixm info ltl #命令檢查關聯的前面板埠。
適用於Nexus 7000 - M1/M2的ELAM(Lamira平台)
Lamira平台的程式也一樣,但也有一些差異:
- 運行帶有關鍵字Lamiraelam asic lamira instance x的ELAM。
- 觸發ELAM的命令有:
module-4(lamira-elam)# trigger dbus ipv4 if source-ipv4-address 192.0.2.2 destination-ipv4-address 192.0.2.4
module-4(lamira-elam)# trigger rbus
ip if elam-match 1
- 您可以使用status命令檢查狀態,並確保它們在傳送流量之前已準備好,在捕獲流量之後已觸發。
- 然後,可以按照類似於Eureka的方式解釋dbus和show bus的輸出。
適用於Nexus 7000 - F2/F2E的ELAM(Clipper平台)
同樣,過程是相似的,只是觸發器不同。少數差異如下:
- 您使用關鍵字Clipperelem asic clipper例項x運行ELAM,並指定第2層模式或第3層模式。
module-4# elam asic clipper instance 1
module-4(clipper-elam)#
- 觸發ELAM的命令如下:
module-4(clipper-l2-elam)# trigger dbus ipv4 ingress if source-ipv4-address 192.0.2.3 destination-ipv4-address 192.0.2.2 module-4(clipper-l2-elam)# trigger rbus ingress if trig
- 您可以使用status命令檢查狀態,並確保它們在傳送流量之前已準備好,在捕獲流量之後已觸發。
- 然後,可以按照類似於Eureka的方式解釋dbus和show bus的輸出。
適用於Nexus 7000 - F3的ELAM(側翼平台)
同樣,過程相似,只是觸發器不同。少數差異如下:
- 使用關鍵字Flanker elam asic flanker instance x運行ELAM,並指定第2層或第3層模式。
module-4# elam asic flanker instance 1
module-4(flanker-elam)#
- 觸發ELAM的命令如下:
module-9(fln-l2-elam)# trigger dbus ipv4 if destination-ipv4-address 10.1.1.2 module-9(fln-l2-elam)# trigger rbus ingress if trig
- 您可以使用status命令檢查狀態,並確保它們在傳送流量之前已準備好,在捕獲流量之後已觸發。
- 然後,可以按照類似於Eureka的方式解釋dbus和rbus的輸出。
適用於Nexus 9000的ELAM(Tahoe平台)
在Nexus 9000中,該過程與Nexus 7000略有不同。對於Nexus 9000,請參閱Nexus 9000雲規模ASIC(Tahoe)NX-OS ELAM - Cisco連結
-
首先,使用show hardware internal tah interface #指令檢查介面對應。此輸出中最重要的資訊是ASIC#、Slice #和源ID(srcid)號。
- 此外,您還可以使用show system internal ethpm info interface #指令再次檢查此資訊 | i src。除了前面列出的值外,這裡的重要一點是dpid和dmod值。
- 使用show module指令檢查模組編號。
- 使用連線模組x連線到模組,其中x是模組編號。
- 使用命令module-1# debug platform internal tah elam asic #在模組上運行ELAM。
- 根據要捕獲的流量型別(第2層、第3層,封裝的流量(例如GRE或VXLAN等)配置內部或外部觸發器:
Nexus9000(config)# attach module 1 module-1# debug platform internal tah elam asic 0 module-1(TAH-elam)# trigger init asic # slice # lu-a2d 1 in-select 6 out-select 0 use-src-id # module-1(TAH-elam-insel6)# reset module-1(TAH-elam-insel6)# set outer ipv4 dst_ip 192.0.2.1 src_ip 192.0.2.2
- 設定觸發器後,使用start命令啟動ELAM,傳送流量並使用命令report檢視輸出。報告的輸出顯示了傳出和傳入介面以及VLAN ID、源和目標IP/MAC地址。
SUGARBOWL ELAM REPORT SUMMARY slot - 1, asic - 1, slice - 1 ============================ Incoming Interface: Eth1/49 Src Idx : 0xd, Src BD : 10 Outgoing Interface Info: dmod 1, dpid 14 Dst Idx : 0x602, Dst BD : 10 Packet Type: IPv4 Dst MAC address: CC:46:D6:6E:28:DB Src MAC address: 00:FE:C8:0E:27:15 .1q Tag0 VLAN: 10, cos = 0x0 Dst IPv4 address: 192.0.2.1 Src IPv4 address: 192.0.2.2
Ver = 4, DSCP = 0, Don't Fragment = 0 Proto = 1, TTL = 64, More Fragments = 0 Hdr len = 20, Pkt len = 84, Checksum = 0x667f
適用於Nexus 9000的ELAM(NorthStar平台)
NorthStar平台的程式與Tahoe平台的程式相同,唯一的區別是在進入ELAM模式時,使用關鍵字ns而不是tah:
module-1# debug platform internal ns elam asic 0
N9K Packet Tracer
Nexus 9000 packet tracer工具可用於跟蹤資料包的路徑,並且其內建的流量統計計數器使其成為處理間歇/完整流量丟失情況的寶貴工具。在TCAM資源有限或不可用的情況下,運行其他工具將非常有用。此外,此工具無法捕獲ARP流量,並且不顯示資料包內容的詳細資訊(如Wireshark)。
要配置packet tracer,請使用以下命令:
N9K-9508# test packet-tracer src_ip
dst_ip
<==== provide your src and dst ip
N9K-9508# test packet-tracer start <==== Start packet tracer
N9K-9508# test packet-tracer stop <==== Stop packet tracer
N9K-9508# test packet-tracer show <==== Check for packet matches
有關詳細資訊,請參閱鏈路Nexus 9000:Packet Tracer工具說明 — Cisco
Traceroute和Ping
這些命令是兩個最有用的命令,可讓您快速確定連線問題。
Ping使用網際網路控制訊息通訊協定(ICMP)將ICMP回應訊息傳送至特定目的地,並等待來自該目的地的ICMP回應回應。如果主機之間的路徑工作正常且沒有問題,您可以看到回覆回來且ping成功。ping命令預設會傳送5x ICMP回應訊息(兩個方向的大小相等),如果一切皆正常運作,您可以看到5x ICMP回應回應。有時,當交換器在位址解析通訊協定(ARP)要求期間得知MAC位址時,最初的回應要求會失敗。如果之後直接再次執行ping,則不會產生ping初始損失。此外,您還可以使用以下關鍵字設定ping次數、資料包大小、源、源介面和超時時間間隔:
F241.04.25-N9K-C93180-1# ping 10.82.139.39 vrf management PING 10.82.139.39 (10.82.139.39): 56 data bytes 36 bytes from 10.82.139.38: Destination Host Unreachable Request 0 timed out 64 bytes from 10.82.139.39: icmp_seq=1 ttl=254 time=23.714 ms 64 bytes from 10.82.139.39: icmp_seq=2 ttl=254 time=0.622 ms 64 bytes from 10.82.139.39: icmp_seq=3 ttl=254 time=0.55 ms 64 bytes from 10.82.139.39: icmp_seq=4 ttl=254 time=0.598 ms F241.04.25-N9K-C93180-1# ping 10.82.139.39 ? <CR> count Number of pings to send df-bit Enable do not fragment bit in IP header interval Wait interval seconds between sending each packet packet-size Packet size to send source Source IP address to use source-interface Select source interface timeout Specify timeout interval vrf Display per-VRF information
Traceroute用於識別封包到達目的地之前經過的各種躍點。這是一個非常重要的工具,因為它有助於確定發生故障的L3邊界。您也可以將連線埠、來源和來源介面與下列關鍵字搭配使用:
F241.04.25-N9K-C93180-1# traceroute 10.82.139.39 ? <CR> port Set destination port source Set source address in IP header source-interface Select source interface vrf Display per-VRF information Nexus_1(config)# traceroute 192.0.2.1 traceroute to 192.0.2.1 (192.0.2.1), 30 hops max, 40 byte packets 1 198.51.100.3 (198.51.100.3) 1.017 ms 0.655 ms 0.648 ms 2 203.0.113.2 (203.0.113.2) 0.826 ms 0.898 ms 0.82 ms 3 192.0.2.1 (192.0.2.1) 0.962 ms 0.765 ms 0.776 ms
PACL/RACL/VACL
訪問控制清單(ACL)是一個重要的工具,允許您根據相關定義的標準過濾流量。在ACL中填寫了符合條件的條目後,可以應用它來捕獲入站或出站流量。ACL的一個重要方面就是它能夠提供流量統計資訊的計數器。術語PACL/RACL/VACL是指這些ACL的各種實施,它們允許您使用ACL作為功能強大的故障排除工具,特別是對於間歇性流量丟失而言。以下簡要介紹這些術語:
- 連線埠存取控制清單(PACL):將訪問清單應用到L2交換機埠/介面時,該訪問清單稱為PACL。
- 路由器存取控制清單(RACL):將訪問清單應用到L3路由埠/介面時,該訪問清單稱為RACL。
- VLAN存取控制清單(VACL):您可以將VACL配置為應用於路由入或出自VLAN或在VLAN內橋接的所有資料包。VACL嚴格用於安全封包過濾器並將流量重新導向到特定實體介面。VACL不是由方向(入口或出口)定義的。
下表提供不同ACL版本的比較。
| ACL型別 |
PACL |
RACL |
VACL |
| 功能 |
過濾在L2介面上接收的流量。 |
過濾在L3介面上接收的流量。 |
過濾vLAN流量。 |
| 應用時間 |
- L2介面/埠。 - L2埠通道介面。 — 如果應用於主干連線埠,ACL會過濾該主干連線埠上允許的所有VLAN流量。 |
- VLAN介面。 — 物理L3介面。 - L3子介面。 - L3埠通道介面。 — 管理介面。 |
啟用後,ACL會應用到該VLAN中的所有埠(包括中繼埠)。 |
| 應用方向 |
僅限入站。 |
入站或出站 |
- |
以下是您可以如何設定存取清單的範例。有關詳細資訊,請參閱連結Cisco Nexus 9000系列NX-OS安全配置指南9.3(x)版 — 配置IP ACL [Cisco Nexus 9000系列交換機] - Cisco
Nexus93180(config)# ip access-list
Nexus93180(config-if)# ip port access-group <NAME_of_ACL> ? >>>>>> When you configure ACL like this, it is PACL.
in Inbound packets
Nexus93180(config-if)# ip access-group <NAME_of_ACL> ? >>>>>> When you configure ACL like this, it is RACL.
in Inbound packets
out Outbound packets
LOGFLASH
LogFlash是Nexus平台上可用的一種持久儲存型別,可以用作外部快閃記憶體、USB裝置或Supervisor中的嵌入式磁碟。如果從交換機上刪除,系統會定期通知使用者缺少LogFlash。Logflash安裝在Supervisor上,用於儲存歷史資料,如記帳日誌、系統日誌消息、調試和嵌入式事件管理器(EEM)輸出。本文稍後將討論EEM。您可以使用以下命令檢查LogFlash的內容:
Nexus93180(config)# dir logflash: 0 Nov 14 04:13:21 2019 .gmr6_plus 20480 Feb 18 13:35:07 2020 ISSU_debug_logs/ 24 Feb 20 20:43:24 2019 arp.pcap 24 Feb 20 20:36:52 2019 capture_SYB010L2289.pcap 4096 Feb 18 17:24:53 2020 command/ 4096 Sep 11 01:39:04 2018 controller/ 4096 Aug 15 03:28:05 2019 core/ 4096 Feb 02 05:21:47 2018 debug/ 1323008 Feb 18 19:20:46 2020 debug_logs/ 4096 Feb 17 06:35:36 2020 evt_log_snapshot/ 4096 Feb 02 05:21:47 2018 generic/ 1024 Oct 30 17:27:49 2019 icamsql_1_1.db 32768 Jan 17 11:53:23 2020 icamsql_1_1.db-shm 129984 Jan 17 11:53:23 2020 icamsql_1_1.db-wal 4096 Feb 14 13:44:00 2020 log/ 16384 Feb 02 05:21:44 2018 lost+found/ 4096 Aug 09 20:38:22 2019 old_upgrade/ 4096 Feb 18 13:40:36 2020 vdc_1/ Usage for logflash://sup-local 1103396864 bytes used 7217504256 bytes free 8320901120 bytes total
如果使用者重新載入裝置,或者裝置由於某個事件而突然自己重新載入,所有日誌資訊都將丟失。在這種情況下,LogFlash可以提供歷史資料,您可以檢視這些資料以確定問題的可能原因。當然,需要進一步開展盡職調查,以確定根本原因,從而提供一些提示,告訴您萬一再次發生此事件時需要尋找什麼。
有關如何在裝置上安裝logflash的資訊,請參閱Nexus 7000日誌記錄功能 — Cisco連結。
OBFL
板載故障記錄(OBFL)是一種適用於Nexus Top of Rack和模組化交換機的持久儲存型別。與LogFlash一樣,在重新載入裝置後,系統會保留資訊。OBFL儲存故障和環境資料等資訊。資訊因平台和模組而異,但以下是Nexus 93108平台模組1的輸出示例(即只有一個模組的固定機箱):
Nexus93180(config)# show logging onboard module 1 ? *** No matching command found in current mode, matching in (exec) mode *** <CR> > Redirect it to a file >> Redirect it to a file in append mode boot-uptime Boot-uptime card-boot-history Show card boot history card-first-power-on Show card first power on information counter-stats Show OBFL counter statistics device-version Device-version endtime Show OBFL logs till end time mm/dd/yy-HH:MM:SS environmental-history Environmental-history error-stats Show OBFL error statistics exception-log Exception-log internal Show Logging Onboard Internal interrupt-stats Interrupt-stats obfl-history Obfl-history stack-trace Stack-trace starttime Show OBFL logs from start time mm/dd/yy-HH:MM:SS status Status | Pipe command output to filter Nexus93180(config)# show logging onboard module 1 status ---------------------------- OBFL Status ---------------------------- Switch OBFL Log: Enabled Module: 1 OBFL Log: Enabled card-boot-history Enabled card-first-power-on Enabled cpu-hog Enabled environmental-history Enabled error-stats Enabled exception-log Enabled interrupt-stats Enabled mem-leak Enabled miscellaneous-error Enabled obfl-log (boot-uptime/device-version/obfl-history) Enabled register-log Enabled system-health Enabled temp Error Enabled stack-trace Enabled
同樣地,此資訊在裝置被使用者有意重新載入或由於觸發了重新載入的事件時非常有用。在這種情況下,OBFL資訊可幫助從線卡的角度確定問題所在。show logging onboard命令是一個很好的起點。請記住,您必須從模組上下文內捕獲才能獲取所需的一切。確保使用show logging onboard module x或attach mod x;show logging onboard。
事件歷史記錄
事件歷史記錄是功能強大的工具之一,它可以為您提供在Nexus上運行的進程所發生的各種事件的相關資訊。換句話說,在Nexus平台上運行的每個進程都有在後台運行的事件歷史記錄,並儲存有關該進程各種事件的資訊(將它們視為持續運行的調試)。 這些事件歷史記錄是非永續性的,在裝置重新載入時,儲存的所有資訊都將丟失。當您確定某個流程的問題並要對該流程進行故障排除時,這些選項非常有用。例如,如果OSPF路由協定不能正常工作,您可以使用與OSPF關聯的事件歷史記錄來確定OSPF進程發生故障的位置。您可以找到與Nexus平台上的幾乎每個進程(如CDP/STP、UDLD、LACP/OSPF、EIGRP/BGP等)關聯的事件歷史記錄。
這是通常使用引用示例檢查進程的事件歷史記錄的方式。每個進程都有多個選項,所以要使用嗎?檢查進程下的各種可用選項。
Nexus93180(config)# show
internal event-history ?
Nexus93180# show ip ospf event-history ?
adjacency Adjacency formation logs
cli Cli logs
event Internal event logs
flooding LSA flooding logs
ha HA and GR logs
hello Hello related logs
ldp LDP related logs
lsa LSA generation and databse logs
msgs IPC logs
objstore DME OBJSTORE related logs
redistribution Redistribution logs
rib RIB related logs
segrt Segment Routing logs
spf SPF calculation logs
spf-trigger SPF TRIGGER related logs
statistics Show the state and size of the buffers
te MPLS TE related logs
Nexus93180# show spanning-tree internal event-history ?
all Show all event historys
deleted Show event history of deleted trees and ports
errors Show error logs of STP
msgs Show various message logs of STP
tree Show spanning tree instance info
vpc Show virtual Port-channel event logs
偵錯
調試是NX-OS中功能強大的工具,允許您運行即時故障排除事件並將其記錄到檔案或在CLI中顯示。強烈建議在檔案上記錄偵錯輸出,因為這些輸出確實會影響CPU效能。在CLI上直接執行偵錯之前,請務必小心。
通常只有在將問題確定為單個進程並要檢查該進程如何即時處理網路中的實際流量時,才會運行調試。您需要根據定義的使用者帳戶許可權啟用調試功能。
與事件歷史一樣,您可以為Nexus裝置上的每個進程(如CDP/STP、UDLD、LACP/OSPF、EIGRP/BGP等)運行調試。
這是通常為進程運行調試的方式。每個進程都有多個選項,所以使用嗎?檢查進程下的各種可用選項。
Nexus93180# debug
?
Nexus93180# debug spanning-tree ?
all Configure all debug flags of stp
bpdu_rx Configure debugging of stp bpdu rx
bpdu_tx Configure debugging of stp bpdu tx
error Configure debugging of stp error
event Configure debugging of Events
ha Configure debugging of stp HA
mcs Configure debugging of stp MCS
mstp Configure debugging of MSTP
pss Configure debugging of PSS
rstp Configure debugging of RSTP
sps Configure debugging of Set Port state batching
timer Configure debugging of stp Timer events
trace Configure debugging of stp trace
warning Configure debugging of stp warning
Nexus93180# debug ip ospf ?
adjacency Adjacency events
all All OSPF debugging
database OSPF LSDB changes
database-timers OSPF LSDB timers
events OSPF related events
flooding LSA flooding
graceful-restart OSPF graceful restart related debugs
ha OSPF HA related events
hello Hello packets and DR elections
lsa-generation Local OSPF LSA generation
lsa-throttling Local OSPF LSA throttling
mpls OSPF MPLS
objectstore Objectstore Events
packets OSPF packets
policy OSPF RPM policy debug information
redist OSPF redistribution
retransmission OSPF retransmission events
rib Sending routes to the URIB
segrt Segment Routing Events
snmp SNMP traps and request-response related events
spf SPF calculations
spf-trigger Show SPF triggers
金牌
顧名思義,通用線上診斷(GOLD)這些測試通常用於系統健康狀況檢查,並用於檢查或驗證有問題的硬體。有多種線上測試正在基於正在使用的平台進行,其中一些測試具有破壞性,而另一些測試不具有破壞性。這些線上測試可分為以下幾類:
- 開機診斷:這些測試是在裝置啟動時運行的測試。他們還檢查管理引擎與模組之間的連通性,包括所有ASIC的資料和控制平面之間的連通性。ManagementPortLoopback和EOBCLoopback等測試具有中斷性,而OBFL和USB測試不具有中斷性。
- 運行時或運行狀況監控診斷:這些測試提供有關裝置運行狀況的資訊。這些測試是無中斷的,可在後台運行,以確保硬體的穩定性。您可以根據需要或出於故障排除目的啟用/禁用這些測試。
- 按需診斷:上述所有測試均可根據需要重新運行,以便本地化問題。
您可以使用以下命令檢查適用於交換器的各種型別的線上測試:
Nexus93180(config)# show diagnostic content module all Diagnostics test suite attributes: B/C/* - Bypass bootup level test / Complete bootup level test / NA P/* - Per port test / NA M/S/* - Only applicable to active / standby unit / NA D/N/* - Disruptive test / Non-disruptive test / NA H/O/* - Always enabled monitoring test / Conditionally enabled test / NA F/* - Fixed monitoring interval test / NA X/* - Not a health monitoring test / NA E/* - Sup to line card test / NA L/* - Exclusively run this test / NA T/* - Not an ondemand test / NA A/I/* - Monitoring is active / Monitoring is inactive / NA Module 1: 48x10/25G + 6x40/100G Ethernet Module (Active) Testing Interval ID Name Attributes (hh:mm:ss) ____ __________________________________ ____________ _________________ 1) USB---------------------------> C**N**X**T* -NA- 2) NVRAM-------------------------> ***N******A 00:05:00 3) RealTimeClock-----------------> ***N******A 00:05:00 4) PrimaryBootROM----------------> ***N******A 00:30:00 5) SecondaryBootROM--------------> ***N******A 00:30:00 6) BootFlash---------------------> ***N******A 00:30:00 7) SystemMgmtBus-----------------> **MN******A 00:00:30 8) OBFL--------------------------> C**N**X**T* -NA- 9) ACT2--------------------------> ***N******A 00:30:00 10) Console-----------------------> ***N******A 00:00:30 11) FpgaRegTest-------------------> ***N******A 00:00:30 12) Mce---------------------------> ***N******A 01:00:00 13) AsicMemory--------------------> C**D**X**T* -NA- 14) Pcie--------------------------> C**N**X**T* -NA- 15) PortLoopback------------------> *P*N**XE*** -NA- 16) L2ACLRedirect-----------------> *P*N***E**A 00:01:00 17) BootupPortLoopback------------> CP*N**XE*T* -NA-
要顯示所提到的17項測試中的每一項功能,您可以使用以下命令:
Nexus93180(config)# show diagnostic description module 1 test all USB : A bootup test that checks the USB controller initialization on the module. NVRAM : A health monitoring test, enabled by default that checks the sanity of the NVRAM device on the module. RealTimeClock : A health monitoring test, enabled by default that verifies the real time clock on the module. PrimaryBootROM : A health monitoring test that verifies the primary BootROM on the module. SecondaryBootROM : A health monitoring test that verifies the secondary BootROM on the module. BootFlash : A Health monitoring test, enabled by default, that verifies access to the internal compactflash devices. SystemMgmtBus : A Health monitoring test, enabled by default, that verifies the standby System Bus. OBFL : A bootup test that checks the onboard flash used for failure logging (OBFL) device initialization on the module. ACT2 : A Health monitoring test, enabled by default, that verifies access to the ACT2 device. Console : A health monitoring test,enabled by default that checks health of console device. FpgaRegTest : A health monitoring test,enabled by default that checks read/write access to FPGA scratch registers on the module. Mce : A Health monitoring test, enabled by default, that check for machine errors on sup. AsicMemory : A bootup test that checks the asic memory. Pcie : A bootup test that tests pcie bus of the module PortLoopback : A health monitoring test that tests the packet path from the Supervisor card to the physical port in ADMIN DOWN state on Linecards. L2ACLRedirect : A health monitoring test, enabled by default, that does a non disruptive loopback for TAHOE asics to check the ACL Sup redirect with the CPU port. BootupPortLoopback : A Bootup test that tests the packet path from the Supervisor card to all of the physical ports at boot time.
EEM
嵌入式事件管理器(EEM)是一個強大的工具,它允許您對裝置進行程式設計,以便在發生特定事件時執行特定任務。它會監視裝置上的各種事件,然後採取必要的操作來解決問題並可能恢復。EEM由三個主要元件組成,下面分別簡要介紹:
- Event Statement(事件語句):這些是您要監控並希望Nexus執行特定操作的事件,例如採取解決方法或只是通知SNMP伺服器或顯示CLI日誌等。
- Action語句:這些是EEM在觸發事件後採取的步驟。這些操作可能只是禁用介面或執行一些show命令,並將輸出複製到ftp伺服器上的檔案,傳送電子郵件等。
- 策略:它基本上是一個事件,它與可通過CLI或bash指令碼在Supervisor上配置的一個或多個action語句結合使用。您也可以使用python指令碼呼叫EEM。一旦在Supervisor上定義了策略,它就會將策略推送到相關模組。
有關EEM的詳細資訊,請參閱Cisco Nexus 9000系列NX-OS系統管理配置指南9.2(x)版 — 配置嵌入式事件管理器[Cisco Nexus 9000系列交換機] — 思科連結。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
25-Nov-2024 |
已更新樣式要求和格式。 |
1.0 |
29-Aug-2022 |
初始版本 |
意見