четверг, 6 февраля 2014 г.

Коммутация 2-го уровня. Диагностика и устранение неполадок.


Одной из тем, которые встретится на экзамене CCNA будет "Диагностика и устранение неполадок в работе коммутаторов 2-го уровня".  Для того, чтобы не запутаться на экзамене нужно запомнить одно простое правило, и пользоваться простым планом действий. Основное правило при диагностике и устранении неполадок - это "Не трогай технику, и она тебя не подведет". Т.е. "Зачем лез, если оно само работало?"… Не совсем так, конечно. Это основное правило системного администрирования в целом. Почему-то вспомнилось...
Основное правило - "Не делать предположение о том, что находится в рабочем состоянии, а что нет, предварительно этого не проверив". Т.е. нельзя предполагать, что порт коммутатора активен, и находится в рабочем состоянии, не проверив этого. Все остальное - по плану.





1. Диагностика физического уровня и порта коммутатора

·        Кабель: тип, категория, длинна
·        Состояние порта
·        Согласованность портов ( full-duplex / half-duplex )
·        Принадлежность порта корректному VTP VLAN

2. Диагностика и устранение неполадок VLAN и VTP-trunk-ов

·        Согласованность номера native VLAN на всех узлах VTP домена.
·        Согласованность режимов локального и удаленного VTP trunk-ов ( Dynamic Auto / Dynamic Desirable)
·        Принадлежность каждого VLAN уникальной IP сети
·        Параметры конфигурации для Inter-VLAN маршрутизации


3. Диагностика и устранение неполадок VTP

·        Наличие необходимых параметров конфигурации VLAN в running-config
·        Согласованность параметров VTP на всех коммутаторах
·        Появление проблем после добавления нового коммутатора
·        Отключение порта(ов) после включения питания коммутатора

4. Диагностика и устранение неполадок STP

·        Root-бридж по схеме сети
·        Петли коммутации
·        Лог изменения конфигурации STP
·        Процесс выбора root-бриджа
·        RSTP режим

 
1. Диагностика физического уровня и порта коммутатора
 
Первое что нужно сделать для выяснения возможных причин сбоев или полной неработоспособности сети - это проверить кабель. Не думаю, что в рамках экзаменационных вопросов встретится что-то кроме вопросов о правильности выбора типа используемого кабеля для различного оборудования. Речь идет о crossover ( перекрестный обжим ) straightthrough ( прямой обжим ) кабелях. Применения типа обжима в документации Cisco предлагается запомнить по простому принципу:

·    прямой ( straightthrough ) применяется для подключения оборудования разного типа; 
·    перекрестный ( crossover ) - для подключения оборудования одного типа.

Разделить оборудование на типы можно по его положению относительно Ethernet сегмента - маршрутизаторы, клиентские станции и сервера являются конечными системами в сегменте сети Ethernet, в то время как повторители, хабы и свитчи являются основой его инфраструктуры. Из этого простого разделения и нужно исходить при выборе типа кабеля.
Далее необходимо проверить состояние портов на обеих сторонах неисправного соединения. Основная задач выяснить нет ли портов “disable” или “errDisable” ( в зависимости от причины вызвавшей отключение порта ).
Проверить состояние порта можно по выводу команды show для соответствующего интерфейса / порта

SwitchX# sh int fa0/2
FastEthernet0/2 is up, line protocol is up (connected)
  Hardware is Fast Ethernet, address is 0017.596d.2a02 (bia 0017.596d.2a02)
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
          reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
-------------------------------пропущено----------------------------------------

На следующем этапе необходимо проверить согласованность режимов портов. В документации Cisco рекомендуется отключать автоопределение портов, и устанавливать «вручную» необходимый режим. Такая практика позволяет избежать возможных ошибок автоматического определения режима работы порта коммутатора. В тоже время, она же может привести к ошибке конфигурирования. Выяснить согласованность режимов работы портов можно из вывода команды show interface для портов на обеих сторонах неработающего канала.

Switch#show interfaces f0/2
FastEthernet0/2 is up, line protocol is up (connected)
  Hardware is Lance, address is 000c.856c.0a01 (bia 000c.856c.0a01)
 BW 100000 Kbit, DLY 1000 usec,
          reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, 100Mb/s
-------------------------------пропущено----------------------------------------

В случае, если порт находится в режиме access, и ему назначен номер несуществующего / или случайно удаленного VLAN, вывод команды show interface будет бесполезен для выяснения причины неработоспособности порта. В таком случае необходимую информацию может предоставить show interface interface switchport 

SwitchX# show interfaces fa0/2 switchport
Name: Fa0/2
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 5 (Inactive)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: None
-------------------------------пропущено----------------------------------------

На некоторых коммутаторах Cisco на таких портах индикатор светится немигающим оранжевым.

2. Диагностика и устранение неполадок VLAN и VTP-trunk-ов

Для нормального функционирования IEEE 802.1Q trunk-ов они должны быть сконфигурированы с одинаковым значением параметра native VLAN. Для того чтобы проверить это необходимо просмотреть вывод команды show interfaces interface switchport или show intrface trunk на коммутаторах, находящихся на обеих сторонах неработающего соединения.

SwitchX#show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: trunk
Operational Mode: trunk
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: dot1q
Negotiation of Trunking: On
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
-------------------------------пропущено----------------------------------------

SwitchX#show interface trunk
Port        Mode         Encapsulation          Status        Native vlan
Fa0/1       on                  802.1q                trunking               1
-------------------------------пропущено----------------------------------------

Не знаю, какова вероятность именно такой неисправности в экзаменационной лабораторной работе или вопросе, так как при нормальных обстоятельствах коммутаторы должны “жаловаться” прямо в консоль о том, что значение native VLAN не согласовано.
Native VLAN mismatch discovered on FastEthernet0/1 (1), with Switch FastEthernet0/1 (99)
Для того чтобы установить одинаковое значение native VLAN на обоих коммутаторах, необходимо в режиме Interface Configuration Mode выполнить команду

SwitchX(config-if)#switchport trunk native vlan VLAN number

Кроме этого, к неисправности в работе trunk-ов может привести несогласованность параметра Administrative Mode. Это обусловлено тем, что в некоторых случаях возможен перевод порта в режим trunk автоматически, используя протокол DTP. Всю необходимую информацию можно узнать из вывода команды show interfaces interface switchport.

SwitchX#show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic desirable
Operational Mode: trunk

-------------------------------пропущено----------------------------------------

SwitchY#show interface f0/1 switchport
Name: Fa0/1
Switchport: Enabled
Administrative Mode: dynamic auto
Operational Mode: trunk

-------------------------------пропущено----------------------------------------

Различия между Dynamic Auto и Dynamic Desirable заключается в том, что в первом случае будет создано trunk - соединение в ответ на DTP – запрос, а во втором случае будет инициироваться попытка создания trunk – соединение и посылаться DTP – запрос. Если оба порта будут настроены Dynamic Auto, trunk - соединение не будет создано.
Чтобы установить желаемое значение параметра Administrative Mode, необходимо в режиме Interface Configuration Mode выполнить команду

SwitchX(config-if)#switchport mode MODE

Несмотря на то, что технологии, реализованные Cisco Systems, позволяют оборудованию в некоторых случаях производить автоконфигурирование, в официальной документации все параметры рекомендуется устанавливать самостоятельно. В данном случае, параметр Administrative Mode не является исключением, и ему должно быть присвоено значение trunk для портов, которые должны создавать trunk-соединение.
Для нормального взаимодействия между узлами в пределах одного VLAN необходимо чтобы эти узлы находились в одной IP-сети. И на оборот, если узлы разнесены в различные VLAN – в различных IP-сетях. В случае, если эти простые условия не будут соблюдены, бесполезно ожидать сетевого взаимодействия между этими двумя узлами. Для того, чтобы это проверить нет необходимости выполнения каких либо команд на коммутаторах, достаточно просто сопоставить значения VLAN и присвоенных узлам IP-адресов, полученных из вывода команды ipconfig.

В случае возникновения неисправностей interVLAN взаимодействия, возможной причиной может быть неправильная конфигурация оборудования, вовлеченного в него. Это в первую очередь касается конечных узлов, на которых может быть неправильно сконфигурирован шлюз по умолчанию. Проверить правильность настроек интерфейса на конечно станции можно командой ipconfig

Следующей причиной подобных проблем может являться неправильная конфигурация роутера, обеспечивающего interVLAN – маршрутизацию. Для выяснения возможных неисправностей необходимо четко представлять нормальных алгоритм работы InterVLAN - маршрутизации. Основной причиной возникновения неисправностей interVLAN взаимодействия может являть неправильная конфигурация одного или нескольких дополнительных интерфейсов на маршрутиазторе. Это может быть, как неправильно настроенные параметры инкапсуляции IEEE 802.1Q, так и неправильное присвоение адреса. Для того, чтобы получить необходимую информацию можно просмотреть текущую конфигурацию маршрутизатора командой
show running-config
-------------------------------пропущено----------------------------------------
!
interface FastEthernet0/0.20
encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0

!
interface FastEthernet0/0.40
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0

!
-------------------------------пропущено----------------------------------------
или просмотрев вывод команды
show interface sub-if name

Router#show interfaces FastEthernet 0/0.20
FastEthernet0/0.20 is up, line protocol is up (connected)
  Hardware is PQUICC_FEC, address is 0030.f2e1.c301 (bia 0030.f2e1.c301)
  Internet address is 192.168.20.1/24
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
  reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation 802.1Q Virtual LAN, Vlan ID 20
  ARP type: ARPA, ARP Timeout 04:00:00,
Last clearing of "show interface" counters never
Номер дополнительного интерфейса не обязательно должен соответствовать номеру VLAN ( такое соответствие упрощает понимание конфигурации и дальнейшее администрирование ), в то время как параметр Vlan ID – обязательно должен соответствовать номеру VLAN. Кроме того, адрес, присвоенный дополнительному интерфейсу, должен быть согласован с планом адресации в пределах обслуживаемого VLAN, а также быть эквивалентным адресу основного шлюза для этого VLAN.

3. Диагностика и устранение неполадок VTP

Интересным явлением, с точки зрения возможности появления  в экзаменационном вопросе со статусом неисправности, является различие в способе сохранения информации протокола VTP и базы данных VLAN на коммутаторах с различными режимами протокола VTP. Такая нелогичность не может быть пропущена авторами экзамена.
Коммутаторы в VTP - режиме  Server и Client хранят всю информацию протокола VTP ( включая базу VLAN ) в файле vlan.dat. В то время, как коммутаторы в режиме Transparent - в файле конфигурации. Это различие может быть причиной неожиданных последствий выполнения команд

write erase

delete flash:vlan.dat

Более комплексной проблемой является отсутствие обмена данными между коммутаторами в пределах одного VTP домена. Для этого существует достаточно большое количество объективных причин..
Так как информация распространяется только через trunk-и, необходимо проверить являются ли порты, соединяющие коммутаторы, trunk-ами. Сделать это можно командой  

show interface trunk
SwitchX#show interface trunk
Port        Mode         Encapsulation          Status        Native vlan
Fa0/1       on                  802.1q                trunking               1
Fa0/2       on                  802.1q                trunking               1
Fa0/3       on                  802.1q                trunking               1
-------------------------------пропущено----------------------------------------

 Далее необходимо проверить параметры VTP домена domain и password. Оба параметра являются чувствительными к регистру. Если допустить ошибку в имени VTP домена или пароле, то обмен информацией не будет происходить.  Получить информацию о имени домена можно при помощи команды show vtp status
SwitchX#show vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 255
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : Cisco
-------------------------------пропущено----------------------------------------

Для того, чтобы исключить возможное различие между настройками пароля на коммутаторах, вовлеченных в проблему, необходимо временно сбросить VTP пароль. Для этого необходимо в Global Configuration Mode выполнить команду no vtp password.
Версии протокола VTP не являются совместимыми. Если в VTP – домене есть коммутаторы, не поддерживающие VTP V2,  то его (VTP V2) нельзя использовать. В случае если все коммутаторы поддерживают VTP V2,  достаточно активировать эту версию протокола на коммутаторе, который является сервером для данного VTP домена, и все остальные коммутаторы автоматически перейдут на эту версию. По умолчанию используется  VTP V1.
Коммутаторы, использующие версию протокола VTP V1 и находящиеся в режиме Transparent, распространяют информацию только по VTP домену, к которому они принадлежат. Обновления, имеющие отношение к другим VTP доменам уничтожаются. В случае, если подобный коммутатор использует версию протокола VTP V2, то обновления имеющие отношение к другим VTP доменам передаются.  Посмотреть какая версия протокола VTP используется можно при помощи команды show vtp status.

SwitchX#show vtp status
VTP Version :2
Configuration Revision : 0
Maximum VLANs supported locally : 255
Number of existing VLANs : 5
VTP Operating Mode : Server
VTP Domain Name : Cisco
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
-------------------------------пропущено----------------------------------------

Параметр VTP Version  указывает на возможность использования VTP V2.  Значение Disabled  для параметра VTP V2 Mode указывает на то, что коммутатор использует VTP V1
Номера VLAN из дополнительного диапазона (от 1025 до 4094 ) не распространяются автоматически. VLAN-ы с номерами из этого диапазона, должны настраиваться на каждом коммутаторе отдельно.
Обновления не вносят изменения в конфигурацию клиент в том случае, если Configuration Revision у клиента выше, чем в пришедшем от сервера обновлении. Посмотреть значение Configuration Revision   можно в выводе команды show vtp status.

SwitchX#show vtp status
VTP Version                                    : 2
Configuration Revision                 : 0
Maximum VLANs supported locally : 255
Number of existing VLANs              : 5
VTP Operating Mode                      : Server
VTP Domain Name                         : Cisco
-------------------------------пропущено----------------------------------------

Так как на коммутаторах Cisco по умолчанию значение VTP Operating Mode установлено Server,  и при некоторых обстоятельствах  Configuration Revision может быть выше чем у коммутатора используемого в качестве сервера для VTP домена, то в такой ситуации вновь добавленный коммутатор может изменить существующую базу VLAN. В случае, если его база VLAN будет пустой, то все VLAN будут удалены. Следствием этого может быть ситуация, когда абсолютно все порты  на коммутаторах, после включения питания, не активны (  как было описано в п. 1 ), так как принадлежат не существующим VLAN. Для того, чтобы избежать подобной ситуации необходимо на вновь добавляемом коммутаторе обнулить значение  Configuration Revision переведя его сначала в режим Transparent, а потом в режим Server. Или сначала изменив значение  VTP Domain Name на любое другой, а потом вернув нужное значение. В обоих случаях  значение параметра Configuration Revision обнулится.

4. Диагностика и устранение неполадок STP

Диагностика и устранение неполадок протокола STP возможна только в случае  нормального документирования топологии сети. Это подразумевает наличие информации о том, какой коммутатор является Root, какие каналы являются резервными и какие порты находятся в заблокированном состоянии.   Только в этом случае возможна дальнейшая диагностика.  Это необходимо для того, чтобы прежде чем  искать что починить, иметь представление о том, как это все работало до того
Чтобы выявить несоответствия реального положения дел в сети и документации, достаточно использовать команду show spanning-tree. Из вывода данной команды можно определить какой коммутатор является в данный момент Root, в также текущее состояние портов относительно STP топологии.
Для быстрого восстановления работоспособности сети, разъединить петли коммутации. Для этого нужно отключить те порты коммутаторов, которые их образуют. И в этом случае документация STP топологии будет незаменима. Так основанием для принятия решения какие порты блокировать будет информация о том, какие порты были заблокированы.
Определить Root-бридж согласно документации. Для того, чтобы не предоставлять возможность STP принимать решении о назначение корневого коммутатора для STP топологии, необходимо в Global Configuration Mode, для каждого из настроенных на коммутаторе  VLAN, выполнить команду
SwitchX (config)#spanning-tree vlan VLAN ID root primary.

В таком случае коммутатор автоматически выставит приоритет ниже, чем у существующего корневого коммутатора STP.
Время конвергенции ( схождения ) сети при использовании 802.1d и PVST+ составляет 30 -50 секунд. В случае использования RSTP и PVRST+ - не более 2-х секунд. При таком соотношении, использование режима pvst неприемлемо. В случае если схождение сети происходит медленней, чем ожидается, возможно, не все коммутаторы настроены на использование PVRST+. Какой режим используется в данный момент можно выяснить из первой строки вывода команды  show spanning-tree summary.

SwitchX#show spanning-tree summary
Switch is in pvst mode
-------------------------------пропущено----------------------------------------


Для того чтобы установить необходимый режим STP необходимо в Global Configuration Mode выполнить команду

SwitchX (config)#spanning-tree mode rapid-pvst

Данная тема (Диагностика и устранение неполадок в работе) является одной из самых сложных в рамках курса CCNA. Ее нельзя просто взять и выучить. Поэтому необходимо уделить особое внимание пунктам 3 и 4.

Комментариев нет:

Отправить комментарий