CISCO網絡故障排錯

 

一、故障處理命令

　　1、show命令：

　　1） 全局命令：

　　show version ；顯示系統(tǒng)硬件和軟件版本、DRAM、Flash

　　show startup-config ；顯示寫入NVRAM中的配置內容

　　show running-config ；顯示當前運行的配置內容

　　show buffers ；詳細輸出buffer的名稱和尺寸

　　show stacks ；提供路由器進程和處理器利用率信息, 用stack decode

　　show tech-support ；顯示幾個show命令的輸出

　　show access-lists ；查看訪問列表配置

　　show memory ；用于測試內存問題

　　2） 接口相關命令

　　show queueing [fair|priority|custom]

　　show queue e0/1 ；查看接口上隊列的設置和操作

　　show interface e0/1 ；Cisco缺省的Ethernet封裝方法是ARPA

　　show ip interface e0/1 ；顯示指定接口的TCP/IP配置信息

　　3） 進程相關命令

　　show processes cpu ；顯示路由器CPU的使用率和當前的進程

　　show processes memory ；顯示路由器當前進程的內存使用情況

　　4） TCP/IP協(xié)議相關命令

　　Show ip access-list ；顯示IP訪問列表（1-199）

　　Show ip arp ；顯示路由器的ARP緩存（IP、MAC、封裝類型、接口）

　　Show ip protocols ；顯示運行在路由器上的IP路由協(xié)議的信息

　　Show ip route ；顯示IP路由表中的信息

　　Show ip traffic ；顯示IP流量統(tǒng)計信息

　　2、debug命令

　　DEBUG不應在CPU使用率超過50%的路由器上運行。

　　1） 限制debug輸出

　　在使用DEBUG獲得所需數(shù)據(jù)后，要關閉Debug

　　使路由器對所有消息都配置使用時間戳：

　　Router#service timestamps debug datetime msec localtime

　　Router#service timestamp log datetime msec localtime

　　缺省，error和debug信息僅發(fā)送到console，telnet到路由器上看不到debug和log的信息。想在telnet中看到debug和log信息：

　　Router#terminal monitor

　　Router#terminal monitor ；關閉信息輸出

　　Router#undebug all ；關閉debug進程及所有相關信息的輸出

　　可以應用ACL到debug以限定僅輸出要求的debug信息。

　　如僅查看從10.0.1.1到10.1.1.1的ICMP包：

　　Router(config)#access-list 101 permit icmp host 10.0.1.1 host 10.1.1.1

　　Router#debug ip packet detail 101

　　2） 全局debug命令：

　　3） 接口debug

　　4） 協(xié)議debug

　　5） IP debug

　　debug ip packets

　　3、logging命令

　　輸出error和其它信息到console、terminal、路由器內部buffer或一臺syslog服務器：

　　Router>show logging

　　Cisco路由器有8種可能的logging級：0-7

　　Logging級別 名稱 描述

　　1 Emergencies 系統(tǒng)不能用的信息

　　2 Alerts 直接行動

　　3 Critical 緊急情形

　　4 Errors 錯誤信息

　　5 Warnings 警告信息

　　6 Notifications 正常但重要的情形

　　7 Informational 信息

　　8 Debugging 調試

　　缺省地，console、monitor、buffer的logging被設置為debugging級，而trap（syslog）服務器的logging被設置為informational。

　　4、執(zhí)行路由核心復制

　　core dump包含一份當前系統(tǒng)內存中信息的精確拷貝。捕捉包含在內存中信息的方法有：

　　1） 配置路由器在崩潰時執(zhí)行Core Dump，存儲到TFTP、FTP、RCP服務器：

　　對TFTP協(xié)議，只需指定TFTP服務器IP，不需要任何附加的配置：

　　Router(config)#exception dump 192.168.1.1 ；TFTP服務器的IP地址

　　對FTP協(xié)議的配置：

　　Router(config)#exception dump 192.168.1.1 ；FTP服務器的IP地址

　　Router(config)#ip ftp username Kevin

　　Router(config)#ip ftp password aloha

　　Router(config)#ip ftp source-interface e0

　　Router(config)#exception protocol ftp

　　對RCP協(xié)議的配置：

　　Router(config)#exception protocol rcp

　　Router(config)#exception dump 192.168.1.1 ；RCP服務器的IP地址

　　Router(config)#ip rcmd remote-username Kevin

　　Router(config)#ip rcmd rcp-enable

　　Router(config)#ip rcmd rsh-enable

　　Router(config)#ip rcmd remote-host Kevin 192.168.1.1 kevin ；

　　2） 在系統(tǒng)沒有崩潰的情況下，執(zhí)行Core Dump命令。

　　Router#write core

　　Core Dump僅在Cisco工程師測試和解決路由器問題時有用。

　　5、ping命令

　　ping用于測試整個網絡可達性和連通性。可在用戶EXEC模式和特權EXEC模式下使用。

　　IP的ping使用ICMP協(xié)議提供連通性和可能性信息，缺省只發(fā)送5個echo信息。

　　擴展Ping的選項有：源IP地址；服務類型；數(shù)據(jù)；包頭選項。

　　Ping的響應字符集

　　字符 解釋 字符 解釋

　　! Received an echo-reply message Q Source quench

　　. Timeout M Unable to fragment

　　U/H Destination unreachable A Administratively denied

　　N Network unreachable ? Unknown packet-type

　　P Protocol unreachable

　　6、traceroute命令

　　traceroute用于顯示到達目標的包路徑。可在用戶模式和特權模式下使用。

　　Traceroute的響應：

　　字符 解釋 字符 解釋

　　Xx msec The RTT for each packet * Timeout

　　H Host unreachable U Port unreachable

　　N Network unreachable P Protocol unreachable

　　A Administratively denied Q Source quench

　　? Unknown packet type
二、LAN連接問題

　　1、獲得IP地址

　　主機可以動態(tài)或靜態(tài)獲得IP地址。

　　1） DHCP：DHCP比BootP多了地址池和租期。

　　2） BootP：

　　3） Helper Addresses：指定集中放置的DHCP服務器的IP地址

　　Ip helperaddress ip-address ；

　　No ip forward-protocol udp 137 ；

　　4） 路由器上的DHCP服務：配置路由器為一臺DHCP服務器

　　5） DHCP和BootP故障處理

　　Show dhcp server ；

　　Show dhcp lease ；

　　2、ARP

　　ARP映射第2層MAC地址到第3層地址。

　　Show arp ；顯示路由器的ARP表

　　Debug arp ；

　　1） ARP代理：缺省Cisco路由器的ARP代理是啟用的

　　在下列情況下，CISCO路由器將用自身的MAC地址響應ARP請求：

　　? 接收到ARP的接口上的Proxy ARP是啟用的；

　　? ARP請求的地址不在本地子網；

　　? 路由器的路由表中包含ARP請求地址的子網；

　　3、TCP連接示例

　　三、IP訪問列表

　　1、標準ACL：基于IP包的源IP地址允許或禁用

　　2、擴展ACL：提供源地址、目標地址、端口號、會話層協(xié)議進行過濾。

　　3、命名ACL：可以是標準ACL，也可以是擴展ACL。

　　命名ACL與編號ACL的區(qū)別：命名ACL有一個邏輯名，可以刪除命名ACL中單獨一行。

　　Ip access-list extended Example-Named-ACL

　　Deny tcp any any eq echo

　　Deny tcp any any eq 37

　　Permit udp host 172.16.10.2 any eq snmp

　　Permit tcp any any

　　第6章 TCP/IP路由協(xié)議故障處理

　　一、缺省網關

　　當包的目的地址不在路由器的路由表中，如路由器配置了缺省網關，則轉發(fā)到缺省網關，否則就丟棄。

　　Show ip route ；查看Cisco路由器的缺省網關

　　二、靜態(tài)和動態(tài)路由

　　三、處理k_protocal/04937.htm" target="_blank">RIP故障

　　RIP是距離矢量路由協(xié)議，度量值是跳數(shù)。RIP最大跳數(shù)為15，如果到目標的跳數(shù)超過15，則為不可達。

　　RIP V1是有類別路由協(xié)議，RIP V2是非分類路由協(xié)議，支持CIDR、路由歸納、VLSM，使用多播（224.0.0.9）發(fā)送路由更新。

　　RIP相關的show命令：

　　Show ip route rip ；僅顯示RIP路由表

　　Show ip route ；顯示所有IP路由表

　　Show ip interface ；顯示IP接口配置

　　Show running-config

　　Debug ip rip events ；

　　常見的RIP故障：RIP版本不一致、RIP使用UDP廣播更新

　　四、處理IGRP故障

　　IGRP是Cisco專用路由協(xié)議，距離矢量協(xié)議。IGRP的度量值可以基于五個要素：帶寬、延時、負載、可靠性、MTU，缺省只使用帶寬和延時。

　　IGRP相關的show命令：

　　Show ip route igrp ；顯示IGRP路由表

　　Debug ip igrp events ；

　　Debug ip igrp transactions ；

　　常見的IGRP故障：訪問列表、不正確的配置、到相鄰路由器的line down

　　五、處理EIGRP故障

　　EIGRP是鏈路狀態(tài)協(xié)議和距離矢量混合協(xié)議，是CISCO專用路由協(xié)議。EIGRP使用多播地址224.0.0.10發(fā)送路由更新，使用DUAL算法計算路由。EIGRP的度量值可以基于帶寬、延時、負載、可靠性、MTU，缺省僅使用帶寬和延時。

　　EIGRP使用3種數(shù)據(jù)庫：路由數(shù)據(jù)庫、拓撲數(shù)據(jù)庫、相鄰路由器數(shù)據(jù)庫。

　　EIGRP相關的show命令：

　　Show running-config

　　Show ip route

　　Show ip route eigrp ；僅顯示EIGRP路由

　　Show ip eigrp interface ；顯示該接口的對等體信息

　　Show ip eigrp neighbors ；顯示所有的EIGRP鄰居及其信息

　　Show ip eigrp topology ；顯示EIGRP拓撲結構表的內容

　　Show ip eigrp traffic ；顯示EIGRP路由統(tǒng)計的歸納

　　Show ip eigrp events ；顯示最近的EIGRP協(xié)議事件記錄

　　EIGRP相關的debug命令：

　　Debug ip eigrp as號

　　Debug ip eigrp neighbor

　　Debug ip eigrp notifications

　　Debug ip eigrp summary

　　Debug ip eigrp

　　常見的EIGRP故障：相鄰關系、缺省網關等的丟失、老版本IOS的路由、stuck in active。

　　處理EIGRP故障時，先用show ip eigrp neighbors查看所有相鄰路由器，然后再用show ip route gigrp查看路由器的路由表，再用show ip eigrp topology查看路由器的拓撲結構表，也可用show ip eigrp traffic查看路由更新是否被發(fā)送。

　　六、處理OSPF故障

　　OSPF是鏈路狀態(tài)協(xié)議，維護3個數(shù)據(jù)庫：相鄰數(shù)據(jù)庫、拓撲結構數(shù)據(jù)庫、路由表。

　　OSPF相關的show命令：

　　Show running-config

　　Show ip route

　　Show ip route ospf ；僅顯示OSPF路由

　　Show ip ospf process-id ；顯示與特定進程ID相關的信息

　　Show ip ospf ；顯示OSPF相關信息

　　Show ip ospf border-routers ；顯示邊界路由器

　　Show ip ospf database ；顯示OSPF的歸納數(shù)據(jù)庫

　　Show ip ospf interface ；顯示指定接口上的OSPF信息

　　Show ip ospf neighbor ；顯示OSPF相鄰信息

　　Show ip ospf request-list ；顯示鏈路狀態(tài)請求列表

　　Show ip ospf summary-address ；顯示歸納路由的再發(fā)布信息

　　Show ip ospf virtual-links ；顯示虛擬鏈路信息

　　Show ip interface ；顯示接口的IP設置
OSPF相關的debug命令：

　　Debug ip ospf adj ；

　　Debug ip ospf events

　　Debug ip ospf flood

　　Debug ip ospf lsa-generation

　　Debug ip ospf packet

　　Debug ip ospf retransmission

　　Debug ip ospf spf

　　Debug ip ospf tree

　　常見的OSPF故障：OSPF的每個area不超過100臺路由器，整個網絡不超過700臺路由器；通配符掩碼配置不當；

　　七、處理BGP故障

　　BGP（包括IBGP和EBGP）的關鍵配置是鄰居關系，BGP使用TCP建立相鄰關系。

　　BGP相關的show命令：

　　Show ip bgp ；顯示BGP所學習到的路由

　　Show ip bgp network ；顯示特定網絡的BGP信息

　　Show ip neighbors ；顯示BGP鄰居信息

　　Show ip bgp peer-group ；顯示BGP對待組信息

　　Show ip bgp summary ；顯示所有BGP連接的歸納

　　Show ip route bgp ；顯示BGP路由表

　　BGP相關的debug命令：

　　Debug ip bgp 192.1.1.1 updates

　　Debug ip bgp dampening

　　Debug ip bgp events

　　Debug ip bgp keepalives

　　Debug ip bgp updates

　　典型的BGP故障：

　　八、再發(fā)布路由協(xié)議

　　九、TCP/IP癥狀和原因

　　癥狀 原因

　　本地主機不能與遠程主機通訊 1） DNS工作不正常2） 沒有到遠程主機的路由3） 缺少缺省網關4） 管理拒絕（ACL）

　　某個應用程序不能正常工作 1） 管理拒絕（ACL）2） 網絡沒有正常配置以處理該應用程序

　　啟動失敗 1） BootP服務器沒有MAC地址的實體2） 缺少IP helper-address3） ACL4） 修改NIC或MAC地址5） 重復的IP地址6） 不正常的IP配置

　　不能ping遠程主機 1） ACL2） 沒有到遠程主機的路由3） 沒有設置缺省網關4） 遠程主機down

　　缺少路由 1） 沒有正確配置路由協(xié)議2） 發(fā)布列表3） 被動接口4） 沒有通告路由的鄰居5） 路由協(xié)議版本不一致6） 鄰居關系沒有建立

　　相鄰關系沒有建立 1） 不正確的路由協(xié)議配置2） 不正確的IP配置3） 沒有配置network或neighbor語句4） hello間隔不一致5） 不一致的area ID

　　高的CPU利用率 1） 不穩(wěn)定的路由更新2） 沒有關閉debug3） 進程過重

　　路由觸發(fā)活躍模式 1） 不一致的間隔2） 硬件問題3） 不穩(wěn)定的鏈路

　　十、TCP/IP癥狀和行動計劃

　　問題 行動計劃

　　DNS工作不正常 1）配置DNS主機的配置和DNS服務器，可以使用nslookup校驗DNS服務器的工作

　　沒有到遠程主機的路由 1） 用ipconfig /all檢查缺省網關2） 用show ip route查看是否相應路由3） 如果沒有該路由，用show ip route查看是否有缺省網關4） 如有網關，檢查到目標的下一跳；如無網關，修正問題

　　ACL 有分離的問題與ACL相關，必須分析ACL、或重寫ACL并應用。

　　網絡沒有配置以處理應用程序 查看路由器配置

　　Booting失敗 1） 查看DHCP或BootP服務器，并查看是否存在故障機的MAC實體2） 使用debug ip udp校驗從主機接收的包3） 校驗helper-address正確配置4） 查看ACL是否禁用包

　　缺少路由 1） 在第1臺路由器上用show ip route查看所學到的路由2）校驗相鄰路由器3）有正確的路由network和neighbor語句4） 對OSPF，校驗通配符掩碼5） 檢查應用到接口上的distribute list6）驗證鄰居的IP配置7） 如果路由被再發(fā)布，驗證度量值8） 驗證路由被正常的再發(fā)布

　　沒有構成相鄰關系 1） 用show ip protocol neighbors列表已構成的相鄰關系2） 查看沒有構成相鄰關系的協(xié)議配置3）檢查路由配置中的network語句4）用show ip protocol/interface查看特定的接口信息，如Hello間隔
 

 

TAG: