CISCO交换机故障排除

实验CISCO交换机故障排除
(说明：show module是用于Catalyst5000系列的交换机查看模块的命令，所以在实验过程中，输入这个命令，可能会报错，没有显示信息，另一种原因是远程登录的交换机都是没有任何配置的，也没有添加模块)
使用SHOW MODULE命令所输出的信息显示如下：
1) Mod 交换机中安装的模块数量
2) Module Name 模块名。

这在模块设置中是一个可选设置项
3) Ports 模块中的端口数量
4) Module-Type 安装的模块类型(以太网、路由交换机)
5) Model 模块的型号
6) Serial-Num 模块的序列号
7) Stautus 模块的当前状态
8) MAC Address(es) 模块的M A C或M A C地址范围(如果使用的话)
9) Hw 模块的硬件版本
10) Fw 模块的固件号
11) Sw 模块的软件版本
所有Catalyst 5000系列交换机都支持热插拔，从而允许在不关闭系统电源的情况下，安装、删除、替换和重新安排交换模块。

当系统检测到某个交换模块已经安装或被删除，它就会自动运行一个诊断和发现例程，以证实某个模块的存在或不存在，并在不需操作员干涉的情况下恢复系统正常工作。

必须注意，在替换任何故障模块时，务必要小心，因为这些部件都对ESD很敏感。

2. SHOW PORT
在排除网络故障时，如果我们已经能肯定电缆线和模块工作都很正常的话，那么，可以将SHOW PORT命令作为下一步，对端口级进行检查。

该命令可以显示出被怀疑的端口的详细状态信息。

它可以显示出端口速度、半双工或全双工、V L A N成员关系、冲突和错误等等信息。

根据这些信息，可以大概推断出问题出在哪里。

使用SHOW PORT命令所输出的信息显示如下：
1) Port 已经查询过的端口号
2) Name 端口名(可选)
3) Status 端口状态
4) VLAN 该端口所属的V L A N
5) Level 端口级别设置(低或高可选)
6) Duplex 端口是工作在全双工模式还是半双工模式
7) Speed 端口速度(1 0、1 0 0、a u t o)
8) Type 端口类型( 1 0 B a s e T、1 0 0 B a s e T)
9) Security 端口安全性是否被激活
10) Secure-Src-Addr 显示安全性已经被激活端口的M A C地址
11) Last-Src-Addr 显示该端口最后所收到的分组的M A C地址
12) Shutdown 指出端口是否会因安全违章而关闭
13) Trap 指出是否启用了端口自陷
14) Broadcast-Limit 显示端口广播的极限设置
15) Broadcast-Drop 显示超出限制的被丢弃的分组数量
16) Align-Err 接收到的具有调整误差的帧数(含有不均匀数量的八位组和C R C错误的分组)
17) FCS-Err 帧校验序列错误的数量
18) Xmit-Err 发送错误数。

这是一个完全发送缓冲器的标志
19) Rcv-Err 接收错误数，它是一个完全接收缓冲器的标志
20) UnderSize 小于6 4个八位组的帧数
21) Single-Col 将信息帧成功发送出去之前，发生单点冲突的数量
22) Multi-Coll 将信息帧成功发送出去之前，发生多点冲突的数量
23) Excess-Col 发生严重冲突的数量，它表明信息帧碰到了1 6个冲突，并已被废弃
24) Carri-Sen 端口检测到载波的次数
25) Runts 短帧数量(帧长小于IEEE 802.3规定的信息帧)
26) Last-Time-Cleared 最后一次清除该端口计数器的时间
3. SHOW PORT SECURITY
另一个命令是SHOW PORT SECURITY，该命令可以显示为被怀疑的端口所分配的安全性。

它可以用来决定是否因为遭到窃听而需要将某个端口关闭。

如果还有任何一个具有不同M A C地址的节点连接在该端口，那么，该端口将不会将信息传送出去。

如果有某个S N M P管理应用软件，比如C i s c o Wo r k s正在监视着该交换机的话，那么，窃听将会向S N M P控制台产生一个自陷消息。

4. SHOW MAC
SHOW MAC命令可以显示出各个端口所传送和接收的总帧数，并可以对这些帧进行分类统计，比如说广播帧或多路广播帧。

使用SHOW MAC命令所输出的信息显示如下：
1) MAC 被怀疑的模块号和端口号
2) Rcv-Frms 接收到的帧数
3) Xmit-Frms 发送的帧数
4) Rcv-Multi 接收到的多路广播帧数
5) Xmit-Multi 发送的多路广播帧数
6) Rcv-Broad 接收的广播帧数
7) Xmit-Broad 发送的广播帧数
8) Dely-Exced 由于超时而被丢掉的帧数
9) MTU-Exced 帧长超过M T U的帧数
10) In-Discard 因为不需要向前转发而丢弃的帧数
11) Lrn-Discard 由于E A R L页已满而丢弃的C A M表项数
12) In-Lost 由于缓冲空间不够而丢失的输入帧数
13) Out-Lost 由于缓冲空间不够而丢失的输出帧数
14) Rcv-Unicast 接收到的单点传送帧数
15) Rcv-Multicast 接收到的多路广播帧数
16) Rcv-Broadcast 接收到的广播帧数
17) Xmit-Unicast 发送的单点传送帧数
18) Xmit-Multicast 发送的多路广播帧数
19) Xmit-Broadcast 发送的广播帧数
20) Rcv-Octet 接收到八位组总数
21) Xmit-Octet 发送的八位组总数
22) Last-Time-Cleared 最后一次清除计数器的时间
在进行故障排除时，可以从与交换机某个端口所连接的节点发出PING命令，在检查完PING命令的返回结果之后，可以通过SHOW MAC命令，根据所记录的计数值查看接收和发送出去的信息分组情况。

5. SHOW CAM
SHOW CAM命令可以显示交换机的桥接表(bridging table)。

该表中列出了交换机所学习到的所有MAC地址以及他们各自的端口。

交换机根据CAM表项将信息帧通过各个端口进行转发。

如果某个信息帧的目标MAC地址没有找到，那么，该帧将会被传送到属于同一个VLAN的所有端口。

交换机可以动态地创建CAM表项。

管理员也可以静态地创建CAM表项。

动态表项的老化时间缺省为3 0 0秒。

使用SHOW CAM DYNAMIC命令所输出的信息显示如下：
1) VLAN 该设备所属的V L A N
2) Dest MAC/Route Des 该附加一个M A C地址的SHOW CAM命令将会显示由设备的M
A C地址规定的有关该设备的同样的信息。

设备所找到的M A C地址
3) Destination Ports or VCs 该设备所连接的端口或虚电路
附加一个MAC地址的SHOW CAM命令将会显示由设备的M A C地址规定的有关该设备的同样的信息。

（二）下面的一些SHOW命令对于排除数据链路层的故障来说，也是非常有用的。

1) SHOW VLAN
2) SHOW TRUNK
3) SHOW VTP DOMAIN
4) SHOW SPANTREE
1. SHOW VLAN
SHOW VLAN命令可以显示出交换机中的所有VLAN及分配的端口列表。

可以通过为每个VLAN所分配的1 ~ 1 0 2 4的标号来区分不同的VLAN。

其中：标号1和1001 ~ 1024是保留标号，1002 ~ 1005定义给了交换机中的任何令牌环或FDDI模块的缺省VLAN。

VLAN 1定义为管理VLAN，并已经缺省配置在交换机中。

VLAN 1~1000可以根据所安装的模块，分配给交换机的各个端口。

每个V L A N中的所有端口都表明连接到该端口的节点是否可以和其他端口进行通信。

如果你正在排除网络连通性方面的问题，那么，该命令将能帮助你找到VLAN配置关系，从而可以隔离出任何与交换机中VLAN配置有关的问题。

使用SHOW VLAN命令所输出的信息显示如下：
1) VLAN VLAN标号
2) Name VLAN的名字，如果已经配置了该选项的话
3) Status VLAN的当前状态(激活还是挂起)
4) Mod/Ports，VLANs 分配到V L A N的端口
5) Type VLAN所使用的介质类型
6) SAID VLAN的安全联盟I D
7) MTU VLAN的最大传输单元
8) Parent 父V L A N，如果已经配置的话
9) RingNo VLAN的环号，如果使用了环形介质的话
10) BrdgNo VLAN的网桥号，如果使用的话
11) Stp 定义了V L A N正在使用的是哪种生成树协议
12) BrdgMode 使用的桥接模式，可选项包括S R B和S RT，缺省设置为S R B
13) Trans1 用于将F D D I或者令牌环信息帧翻译到以太网的翻译V L A N
14) Trans2 用于将F D D I或者令牌环信息帧翻译到以太网的第二个翻译V L A N
15) AREHops 全路由探测帧的跳步数，缺省设置为7，可用范围为1 ~ 1 3
16) STEHops 生成树探测帧的跳步数，缺省设置为7，可用范围为1 ~ 1 3
17) Backup TrCRF 指出是否使用Tr C R F作为交换信息的备份路径
2. SHOW TRUNK
SHOW TRUNK命令的输出信息中列出了在主干模式下用于交换机间高速链路的端口。

它还显示了允许通过这些主干传输信息的VLAN。

该命令对于排除交换机间的连通性问题很有帮助。

当然，在排除交换机的连接故障时，还有其他一些因素要考虑。

使用SHOW TRUNK命令所输出的信息显示如下：
1) Port 正被一个VLAN主干使用着的端口
2) Mode 端口当前状态，可选项包括：on(开)、off(关)、auto(自动)和desirable(期
望)
3) Status 指出该端口是否为trunking
4) Vlans allowed on trunk 指出哪些VLAN可以使用该主干
5) Vlans allowed and active in management domain 在允许的范围内有效VLAN的范围
6) Vlans in spanning-tree forwarding state and not pruned 主干中处于生成树转发状态的VLAN
缺省情况下，如果交换机中有R S M和A TM LANE模块的话，Catalyst交换机会将主干端口分配给他们。

3. SHOW VTP DOMAIN
SHOW VTP DOMAIN命令会列出交换机所在的V T P域。

缺省时，Catalyst交换机将不会位于任何域中。

一个交换机能且仅能属于一个VTP域。

SHOW VTP DOMAIN命令显示了交换机所在的VTP域的模式。

该命令可以用于排除配置了VLAN的LAN交换机环境下的各种网络故障。

该命令中最重要的信息就是交换机的模式。

交换机可以配置成以下几种模式：
1) Client 交换机将从域中的另一个交换机中获得其V T P信息
2) Server 该交换机存储着域中所有设备的V T P信息
3) Transparent 管理员将手工配置域中所有交换机的V T P信息
使用SHOW VTP DOMAIN命令所输出的信息显示如下：
1) Domain Name 域的名字(如果已经设置了的话)
2) Domain Index 域索引号
3) VTP Version 交换机正运行的V T P的版本
4) Local Mode 交换机正运行的V T P模式
5) Vlan-count 域中包含的V L A N数
6) Max-vlan-storage 交换机所支持的最大V L A N数
7) Config Revision VTP修订版本号。

它可以用于域中交换机间的V L A N信息互换
8) Notifications 指出SNMP信息是否要被转发到SNMP工作站
9) Last Updater 最后一次对VTP配置进行修改的设备的I P地址
10) V2 Mode 指出VTP V2模式是启用还是禁止
11) Pruning 指出是否启用了VTP修剪
12) PruneEligible on Vlans 指出该域中是否允许V T P修剪
4. SHOW SPANTREE
当交换机通过多条链路进行互连因而有可能产生环路时，迟早你会需要用到SHOW SPANTREE命令。

缺省时，Catalyst交换机中的每个VLAN的生成树算法( STA)都是启用的。

因此，只要交换机碰到了一个环路，它就会将其中的一个端口设置成“阻塞( blocked)”模式，从而创建一个无环路的网络。

缺省时，SHOW SPANTREE命令显示的是VLAN 1的信息。

为了显示交换机中所配置的其他VLAN的信息，则必须指定具体的VLAN标号。

使用SHOW SPANTREE命令所输出的信息显示如下：
1) VLAN 指出现在所显示的是哪个V L A N的信息
2) Spanning tree 指出生成树的当前状态
3) Designated Root 显示指定根桥的M A C地址
4) Designated Root Priority 指定根桥的优先级
5) Designated Root Cost 到达根桥的总路径开销
STP本身也带来了一些很有趣的事情。

向网络中添加一个设备或者移走一个设备都将要求STP来确定是否造成了网络环路。

对于中等大小的网络来说，这一过程大概需要
3 0到6 0秒。

因此，在生成树将端口释放并允许可以转发信息帧之前，友好的绿色Link指示灯实际上是毫无意义的。

SHOW SPA NTREE < VLAN >命令允许管理员检查交换机中每个VLAN的各个端口的STP状态。

记住你必须为该命令附加上合适的VLAN参数，才能看到配置在某个特定VLAN中的端口的信息。

（三）排除网络层故障
我们必须理解，交换机可以创建多个冲突域，但只使用一个广播域，除非VLAN被配置成可以创建各自不同的广播域。

对于各种VLAN间的通信来说，都需要一个可以由路由交换模块(RSM)或者一个外部路由器才能提供的路由选择进程。

在排除网络层故障时，首先需要远程登录( Telnet)到交换机，以进入到C L I状态。

交换机的s c 0接口必须已经分配了一个I P地址。

这可以从控制台连接中通过下面的命令来完成：Console> (enable) set interface sc0 192.168.1.1 255.255.255.0
一旦已经为该接口分配了IP地址，就可以从任何一个能到达交换机管理“同带信号传输(in-band)”接口I P地址的IP主机上远程登录到该交换机。

如果你是通过一个路由器连接的，则需要对IP主机和Catalyst交换机两者均进行缺省网关设置检查和子网掩码检查。

交换机的缺省网关是用来将信息路由到sc0接口的，SNMP响应分组(与管理工作站通信)也使用缺省网关。

这样就相当于在一个交换机中可以定义三个缺省网关。

各个缺省网关的优先级可以通过“primary”关键字来设定。

参看下面的例子：
SHOW INTERFACE命令将可以显示出该LAN所使用的以及远程访问到该交换机的SLIP 和同带信号传输以太网接口的信息。

这些信息包括：
1) s10 接口名字。

本例中，接口名为SLIP接口
2) flags 描述接口的当前状态；译码信息也会显示出来
3) slip 显示SLIP接口的IP地址
4) dest 显示接口的目标IP地址
5) sc0 接口名字。

本节中它是一个同带信号传输以太网接口
6) vlan 接口所属的VLAN标号。

VLAN 1是管理VLAN
7) inet 接口的IP地址
8) netmask 接口的子网掩码
9) broadcast 接口的广播地址
SHOW IP ROUTE命令显示的是交换机路由表中所包含的信息
1) Fragmentation 指出是否启用了IP地址分段
2) Redirect 指出是否启用了ICMP重定向
3) Unreachable 指出是否启用ICMP不可达消息
4) Destination 显示路由表中当前的目标IP地址
5) Gateway 显示用于到达目标的下一跳地址
6) Flags 表项标记，可能的标记有：
U = Up
G = Gateway
H = Host
7) Use 为达到目标所使用的路由次数
8) Interface 到达目标所使用的接口
s10接口用于SL P接口从控制台端口，通过modem进行远程登录。

sc0和s10这两个接口不能同属于一个子网。

如果将他们配置在同一个子网中了，那么，交换机会自动关闭其中一个接口。

缺省情况下，这两个接口所分配的I P地址都是0 . 0 . 0 . 0。

（四）如果VLAN间的通信不能正确进行，你也许希望检查RSM的配置，看某个具体的VLAN 是否有来自VLAN的IP子网的正确的I P地址。

除了这些SHOW命令之外，在交换机中还有其他两个重要的工具，可以用来检查连通性，特别是检查I P协议的连通性。

那就是PING工具和TRACEROUTE工具。

PING工具
该命令是一个用于多协议网络环境下，排除连通性故障的基本工具。

在C i s c o路由器中，PING工具可以用于IPX协议，也可以用于Apple Talk协议，而在Catalyst交换机中，它只能用于IP协议环境下。

该命令会向远程的主机发送ICMP重复请求，并等待返回的重复回答。

如果你正在向另一个子网中的某台主机发送PING包，那么，也许需要在交换机中定义缺省网关或输入一个静态的IP路由。

在上面的例子中，命令中的“-s”选项要求显示出响应时间以及成功率信息。

“-4”选项则定义了要向远程主机发送四个PING包。

如果你在使用PING命令时，除了指定远程主机的IP地址之外，不使用任何命令参数，那么，将只能显示出该主机是否可达的信息，而不会提供PING命令的其他统计信息。

TRACEROUTE工具
这是一个与PING一起使用的工具，主要用于排除I P路由环境下的网络故障。

该命令通
过显示第三层设备，比如路由器设备信息，来显示I P包在到达目标过程中所使用的路由。

TRACEROUTE命令可以用来找出网络中可能出现问题的路由选择点。

使用TRACEROUTE命令后，显示的信息如下：
1) 1 这是到达目标的路径中所经历的第一跳。

每一跳都会有一个标号，从1开始，直到到达目标为止。

当执行一个TRACEROUTE命令时，缺省的最大跳数标号为3 0
2) 10.16.1.1 下一跳设备的IP地址
3) (10.16.1.1) 这是该设备的名字或ID
4) 1ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的平均时间
5) 2ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的最长时间
6) 1ms 该数字(单位为毫秒)表示的是信息分组到达路径中的一个点所用的最短时间
TRACEROUTE产生UDP分组，该分组中包含目标IP地址，但其TTL先从1开始。

任何接收到该分组的路由器都会将TTL值减1；当一个路由器发现某个分组的TTL为0时，它就会将该分组丢弃掉，并产生一个ICMP的“TTL超时”消息发回给源工作站。

这样，源工作站(这里，就是交换机)就能了解到到达目标站点的下一跳。

当交换机再次发送一个UDP分组时(这次TTL设置为2)，在到达目标的路径中，第二跳的路由器将会将该分组丢弃(因为经过两次减1，到第二个路由器时，UDP分组的TTL已经为0)。

如果在某个特定的跳步处没有响应，我们就可以推断问题就出在这一点上。

没有响应就表明该位置上的路由器要么没有到达目标网络的路由，要么主机没有工作。

实验总结：
本实验介绍了在排除Catalyst基于LAN的交换网络故障时，所应采取的一些步骤。

主要内容集中在如何解决网络的物理层和逻辑层的连通性问题，以及如何将问题进行定位。

本章除了介绍了一些基于交换的命令之外，还讲述了大量可以用来管理整个网络的其他工具和技术。

使用内置的工具或命令就能排除交换级的大部分故障，但都只限于排除物理层、数据链路层，在一定程度上还有网络层的故障。

排除更高层次中的网络故障需要对协议及其握手顺序有很好的理解，而且也许还需要一些高级工具，如协议分析器的辅助才能完成。