第9章Catalyst 5000交换机故障排除
认证目标
9.01 Catalyst 5000交换机的引导顺序
9.02 物理层和数据链路层的故障排除
9.03 排除网络层故障
在前面几章中,我们已经学习了有关C a t a l y s t交换机的软件和硬件以及如何配置V L A N等方面的内容。本章的主要目标是排除基于交换的C a t a l y s t网络故障。故障排除是一门很复杂的学问,有着许许多多种可能性。但这里,我们将着重介绍与Catalyst 5000系列交换机相关的故障排除。这一章中,我们会介绍交换机的b o o t u p顺序以及在各阶段中出现的提示消息,并对这些消息进行详细的解释和说明,还会介绍该系列交换机的一些内置的诊断工具,并通过在命令行接口(C L I)状态下,通过一些其他的命令查看并诊断交换式网络的各种问题。
在前面已经介绍过Cisco Catalyst 5000交换机的一部分基本诊断命令,在大多数情况下,这些都是一般用途的诊断工具。尽管如此,本章仍然要从一个不同的角度—也就是为了帮助网络正常启动并良好运行的角度,对这些命令再次进行分析。本章后面一部分,会介绍与物理层、数据链路层和网络层的故障排除相关的内容。
排除故障时,通常应该采取的步骤是:
1) 判定问题。
2) 收集故障现象和必要的数据。
3) 捕捉问题并进行故障隔离。
4) 解决问题,形成文字材料并归档,以便日后参考。
9.1 认证目标9.01:Catalyst 5000交换机的引导顺序
和大多数网络设备一样,C a t a l y s t交换机也会按照一定的顺序进行加电自检(p o w e r-on self t e s t—P O S T)。很好地理解正常操作期间交换机的各种动作,将有助于出现问题时进行故障排除。由于交换机也有自己的操作系统软件,该软件会执行所有的诊断测试并启动各个模块。交换机各个模块上亮起的不同的L E D表明了它的启动顺序,同时也是引导消息,这些都可以从与交换机的控制台端口相连接的终端上看到。
当对Catalyst 5000系列局域网交换机加电后,正常的操作顺序如下:
1) 所有的L E D开始显示红色。
2) 引导过程中,Status LED会变成桔黄色,表明目前正处于引导过程之中。
3) 管理引擎模块面板上的P S1和PS2 LED变成绿色,表明两个电源(power supply)模块均工作正常(假定你有两个电源)。如果某一个电源没有正常工作,相应的L E D就会显示红色。
4) 管理引擎模块中指示风扇工作状态的L E D应该亮起来,表明其工作正常,起着散热作
用。如果风扇工作正常,则该L E D 应该显示绿色,否则,将显示红色。
5) 管理引擎模块中的Status LED 应该一直保持桔黄色,直到交换机的引导过程结束。引导过程结束后,模块中的所有L E D 都应显示成绿色。
6) 在初始化期间,管理引擎模块的Status LED 从红色变为桔黄色,最后当所有软件均已加载到内存之后,又变成绿色。
7) 自检完成后,管理引擎模块的活动端口会变成绿色,而其他模块中的L E D 仍保持为桔黄色。
8) 当其他模块也完成自检之后,所有通过了自检的模块的Status LED 都将变成绿色;模块中的活动端口也将变成绿色。但AT M 模块和F D D I 模块例外,这两个模块有自己独立的操作系统,并执行自己内部的引导过程,并不作为管理模块的一个部分。
如果在控制台端口连接了一台终端,它就可以显示出各阶段的引导消息,与下面列出的类似。在引导过程的不同时段,控制台会显示不同的消息。前面,我们所描述的L E D 状态的
变化是和终端屏上显示的系统引导消息同步的。
下面这一阶段的引导过程中,L E
D 应该一直保持桔黄色:
从这一刻起,如果所有的自检都成功地通过,那么,所有的L E D 都应该显示成绿色。根据交换机中的模块数目,会显示有关在线模块的消息。这表明所有模块都已通过了系统诊断并已准备完毕,可以工作了。必须注意各个模块在线的次数可以不同,这属正常现象。也就是说,不是所有的模块总会依次上线的。在交换机的引导过程中,任何不正常的表现都意味着交换机的很多子系统可能故障并需要进行故障排除。如果某个模块的L E D 的桔黄色开
始不断闪烁,这就表明链路坏了,而且已经被切断。
在理解如何将问题隔离到不同子系统之前,让我们先了解一下在Catalyst 5000系列的L A N 交换机中可能会有哪些不同的子系统:
1) 电源子系统包括电源以及电源散热风扇。
2) 散热子系统包括在交换机底板上装配的风扇。
3) 处理器和接口子系统包括管理引擎模块(包括操作系统软件)、网络接口和所有缆线。
9.1.1 排除电源子系统的故障
下面列出了当交换机在引导过程中,电源子系统的任何组件发生故障的情况下,为排除故障可以采取的步骤。此外,通过检查管理模块中L E D的状态也可以了解到一些故障现象。
1) 检查PS1 LED是否亮着。如果没有,则检查一下电源线连接是否正确(交换机的电源插口在机壳的背面),确保安装螺钉已经拧紧。
2) 检查交流电源和电源线。将电源线接插到另一个有效的电源,并打开它。如果L E D指示灯仍不亮,则需要更换电源线。如果使用的是直流电源,检查直流电源是否有效并能正常供电,再检查机壳背面的接线盒,以保证上面的螺钉都已拧紧、连接线没有故障。
3) 如果交换机用一根新的电源线连到另一个供电电源后,L E D指示还是不正确,说明供电电源可能有故障。如果还有另一个可用的供电电源,可以试着替换一下。
4) 如果电源线和供电电源都是好的,但交换机的电源就是不能正常工作,说明交换机的电源有可能是坏的。你需要与C i s c o公司取得联系,更换一个新的电源,并将坏电源寄回去修理。
5) 如果需要,对另一个电源也按上述同样步骤进行诊断。
注意:在排除电源子系统故障时,切记防止被电击。
9.1.2 排除散热子系统的故障
如果Catalyst 5000系列交换机在引导过程中,散热子系统故障,可以遵照下列步骤排除。
1) 检查管理引擎模块的Fan LED是否为绿色。如果不是,检查电源子系统是否正常工作。如果电源子系统工作不正常,遵照“排除电源子系统的故障”一节中所讲的步骤进行检查。
2) 如果Fan LED显示为红色,也许是风扇座没有正确安插到交换机机板插槽中。为了确保安装正确,可以关闭电源,松开固定螺钉,拔出风扇座,再重新插入插槽中。拧紧所有固定螺钉,然后重新开启电源。风扇座是设计为支持热插拔的,但只要有可能,建议你在插拔风扇座时还是要先关闭电源。但对于Catalyst 5002交换机来说是个例外,它的散热子系统不是一个现场可换部件(field replaceable unit—F R U)。
3) 如果Fan LED仍然为红色,说明系统可能检测到风扇损坏。Catalyst 5000系列交换机的正常工作温度是3 2~104?F(0~40?C)。系统不能在没有风扇的条件下工作。这时,应该立即关闭系统,因为如果C a t a l y s t交换机在没有风扇的条件下工作,可能会发生严重的损坏。
如果交换机有硬件方面的故障,可以与你的客户支持代表联系,以寻求进一步的支持。9.1.3 排除处理器和接口子系统的故障
下面列出的步骤覆盖了对处理器和接口子系统故障的排除过程。
1) 检查管理引擎模块的Status LED,如果所有诊断和自检都正确的话,它应该显示绿色,
而且端口应该在工作中。如果Status LED 显示为红色,说明B o o t U p 或者诊断测试过程的某一部分没有通过。如果Status LED 在引导过程结束之后,仍然保持为桔黄色,则表明该模块没有启动。要了解更多的信息,可以参见“Catalyst 5000交换机的引导顺序”一节。
2) 检查各个接口模块的L E D 。如果接口工作正常的话,其L E D 应该显示绿色(或者当该端口传送或接收信息的过程中,绿灯应该闪烁)。
3) 检查所有电缆线和连接。替换掉任何有故障的电缆线。这在下一节中会详细介绍。
执行
SHOW VERSION 命令,你将能看到更多的关于该交换机的硬件和软件信息。
该命令的输出信息中显示了在不同模块中的软件设置、可用内存和已用内存以及系统正常运行时间。根据这一输出的信息可以检查软硬件的版本,还可以用来发现与该交换机的任何不兼容的问题。C a t a l y s t 的一个最基本的软件就是N M P (Network Management Processor —网络管理处理器)映像。另一个就是M C P (Master Communication Processor —主通信处理器),在前面的列表中都已经分别显示出来。AT M 和F D D I 模块还包含了独立于交换机的操作系统软件之外的自己的操作系统软件。
SHOW VERSION 命令的输出信息可以分解如下:
1) McpSw 主通信处理器的软件版本。
2) NmpSw 网络管理处理器的软件版本。
3) NMP S/W 编译版本
N M P 软件编译的日期。4) MCP S/W 编译版本M C P 软件编译的日期。
5) System Bootstrap (系统自引导版本) 自引导软件。
6) Hardware version (硬件版本) 硬件版本号。
7) Serial unmber (序列号) 机箱序列号。
8) Module (模块) 模块号。与模块所安装的插槽号相对应。
9) Ports(端口) 模块中的端口数。
10) Serial# 模块序列号。
11) HW 模块的硬件版本。
12) SW 模块的软件版本号。
13) FW 模块的固件版本号。
14) FW1 模块的第二个固件版本号(如果有的话)。
15) DRAM 安装的所有动态R A M。
16) FLASH 安装的所有闪存。
17) NVRAM 安装的所有非易失性的R A M。
18) Used 已经使用的内存数量。
19) Free 剩余内存数量。
9.2 认证目标9.02:物理层和数据链路层的故障排除
本节,我们将对交换网络的物理层(电缆层)和数据链路层进行故障排除。下一节,主要介绍网络层的故障排除内容。虽然L A N交换机是一个数据链路层的设备,但它可能会充当一个路由交换模块(R S M),因此,对网络层的故障内容进行分析仍然是必需的。
物理层是排除网络故障的最基本层。虽然物理层的连通性是非常明显的,但该层的问题却时常由于忽视或过分自信而难以觉察到。
通过前面几章的学习,我们已经了解到在一个交换式L A N中,交换机是用来连接工作站、服务器和其他网络设备的。在今天的数据通信网络中,经常使用的缆线包括双绞线和光缆。在网络布线结构化的环境里,星形物理连接通常用来帮助将某个缆线段的问题隔离到一个具体的网络或节点。
排除缆线级的故障
排除缆线级故障基本诊断工具就是在交换机模块中的L E D指示。除了标志整个模块总体运行情况的Status LED之外,交换机模块的每个端口都有一个Link LED,用于指示交换机与该端口所连接的设备之间的物理连通性。Link LED的状态可以帮助你缩小问题的范围。表9 -1中列出了Link LED的不同状态及其含义。
表9-1 链路(L i n k) L E D的指示
Link LED指示灯链路状态
绿色端口上正常的链路信号
橙色端口被软件关闭,端口不能使用,或V L A N配置不正确
橙色并闪烁链路故障或端口硬件故障
关闭无链路信号,原因可能是远程节点尚未加电、电缆断路、电缆连
接错误或远程节点/网卡有故障
通过对模块端口的这些基本的物理检查,可以将故障隔离到一个具体的区域或者隔离到该网络物理层的某个具体部件。一旦可以确定问题出在某根缆线上之后,就需要通过第三方工具对它进行检测。这些第三方工具可以对缆线执行从基本的连续性(无断点)检测到更复杂一些的检测,比如将故障具体定位到缆线上的某一确切位置。这些工具就是缆线扫描仪( c a b l e s c a n n e r)和时域反射计(time domain reflectometer—T D R)。
最简单而且最便宜的缆线检测器称为“连续性检测器(continuity tester)”,它只简单地检查缆线的物理连通性。稍好一些的可以将缆线中的每对线进行分别检测,以确保没有某一对线和其他线缠绕在一起。大部分这种检测器都是成对工作的,分别工作在一根缆线的两头,这些检测器上还有L E D指示。有些检测器通过L E D的颜色组合来表示是否一切正常,而有些则是显示整根缆线(双绞线)的引线连通性指示图。这种检测器可以用在配线柜或通信柜中。
更昂贵一些的检测器可以执行T D R检测。最基本的,通过T D R检测可以计量缆线的长度,或者计量到某个断点的距离。这可以通过在被检测的缆线上发送一个信号并测量直到该信号返回所用的时间计算出来。这种类型的检测对于广泛采用同轴电缆连接的网络会更加有用一些,但T D R对于检测墙壁走线或地板走线来说,仍然是非常方便的。另外,它们对检查电缆线路的正确性,也是非常有用的。对电缆线路正确性的部分检查工作包括确认在整个电缆线路中没有一根缆线的长度超过其自身介质所允许的最大长度。对于光缆网络来说,可以使用“光时域反射计(optical time domain reflectometer—O T D R)”进行故障排除以及对光缆传输质量进行检查。通过这些检测工具,还能显示出在缆线上或在连接器中,信号能量的损失情况,这对于光缆电路来说很重要。
举例来说,1 0B a s e T或1 00B a s e T缆线的最大允许传输长度(根据规定)应该是1 00米(大约为3 28英尺)。可以使用一个T D R高效的检测器,选取你认为离你的配线柜最远处的一段电缆线,并测量其长度。如果在规定的长度范围之内,那么一切也许都不会有问题;但如果已经超出了规定的最大传输长度,则必须密切监视,看会有什么样的问题发生。 1 0B a s e T比1 00B a s e T 会好很多。不要忘了应该从插塞式电缆的两头计量其长度。
还有另外一些检测器,可以用来完成信号质量的检测(signal-quality testing)。也许你已经听说过“N E X T”(近端串音)和“衰减”(a t t e n u a t i o n)这两个术语,他们都与网络缆线有关。N E X T指的是“近端串音(n e a r-end cross talk)”,它是指在缆线头部,各对线已经分开并已解开扭缠之后,信号在不同对的线之间“跳串(j u m p)”的趋势。衰减指的则是随着传输距离的加长,信号逐渐变弱的趋势。这些现象之后的物理性质并没有什么特别之处:主要问题是所用的缆线是否已经超出了规定的最大传输长度。大部分高价位的检测器使用起来都很方便。他们一般都要求能先知道所使用的各种缆线类型的一些基准信息;之后,你要做的通常都只是按一下按键而已。他们可以完成缆线连续性、长度、近端串音和衰减(也许还可能有其他)等各种测试工作并给出测试报告。如果缆线检测失败,它通常还会显示出是哪类失败。
通过替换缆线—包括替换接插线或者用一根新缆线从接插板连接到目标—可以解决大部分与缆线有关的网络问题。但是,如果问题出在逻辑级或更高层次的话,将会需要花更多的时间,做更多细致的研究工作才能解决。排除数据链路层的问题包括需要完成控制台登录或远程登录(Te l n e t)到C a t a l y s t交换机等。
一旦通过控制台端口或通过Te l n e t连接了终端,按下E n t e r键,直到看到“c o n s o l e”命令提示符。只要已经和交换机控制台端口正确建立了连接,所看到的就称之为“命令行接口”,它可能显示如下的内容:
如果还没有设置密码,那么,当提示你输入密码时,只需按E n t e r键即可。
正如前面章节中所讨论的,C L I是对C a t a l y s t交换机进行配置和维护的基本接口。在C L I状态下,可以通过不同的S H O W命令检查交换机的各个子系统、模块和端口的状态。这些都是在完成了缆线级的基本测试检查之后,排除交换机连通性故障的一些基本工具。下面我们将从排除基本故障的角度来看一下一些重要的S H O W命令。
1) SHOW MODULE。
2) SHOW PORT。
3) SHOW MAC。
4) SHOW CAM。
1. SHOW MODULE
该命令显示了C a t a l y s t交换机中包含的所有模块及其状态的信息汇总。最后一列显示的“O K”表明他们工作都正常。如果显示的是任何其他状态,如“ f a i l”或者“d i s a b l e”的话,则表示的是故障原因,这些问题都可以通过启用模块或者替换有故障的模块来加以解决。
使用SHOW MODULE命令所输出的信息显示如下:
1) Mod 交换机中安装的模块数量。
2) Module Name 模块名。这在模块设置中是一个可选设置项。
3) Ports 模块中的端口数量。
4) Module-Type 安装的模块类型(以太网、路由交换机)。
5) Model 模块的型号。
6) Serial-Num 模块的序列号。
7) Stautus 模块的当前状态。
8) MAC Address(es) 模块的M A C或M A C地址范围(如果使用的话)。
9) Hw 模块的硬件版本。
10) Fw 模块的固件号。
11) Sw 模块的软件版本。
所有Catalyst 5000系列交换机都支持热插拔,从而允许在不关闭系统电源的情况下,安装、删除、替换和重新安排交换模块。当系统检测到某个交换模块已经安装或被删除,它就会自
动运行一个诊断和发现例程,以证实某个模块的存在或不存在,并在不需操作员干涉的情况下恢复系统正常工作。必须注意,在替换任何故障模块时,务必要小心,因为这些部件都对
E S D很敏感。
2. SHOW PORT
在排除网络故障时,如果我们已经能肯定电缆线和模块工作都很正常的话,那么,可以将SHOW PORT命令作为下一步,对端口级进行检查。该命令可以显示出被怀疑的端口的详细状态信息。它可以显示出端口速度、半双工或全双工、V L A N成员关系、冲突和错误等等信息。根据这些信息,可以大概推断出问题出在哪里。
使用SHOW PORT命令所输出的信息显示如下:
1) Port 已经查询过的端口号。
2) Name 端口名(可选)。
3) Status 端口状态。
4) VLAN 该端口所属的V L A N。
5) Level 端口级别设置(低或高可选)。
6) Duplex 端口是工作在全双工模式还是半双工模式。
7) Speed 端口速度(1 0、1 00、a u t o)。
8) Type 端口类型(1 0B a s e T、1 00B a s e T)。
9) Security 端口安全性是否被激活。
10) Secure-Src-Addr 显示安全性已经被激活端口的M A C地址。
11) Last-Src-Addr 显示该端口最后所收到的分组的M A C地址。
12) Shutdown 指出端口是否会因安全违章而关闭。
13) Trap 指出是否启用了端口自陷。
14) Broadcast-Limit 显示端口广播的极限设置。
15) Broadcast-Drop 显示超出限制的被丢弃的分组数量。
16) Align-Err 接收到的具有调整误差的帧数(含有不均匀数量的八位组和C R C错误的分组)。
17) FCS-Err 帧校验序列错误的数量。
18) Xmit-Err 发送错误数。这是一个完全发送缓冲器的标志。
19) Rcv-Err 接收错误数,它是一个完全接收缓冲器的标志。
20) UnderSize 小于6 4个八位组的帧数。
21) Single-Col 将信息帧成功发送出去之前,发生单点冲突的数量。
22) Multi-Coll 将信息帧成功发送出去之前,发生多点冲突的数量。
23) Excess-Col 发生严重冲突的数量,它表明信息帧碰到了1 6个冲突,并已被废弃。
24) Carri-Sen 端口检测到载波的次数。
25) Runts 短帧数量(帧长小于IEEE 802.3规定的信息帧)。
26) Last-Time-Cleared 最后一次清除该端口计数器的时间。
3. SHOW PORT SECURITY
我们感兴趣的另一个命令是SHOW PORT SECURITY,该命令可以显示为被怀疑的端口所分配的安全性。它可以用来决定是否因为遭到窃听而需要将某个端口关闭。如果还有任何一个具有不同M A C地址的节点连接在该端口,那么,该端口将不会将信息传送出去。
如果有某个S N M P管理应用软件,比如C i s c o W o r k s正在监视着该交换机的话,那么,窃听将会向S N M P控制台产生一个自陷消息。
4. SHOW MAC
SHOW MAC命令可以显示出各个端口所传送和接收的总帧数,并可以对这些帧进行分类统计,比如说广播帧或多路广播帧。
使用SHOW MAC命令所输出的信息显示如下:
1) MAC 被怀疑的模块号和端口号。
2) Rcv-Frms 接收到的帧数。
3) Xmit-Frms 发送的帧数。
4) Rcv-Multi 接收到的多路广播帧数。
5) Xmit-Multi 发送的多路广播帧数。
6) Rcv-Broad 接收的广播帧数。
7) Xmit-Broad 发送的广播帧数。
8) Dely-Exced 由于超时而被丢掉的帧数。
9) MTU-Exced 帧长超过M T U的帧数。
10) In-Discard 因为不需要向前转发而丢弃的帧数。
11) Lrn-Discard 由于E A R L页已满而丢弃的C A M表项数。
12) In-Lost 由于缓冲空间不够而丢失的输入帧数。
13) Out-Lost 由于缓冲空间不够而丢失的输出帧数。
14) Rcv-Unicast 接收到的单点传送帧数。
15) Rcv-Multicast 接收到的多路广播帧数。
16) Rcv-Broadcast 接收到的广播帧数。
17) Xmit-Unicast 发送的单点传送帧数。
18) Xmit-Multicast 发送的多路广播帧数。
19) Xmit-Broadcast 发送的广播帧数。
20) Rcv-Octet 接收到八位组总数。
21) Xmit-Octet 发送的八位组总数。
22) Last-Time-Cleared 最后一次清除计数器的时间。
在进行故障排除时,可以从与交换机某个端口所连接的节点发出P I N G命令,在检查完P I N G命令的返回结果之后,可以通过SHOW MAC命令,根据所记录的计数值查看接收和发送出去的信息分组情况。
5. SHOW CAM
SHOW CAM命令可以显示交换机的桥接表(bridging table)。该表中列出了交换机所学习到的所有M A C地址以及他们各自的端口。交换机根据C A M表项将信息帧通过各个端口进行转发。如果某个信息帧的目标M A C地址没有找到,那么,该帧将会被传送到属于同一个V L A N 的所有端口。交换机可以动态地创建C A M表项。管理员也可以静态地创建C A M表项。动态表项的老化时间缺省为3 00秒。
使用SHOW CAM DYNAMIC 命令所输出的信息显示如下:
1) VLAN 该设备所属的V L A N 。
2) Dest MAC/Route Des 该设备所找到的M A C 地址。
3) Destination Ports or VCs 该设备所连接的端口或虚电路。
附加一个M A C 地址的SHOW CAM 命令将会显示由设备的M A C 地址规定的有关该设备的同样的信息。
下面的一些S H O W 命令对于排除数据链路层的故障来说,也是非常有用的。
1) SHOW VLAN 。
2) SHOW TRUNK 。
3) SHOW VTP DOMAIN 。
4) SHOW SPA N T R E E 。
6. SHOW VLAN
SHOW VLAN 命令可以显示出交换机中的所有V L A N 及分配的端口列表。可以通过为每个V L A N 所分配的1 ~1024的标号来区分不同的V L A N 。其中:标号1和1 001~1024是保留标号,1 002~1005定义给了交换机中的任何令牌环或F D D I 模块的缺省V L A N 。VLAN 1定义为管理V L A N ,并已经缺省配置在交换机中。VLAN 1~1000可以根据所安装的模块,分配给交换机的各个端口。每个V L A N 中的所有端口都表明连接到该端口的节点是否可以和其他端口进行通信。如果你正在排除网络连通性方面的问题,那么,该命令将能帮助你找到V L A N 配置关
系,从而可以隔离出任何与交换机中
V L A N 配置有关的问题。
使用SHOW VLAN命令所输出的信息显示如下:
1) VLAN VLAN标号。
2) Name VLAN的名字,如果已经配置了该选项的话。
3) Status VLAN的当前状态(激活还是挂起)。
4) Mod/Ports,VLANs 分配到V L A N的端口。
5) Type VLAN所使用的介质类型。
6) SAID VLAN的安全联盟I D。
7) MTU VLAN的最大传输单元。
8) Parent 父V L A N,如果已经配置的话。
9) RingNo VLAN的环号,如果使用了环形介质的话。
10) BrdgNo VLAN的网桥号,如果使用的话。
11) Stp 定义了V L A N正在使用的是哪种生成树协议。
12) BrdgMode 使用的桥接模式,可选项包括S R B和S R T,缺省设置为S R B。
13) Trans1 用于将F D D I或者令牌环信息帧翻译到以太网的翻译V L A N。
14) Trans2 用于将F D D I或者令牌环信息帧翻译到以太网的第二个翻译V L A N。
15) AREHops 全路由探测帧的跳步数,缺省设置为7,可用范围为1 ~13。
16) STEHops 生成树探测帧的跳步数,缺省设置为7,可用范围为1 ~13。
17) Backup TrCRF 指出是否使用Tr C R F作为交换信息的备份路径。
可以使用SHOW VLAN命令来查看某一具体V L A N,如下例所示:
Cat5000 (enable) show vlan 12
7. SHOW TRUNK
SHOW TRUNK命令的输出信息中列出了在主干模式下用于交换机间高速链路的端口。它还显示了允许通过这些主干传输信息的V L A N。该命令对于排除交换机间的连通性问题很有帮助。当然,在排除交换机的连接故障时,还有其他一些因素要考虑。
使用SHOW TRUNK命令所输出的信息显示如下:
1) Port 正被一个V L A N主干使用着的端口。
2) Mode 端口当前状态,可选项包括:o n(开)、o f f(关)、a u t o(自动)和d e s i r a b l e(期望)。
3) Status 指出该端口是否为t r u n k i n g。
4) Vlans allowed on trunk 指出哪些V L A N可以使用该主干。
5) Vlans allowed and active in management domain 在允许的范围内有效V L A N的范围。
6) Vlans in spanning-tree forwarding state and not pruned 主干中处于生成树转发状态的V L A N。
缺省情况下,如果交换机中有R S M和ATM LANE模块的话,C a t a l y s t交换机会将主干端口分配给他们。
8. SHOW VTP DOMAIN
SHOW VTP DOMAIN命令会列出交换机所在的V T P域。缺省时,C a t a l y s t交换机将不会位于任何域中。一个交换机能且仅能属于一个V T P域。SHOW VTP DOMAIN命令显示了交换机所在的V T P域的模式。该命令可以用于排除配置了V L A N的L A N交换机环境下的各种网络故障。该命令中最重要的信息就是交换机的模式。交换机可以配置成以下几种模式:
1) Client 交换机将从域中的另一个交换机中获得其V T P信息。
2) Server 该交换机存储着域中所有设备的V T P信息。
3) Transparent 管理员将手工配置域中所有交换机的V T P信息。
使用SHOW VTP DOMAIN命令所输出的信息显示如下:
1) Domain Name 域的名字(如果已经设置了的话)。
2) Domain Index 域索引号。
3) VTP Version 交换机正运行的V T P的版本。
4) Local Mode 交换机正运行的V T P模式。
5) Vlan-count 域中包含的V L A N数。
6) Max-vlan-storage 交换机所支持的最大V L A N数。
7) Config Revision VTP修订版本号。它可以用于域中交换机间的V L A N信息互换。
8) Notifications 指出S N M P信息是否要被转发到S N M P工作站。
9) Last Updater 最后一次对V T P配置进行修改的设备的I P地址。
10) V2 Mode 指出VTP V2模式是启用还是禁止。
11) Pruning 指出是否启用了V T P修剪。
12) PruneEligible on Vlans 指出该域中是否允许V T P修剪。
9. SHOW SPANTREE
当交换机通过多条链路进行互连因而有可能产生环路时,迟早你会需要用到S H O W
S P A N T R E E 命令。缺省时,C a t a l y s t 交换机中的每个V L A N 的生成树算法(S T A )都是启用的。因此,只要交换机碰到了一个环路,它就会将其中的一个端口设置成“阻塞( b l o c k e d )”模式,从而创建一个无环路的网络。缺省时,SHOW SPA N T R E E 命令显示的是VLAN 1的信息。为了显示交换机中所配置的其他V L A N 的信息,则必须指定具体的V L A N 标号。
使用SHOW SPA N T R E E 命令所输出的信息显示如下:
1) VLAN 指出现在所显示的是哪个V L A N 的信息。
2) Spanning tree 指出生成树的当前状态。
3) Designated Root 显示指定根桥的M A C 地址。
4) Designated Root Priority 指定根桥的优先级。
5) Designated Root Cost 到达根桥的总路径开销。
6) Designated Root Port 指定根桥可以到达的端口。
7) Root Max Age 一个B P D U 分组被视为有效的时间长度。
8) Hello Time 一个根桥发送B P D U 的次数。
9) Forward Delay 端口保持在“侦听”或“学习”模式的时间。
10) Bridge ID MAC ADDR 网桥的M A C 地址。
11) Bridge ID Priority 网桥的优先级。
12) Bridge Max Age 网桥的最大年龄。
13) Hello Time 指出网桥发送B P D U 的频度。
14) Forward Delay 网桥保持在“侦听”模式或“学习”模式的时间长度。
15) Port VLAN 中所包含的端口数。
16) Vlan 端口所属的V L A N 。
17) Port-State 生成树端口状态,可选项包括“关闭(d i s a b l e d )”、“停止(i n a c t i v e )”、“未连接(not connected )”、“阻塞(b l o c k i n g )”、“侦听(l i s t e n i n g )”、“学习(l e a r n i n g )”、“转发(f o r w a r d i n g )”和“桥接(b r i d g i n g )”。
18) Cost 端口开销。
19) Priority 端口优先级。
20) Fast-Start 指出该端口是否配置了使用快速启动(F a s t S t a r t)。
(续)理论上,一旦某个网络的物理布线已经完成,一般就不会有太多的变化。如果你能确认过去曾经做过某种改动,而问题却还继续存在于你的交换网络中,那么,问题的症结可能是在V L A N的状态配置上。SHOW TRUNK命令可以帮助你查看多个
V L A N是否正常通过主干接口。当然,如果某个V L A N已经被删除,那么,从主干中
也就不会看到它。
最后一个有用的命令就是SHOW CAM DYNAMIC。它可以列出交换机中每个端口的M A C地址。使用该命令最大的难点就是管理员必须对整个网络中的所有的M A C
地址熟透于心。由于大部分管理员都不会记录这些信息,因此,很难检查某个特定
的用户是否已经正确连接上。然而,由于任何M A C地址都会在它所流经的所有交换
机中记录下来,因此,它仍然是一个功能很强大的命令。管理员可以在不同的交换
机中执行该命令以检查通过一个S T P路径流经网络的信息帧流量。
S T P本身也带来了一些很有趣的事情。向网络中添加一个设备或者移走一个设备都将要求S T P来确定是否造成了网络环路。对于中等大小的网络来说,这一过程大概
需要3 0到6 0秒。因此,在生成树将端口释放并允许可以转发信息帧之前,友好的绿
色L i n k指示灯实际上是毫无意义的。SHOW SPA N T R E E
查交换机中每个V L A N的各个端口的S T P状态。记住你必须为该命令附加上合适的
V L A N参数,才能看到配置在某个特定V L A N中的端口的信息。
—Neil Lovering,C C I E,C C S I
9.3 认证目标9.03:排除网络层故障
我们必须理解,交换机可以创建多个冲突域,但只使用一个广播域,除非V L A N被配置成可以创建各自不同的广播域。对于各种V L A N间的通信来说,都需要一个可以由路由交换模块(R S M)或者一个外部路由器才能提供的路由选择进程。
在排除网络层故障时,首先需要远程登录(Te l n e t)到交换机,以进入到C L I状态。交换机的s c0接口必须已经分配了一个I P地址。这可以从控制台连接中通过下面的命令来完成:Console> (enable) set interface sc0 192.168.1.1 255.255.255.0
一旦已经为该接口分配了I P地址,就可以从任何一个能到达交换机管理“同带信号传输(i n-b a n d)”接口I P地址的I P主机上远程登录到该交换机。
如果你是通过一个路由器连接的,则需要对I P主机和C a t a l y s t交换机两者均进行缺省网关设置检查和子网掩码检查。交换机的缺省网关是用来将信息路由到s c0接口的,S N M P响应分组(与管理工作站通信)也使用缺省网关。这样就相当于在一个交换机中可以定义三个缺省网关。各个缺省网关的优先级可以通过“p r i m a r y”关键字来设定。参看下面的例子:
SHOW INTERFA
C E 命令将可以显示出该L A N 所使用的以及远程访问到该交换机的S L I P 和同带信号传输以太网接口的信息。这些信息包括:
1) s10 接口名字。本例中,接口名为S L I P 接口。
2) flags 描述接口的当前状态;译码信息也会显示出来。
3) slip 显示S L I P 接口的I P 地址。
4) dest 显示接口的目标I P 地址。
5) sc0 接口名字。本节中它是一个同带信号传输以太网接口。
6) vlan 接口所属的V L A N 标号。VLAN 1是管理V L A N 。
7) inet 接口的I P 地址。
8) netmask 接口的子网掩码。
9) broadcast 接口的广播地址。
SHOW IP ROUTE 命令显示的是交换机路由表中所包含的信息。
1) Fragmentation 指出是否启用了I P 地址分段。
2) Redirect 指出是否启用了
I C M P 重定向。3) Unreachable 指出是否启用I C M P 不可达消息。
4) Destination 显示路由表中当前的目标I P 地址。
5) Gateway 显示用于到达目标的下一跳地址。
6) Flags 表项标记。可能的标记有:
U =U p
G =G a t e w a y
H =H o s t
7) Use 为达到目标所使用的路由次数。
8) Interface 到达目标所使用的接口。
考试注意点s 10接口用于S L I P 接口从控制台端口,通过m o d e m 进行远程登录。s c 0和
s 10这两个接口不能同属于一个子网。如果将他们配置在同一个子网中了,那么,交换机会自动关闭其中一个接口。缺省情况下,这两个接口所分配的
I P 地址都是0 .0.0.0。
在前面的章节中,我们已经看到,V L A N 之间的互连可以有多种方法。如果你是通过
R S M 模块进行V L A N 间通信的话,那么,也许需要登录到该模块中对配置进行检查。这项检查可以在交换机的C L I 模式下完成。S E S S I O N 命令可以连接到R S M ,在下面的例子中,R S M
在机箱的第四个插槽中:
RSM CLI 接口与
C i s c o 路由器中使用的I O S 工具的作用是相同的。只要进入到了R S M ,就可以通过SHOW RUNNING-CONFIG 或SHOW STA R T U P -C O N F I G 命令对配置进行检查。这时,逻辑V L A N 接口已经创建并从该V L A N 的子网中为它分配了一个I P 地址。另外,如果交换机或R S M 与任何其他的外部路由器相连的话,你也许还希望看一下他们所使用的是什么路由协议。确信路由表中包含了你希望到达的所有网络的表项或者有一个缺省的路由表项。
这些命令中,我们仅举SHOW IP ROUTE 和SHOW IP INTERFA C E 两个例子。SHOW IP R O U T E 命令能显示出包含在R S M 路由表中的所有路由,以及所有这些路由的源——是静态路由还是通过一个I P 路由协议如R I P 或O S P F 等学习来的。SHOW IP INTERFA C E 命令可以显示哪些接口正在路由I P 信息,以及可以显示诸如在该接口是否应用了任何访问表等其他一些信息。
如果V L A N 间的通信不能正确进行,你也许希望检查R S M 的配置,看某个具体的V L A N 是否有来自V L A N 的I P 子网的正确的I P 地址。
除了这些S H O W 命令之外,在交换机中还有其他两个重要的工具,可以用来检查连通性,特别是检查I P 协议的连通性。那就是P I N G 工具和T R A C E R O U T E 工具。
9.3.1 PING 工具
该命令是一个用于多协议网络环境下,排除连通性故障的基本工具。在 C i s c o 路由器中,P I N G 工具可以用于I P X 协议,也可以用于A p p l e T a l k 协议,而在C a t a l y s t 交换机中,它只能用于I P 协议环境下。该命令会向远程的主机发送I C M P 重复请求,并等待返回的重复回答。
如果你正在向另一个子网中的某台主机发送P I N G 包,那么,也许需要在交换机中定义缺省网关或输入一个静态的I P 路由。在上面的例子中,命令中的“- s ”选项要求显示出响应时间以及成功率信息。“- 4”选项则定义了要向远程主机发送四个P I N G 包。如果你在使用P I N G 命令时,除了指定远程主机的I P 地址之外,不使用任何命令参数,那么,将只能显示出该主机是否可达的信息,而不会提供P I N G 命令的其他统计信息。
9.3.2 TRACEROUTE工具
这是一个与P I N G一起使用的工具,主要用于排除I P路由环境下的网络故障。该命令通过显示第三层设备,比如路由器设备信息,来显示I P包在到达目标过程中所使用的路由。T R A C E R O U T E命令可以用来找出网络中可能出现问题的路由选择点。
使用T R A C E R O U T E命令后,显示的信息如下:
1) 1 这是到达目标的路径中所经历的第一跳。每一跳都会有一个标号,从1开始,直到到达目标为止。当执行一个T R A C E R O U T E命令时,缺省的最大跳数标号为3 0。
2) 10.16.1.1 下一跳设备的I P地址。
3) (10.16.1.1) 这是该设备的名字或I D。
4) 1ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的平均时间。
5) 2ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的最长时间。
6) 1ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的最短时间。
T R A C E R O U T E产生U D P分组,该分组中包含目标I P地址,但其T T L先从1开始。任何接收到该分组的路由器都会将T T L值减1;当一个路由器发现某个分组的T T L为0时,它就会将该分组丢弃掉,并产生一个I C M P的“T T L超时”消息发回给源工作站。这样,源工作站(这里,就是交换机)就能了解到到达目标站点的下一跳。当交换机再次发送一个U D P分组时(这次T T L 设置为2),在到达目标的路径中,第二跳的路由器将会将该分组丢弃(因为经过两次减1,到第二个路由器时,U D P分组的T T L已经为0)。如果在某个特定的跳步处没有响应,我们就可以推断问题就出在这一点上。没有响应就表明该位置上的路由器要么没有到达目标网络的路由,要么主机没有工作。
9.4 认证总结
本章介绍了在排除C a t a l y s t基于L A N的交换网络故障时,所应采取的一些步骤。主要内容集中在如何解决网络的物理层和逻辑层的连通性问题,以及如何将问题进行定位。本章除了介绍了一些基于交换的命令之外,还讲述了大量可以用来管理整个网络的其他工具和技术。使用内置的工具或命令就能排除交换级的大部分故障,但都只限于排除物理层、数据链路层,在一定程度上还有网络层的故障。排除更高层次中的网络故障需要对协议及其握手顺序有很好的理解,而且也许还需要一些高级工具,如协议分析器的辅助才能完成。
C a t a l y s t交换机的C L I在排除网络故障时,可以作为一个基本的诊断工具使用。使用网络设备(而不是使用特殊设备或软件)排除网络故障的一个很明显的优势在于:网络设备是已经被安装在发生问题的网络位置中的。通过一个L A N交换环境就能排除的网络故障通常是物理层的故障。(举例来说:缆线连续性、端口状态确认、V L A N配置以及端口分配、通过路由器进程的V L A N间的通信等等。)
在C S L C考试中,很好地理解各种命令以及他们在排除网络故障时的用法很重要。本章给出的例子向你描述了排除故障时的一般步骤,但是,必须记住:掌握实际的操作经验一向都是我们极力要推荐的。另外,还有一种很好的做法就是将发生过的各种问题及所采取的对策记录下来,以供今后参考。
本章结尾,我们向大家介绍了一些很重要的工具,可以用来检查互连网络的连通性。这些工具对于排除网络层的故障是很方便的。
9.5 2分钟练习
1. 排除故障时,通常应该采取的步骤是:
1) 判定问题。
2) 收集故障现象和必要的数据。
3) 捕捉问题进行故障隔离。
4) 解决问题,形成文字材料并归档,以便日后参考。
2. 很好地理解正常操作期间交换机的各种动作,将有助于出现问题时进行故障排除。
3. 在交换机的引导过程中,任何不正常的表现都意味着交换机的很多子系统可能故障并需要进行故障排除。
4. 在排除电源子系统故障时:
1) 检查管理模块中的L E D状态,收集故障现象。
2) 检查PS1 LED是否亮着。
3) 检查交流电源和电源线是否正确。
5. 在排除散热子系统故障时:
1) 检查管理引擎模块中的Fan LED是否显示为绿色。
2) 如果Fan LED是红色的,那么也许风扇座没有正常插入到机架插槽里。
3) 如果Fan LED仍然显示红色,也许系统检测到风扇已经坏了。
6. 在排除处理器和接口子系统故障时:
1) 检查管理引擎模块中的Status LED状态。
2) 检查各个接口模块的L E D指示。
3) 检查所有缆线和连接是否正确。
7. 执行SHOW VERSION命令可以获得更多有关交换机的硬件和软件信息。
8. 虽然L A N交换机是一个数据链路层设备,但如果该交换机正充当着路由交换机模块(R S M),那么也就可能需要排除其网络层的故障。
9. 在开始排除网络故障的过程中,物理层是最基本的一层。
10. 排除缆线级故障可用的基本诊断工具就是交换机模块中的L E D指示。
11. SHOW MODULE命令可以显示C a t a l y s t交换机中所有模块及其状态的一个汇总信息。
12. SHOW PORT命令可以显示出被怀疑的端口的详细状态信息,包括端口速度、半双工或全双工状态、V L A N成员、冲突或错误情况。
13. SHOW PORT SECURITY命令可以显示被怀疑的端口所分配的安全性级别。它可以用于确定是否因为“窃听”而要将该端口关闭。
14. SHOW MAC命令可以显示出各个端口所传送的和接收的信息帧总数,还包括按帧类