ѕодпишитесь на наш Telegram-канал Ѕудьте в курсе последних новостей 👇 😉 ѕодписатьс€
ѕоддержим в трудное врем€ —пециальное предложение на техническую поддержку вашей »“ - инфраструктуры силами наших экспертов ѕодобрать тариф
ѕоставка оборудовани€ √аранти€ и помощь с настройкой. —кидка дл€ наших читателей по промокоду WIKIMERIONET  упить
»нтерфейс статистики Merion Mertics показывает ключевые диаграммы и графики по звонкам, а также историю звонков в формате, который легко поймет менеджер ѕопробовать бесплатно
¬недрение
офисной телефонии
Ўаг на пути к созданию доступных унифицированных коммуникаций в вашей компании ¬недрить
»нтеграци€ с CRM ѕомогаем навести пор€док с данными
и хранить их в единой экосистеме
ѕодключить
»“ Ѕезопасность ”мна€ информационна€ безопасность дл€ вашего бизнеса «аказать
ћерион Ќетворкс

13 минут чтени€

ƒл€ устранени€ неполадок мы должны пройти путь от нижней части модели OSI к верхней. ƒл€ этого нам придетс€ начать с протоколов, которые используютс€ дл€ коммутации. Ѕудем думать о VLAN, транкинге, об агрегировании каналов и св€зующем дерева. ћы рассмотрим различные протоколы и различные сценарии, где "что-то работает" не так. ћы решим эти проблемы с помощью комбинации команд show и debug. ѕерва€ остановка ... проблемы с интерфейсом!

—ледующие статьи этого цикла:

  1. “раблшутинг STP (Spanning tree protocol)
  2. ”странение неисправностей EtherChannel

Case #1

проблемы с интерфейсом

¬ этом примере мы имеем коммутатор в центре и два компьютера, которые подключены к нему.  аждый компьютер имеет свой IP-адрес, и они должны иметь возможность пинговать друг друга. ћы будем считать, что компьютеры настроены правильно и там нет никаких проблем.

коммутатор в центре и два компьютера пинг проверка

»нтерфейс FastEthernet 0/1 находитс€ в состо€нии down. Ёто может указывать на проблему уровн€ 1, такую как неисправный кабель, неправильный кабель (кроссовер вместо пр€мого) или, возможно, нерабоча€ сетева€ карта. ќбратите внимание, что этот интерфейс работает в полудуплексном режиме. ≈сли повезет, вы можете получить дуплексное сообщение через CDP, которое сообщит вам, что существует дуплексное несоответствие. ≈сли вам не повезло, возможно, из-за этого ваш интерфейс переходит в состо€ние down. »мейте в виду, что гигабитный интерфейс не поддерживает halfduplex.

SwitchA(config)#interface fa0/1
SwitchA(config-if)#duplex auto

»зменим настройки интерфейса на duplex auto, чтобы коммутатор мог само настроитьс€.

duplex auto, чтобы коммутатор мог само настроитьс€ duplex auto, чтобы коммутатор мог само настроитьс€

ћожет быть, нам повезет...но не в этот раз, пинг не работает.

пинг не работает

»нтерфейс fa0 / 3, подключенный к хосту B, также не работает. ѕосле проверки кабелей и разъемов мы можем проверить ошибки дуплекса и скорости. ƒуплекс включен в режим auto, так что это не €вл€етс€ проблемой. —корость была установлена на 10 ћбит, однако в то врем€ как этот интерфейс €вл€етс€ каналом Fast Ethernet (100 ћбит).

SwitchA(config)#interface fa0/3
SwitchA(config-if)#speed auto

ƒавайте переключим скорость на авто и посмотрим, что произойдет.

переключим скорость на авто

ѕохоже, что несоответствие скорости привело к тому, что интерфейс перешел в состо€ние down. »зменение его на auto-speed возвращает интерфейс в состо€ние up.

интерфейс в состо€ние up

Ёто то, что мы искали. »нтерфейсы, с которыми мы работаем, оба показывают состо€ние up/up. ѕо крайней мере, теперь мы знаем, что нет никаких ошибок в кабеле, скорости или дуплексе.

состо€ние up/up

“еперь наш пинг проходит.

ѕервый урок усвоен: ѕроверьте свои интерфейсы и посмотрите, отображаютс€ ли они как up/up.

Case #2

топологи€

“а же топологи€, но здесь друга€ проблема.

’ост A не может пропинговать хост B

’ост A не может пропинговать хост B. ћы начнем с проверки интерфейсов:

—осто€ние интерфейса FastEthernet0/3 выгл€дит нормально

—осто€ние интерфейса FastEthernet0/3 выгл€дит нормально, но что-то не так с интерфейсом FastEthernet 0/1.

ƒавайте изучим его подробнее:

изучим его подробнее

“ак так, мы видим сообщение err-disabled. Ёто уже дает нам пон€ть, что проблема, где здесь (по крайней мере, это означает, что мы на что-то наткнулись).

err-disabled

»спользуйте команду show interfaces status err-disabled, чтобы узнать, почему интерфейс перешел в режим error-disabled. Ёто сообщит нам, что причина-безопасность порта.

show interfaces status err-disabled

ћы можем посмотреть на конфигурацию безопасности порта, и мы видим, что только 1 MAC-адрес разрешен. ѕоследний MAC-адрес, который виден на интерфейсе - 000с.2928.5c6c.

MAC-адрес, который виден на интерфейсе

¬ыше мы видим, что интерфейс был настроен дл€ обеспечени€ безопасности на другой MAC-адрес. »менно по этой причине порт перешел в режим err-disabled.

SwitchA(config)#interface fa0/1
SwitchA(config-if)#no switchport port-security

ƒавайте уберем port security, чтобы решить эту проблему.

SwitchA(config)#interface fa0/1
SwitchA(config-if)#shutdown
SwitchA(config-if)#no shutdown

√лавное, что вы не должны забыть сделать - это после очистки настройки от port security ваш интерфейс все еще находитс€ в режиме err-disabled. ¬ам нужно выполнить команды отключени€ и включени€ порта (shutdown и no shutdown), чтобы он снова заработал!

shutdown и no shutdown

 онсоль сообщает нам, что интерфейс теперь включен.

интерфейс теперь включен

 ак мы видим эхо-запрос проходит между компьютерами. ѕроблема решена!

”рок 2 усвоен: проверьте, находитс€ ли интерфейс в состо€нии err-disabled, и если да, то: а) проверьте, почему это произошло, и Ѕ) решите проблему.

Case #3

топологи€

ƒавайте продолжим с другой проблемой. “а же топологи€, но оп€ть проблема.

два компьютера не вид€т друг друга

Ёти два компьютера не "вид€т" друг друга.

два компьютера не вид€т друг друга

»нтерфейсы выгл€д€т хорошо, никаких ошибок здесь нет.

»нтерфейсы

» так мы видим, что port security отключена на этом коммутаторе. Ќа данный момент мы, по крайней мере, знаем, что нет никаких проблем с интерфейсом и port security не фильтрует никакие MAC-адреса.

port security отключена на этом коммутаторе

¬ данный момент это хороша€ иде€, чтобы проверить информацию о VLAN. ¬ы можете использовать команду show vlan, чтобы быстро проверить, к какой VLAN принадлежат интерфейсы.

 ак вы можете видеть, наши интерфейсы наход€тс€ не в одной и той же VLAN.

SwitchA(config)#interface fa0/3
SwitchA(config-if)#switchport access vlan 1

ћы переместим интерфейс fa0/3 обратно в VLAN 1.

переместим интерфейс fa0/3 обратно в VLAN 1
“еперь оба компьютера наход€тс€ в одной VLAN. ѕроблема решена! ”рок 3 усвоен: убедитесь, что интерфейсы находитс€ в нужной VLAN.

Case #4

“опологи€

ѕришло врем€ дл€ другой проблемы! Ќаши два компьютера не пингуюс€ между собой. ¬ы теперь знаете, как выгл€дит неудачный пинг, поэтому скрин не будет публиковатьс€ снова.

»нтерфейсы не показывают никаких ошибок

»нтерфейсы не показывают никаких ошибок.

настройку VLAN

ћы изучим настройку VLAN. ¬ы видите, что FastEthernet 0/1 находитс€ в VLAN 10, но мы нигде не видим FastEthernet 0/3. ¬от возможные причины:

  • „то-то не так с интерфейсом. ћы проверили и убедились, что это не так, потому что он показывает состо€ние up/up, поэтому он кажетс€ активным.
  • »нтерфейс не в режиме access port, а в режиме trunk.
интерфейс fa0/3 находитс€ в режиме trunk

Ѕыстрый взгл€д на информацию о коммутаторе показывает нам, что нам нужно знать. ћы убедились, что интерфейс fa0/3 находитс€ в режиме trunk, а native VLAN - 1. Ёто означает, что вс€кий раз, когда хост B отправл€ет трафик и не использует маркировку 802.1 Q, наш трафик заканчиваетс€ в VLAN 1.

SwitchA(config)#interface fa0/3
SwitchA(config-if)#switchport mode access
SwitchA(config-if)#switchport access vlan 10

ћы включим fa0/3 в режим доступа и убедимс€, что он находитс€ в VLAN 10.

включим fa0/3

ќба интерфейса теперь активны в VLAN 10.

ќба интерфейса теперь активны в VLAN 10

¬озможно, лучше проверить информацию на коммутаторе.

проверить информацию на коммутаторе

“еперь € могу отправить пинг с хоста а на хост Ѕ...проблема решена!

”рок 4 усвоен: убедитесь, что интерфейс находитс€ в нужном режиме (доступ или магистральный режим).

Case #5

“опологи€

“е же два компьютера, тот же коммутатор. ќднако этот сценарий немного интереснее.  омпьютеры не могут пинговать друг друга, поэтому давайте пройдемс€ по нашему списку "возможных" ошибок:

 омпьютеры не могут пинговать друг друга

»нтерфейсы выгл€д€т хорошо, up/up-это очень хорошо.

up/up

ќба интерфейса наход€тс€ в VLAN 10, так что это тоже хорошо.

ќба интерфейса наход€тс€ в VLAN 10

ѕросто чтобы быть уверенным...там нет port security. Ёто очень интересна€ ситуаци€. »нтерфейсы работают (в состо€нии up/up), мы находимс€ в одной VLAN, и нет никакой защиты портов. „то еще может быть причиной "перекрыти€" трафика?

нет port security

јга! Ёто может быть не то, о чем нам может прийти в голову, но мы же можем использовать VACLs (VLAN access-list), чтобы разрешить или запретить трафик в пределах VLAN. ≈сли вы устран€ете неполадки коммутаторов, то необходимо проверить эту настройку, если все остальное кажетс€ вам нормальным. ¬ этом случае есть VACL, подключенный к VLAN 10, давайте проверим его.

есть VACL

≈сть два пор€дковых номера ... 10 и 20. ѕор€дковый номер 10 соответствует access-list 1, и его задача состоит в том, чтобы отбросить трафик. ƒавайте посмотрим, что это за access-list 1:

что это за access-list 1

Ќе смущайтесь из-за за€влени€ о разрешении здесь. »спользование оператора permit в access-list означает, что он будет "соответствовать" подсети 192.168.1.0/24. Ќаши два компьютера используют IP-адреса из этого диапазона. ≈сли он соответствует этому access-list, то VLAN access-map отбросит трафик.

SwitchA(config)# vlan access-map BLOCKSTUFF 10
SwitchA(config-access-map)# action forward

ƒавайте изменим действие на "forward" и посмотрим, решит ли оно нашу проблему.

изменим действие на forward

Ќу вот, все работает.

”рок 5 усвоен: если все остальное кажетс€ нормальным, убедитесь, что нет никакого VACL!

Case #6

“опологи€

ƒавайте продолжим урок 6 с другой топологией. “еперь вы знаете, что нам нужно сначала проверить интерфейсы, а затем VLAN. ¬ этом примере у нас есть те же два компьютера, но теперь у нас есть два коммутатора. ѕинг от ’ост ј к ’осту Ѕ не работает, так с чего начнем поиск?

ѕинг от ’ост ј к ’осту Ѕ не работает

—начала мы проверим интерфейс fa0/1 на коммутаторе 1. »нтерфейс запущен и работает, это switchport, назначенный дл€ VLAN 10. ѕока все выгл€дит неплохо. Port security не включен, так что нам не нужно беспокоитьс€ об этом.

проверим интерфейс fa0/1 на коммутаторе 1

ƒавайте проверим то же самое на коммутаторе 2. »нтерфейс работает, и он был назначен на VLAN 10.

¬ данный момент мы видим, что интерфейсы, "смотр€щие" к компьютерам выгл€д€т хорошо. ¬ этот момент ¬ы могли бы сделать две вещи:

  • ѕодключите другой компьютер к коммутатору 1 и назначьте его во VLAN 10. ѕосмотрите, можно ли общатьс€ между компьютерами во VLAN 10, когда они подключены к одному коммутатору. —делайте то же самое на коммутаторе 2.
  • ѕроверьте интерфейсы между коммутатором 1 и коммутатором 2.

ћы сконцентрируем свое внимание на интерфейсах между коммутатором 1 и коммутатором 2, потому что там много чего может пойти не так!

сконцентрируем свое внимание на интерфейсах между коммутатором 1 и коммутатором 2

»нтерфейсы не показывают никаких проблем, врем€ проверить информацию о switchport.

информацию о switchport

 оммутатор A находитс€ в магистральном режиме и использует инкапсул€цию ISL.

 оммутатор A находитс€ в магистральном режиме и использует инкапсул€цию ISL

 оммутатор B также находитс€ в магистральном режиме, но использует инкапсул€цию 802.1Q. »мейте в виду, что (в зависимости от модели коммутатора) административный режим по умолчанию может быть dynamic auto. ƒва интерфейса, которые оба работают в dynamic auto режиме, станут портом доступа (access). Ћучше всего самосто€тельно переключить интерфейс в магистральный режим. ¬ нашем случае оба интерфейса магистральные, так что это хорошо, но у нас есть несоответствие протокола инкапсул€ции.

SwitchA(config)#interface fa0/15
SwitchA(config-if)#switchport trunk encapsulation dot1q

ћы изменим тип инкапсул€ции, чтобы оба коммутатора использовали протокол 802.1Q.

оба коммутатора использовали протокол 802.1Q

ѕроблема решена! » оп€ть все работает.

”рок 6 усвоен: убедитесь, что при настройке магистралей используетс€ один и тот же протокол инкапсул€ции.

Case #7

“опологи€

¬от оп€ть тот же сценарий. —ейчас рассмотрим еще кое-что, что важно проверить при решении проблем trunk. ѕредположим, мы проверили и убедились, что следующие элементы не вызывают никаких проблем:

  • »нтерфейсы (скорость/дуплекс).
  • Ѕезопасность портов.
  •  онфигураци€ Switchport (назначение VLAN, интерфейс, настроенный в режиме доступа).
эхо-запрос между компьютерами все еще не проходит

  сожалению, эхо-запрос между компьютерами все еще не проходит. ƒавайте взгл€нем на интерфейсы fa0/15 на коммутаторах:

взгл€нем на интерфейсы fa0/15

ѕроверим, что оба интерфейса наход€тс€ в магистральном режиме и что мы используем один и тот же протокол инкапсул€ции (802.1 Q). «десь нет никаких проблем. „то-нибудь еще, что может пойти не так с этой магистральной св€зью? ƒа!

оба интерфейса наход€тс€ в магистральном режиме

ћагистраль может быть работоспособной, но это не означает, что все VLAN разрешены по магистральному каналу св€зи. ¬ приведенном выше примере вы видите, что разрешена только VLAN 20.

SwitchA(config)#interface fa0/15
SwitchA(config-if)#switchport trunk allowed vlan all

SwitchB(config)#interface fa0/15
SwitchB(config-if)#switchport trunk allowed vlan all

ƒавайте позволим всем VLAN пройти магистраль.

позволим всем VLAN пройти магистраль

ѕо магистральной линии может передаватьс€ трафик VLAN 10 между двум€ коммутаторами. ¬ результате пинг идет между компьютерами....еще одна проблема решена!

”рок 7 усвоен: всегда провер€йте, разрешает ли магистраль все VLAN или нет.

Case #8

многоуровневый коммутатор

¬от вам новый сценарий. ƒва компьютера, имеют разные IP-адреса.  оммутатор - это многоуровневый коммутатор. ѕоскольку компьютеры наход€тс€ в разных подсет€х, нам приходитс€ беспокоитьс€ о маршрутизации.

маршрутизаци€

ћы видим, что два компьютера не могут св€затьс€ друг с другом. — чего мы должны начать устранение неполадок?

начать устранение неполадок

Ёто стать€ не о настройке windows, но нам нужно обратить внимание на наши хосты. ѕоскольку компьютеры должны "выйти из своей собственной подсети", мы должны проверить, что IP-адрес шлюза по умолчанию в пор€дке и доступен.

IP-адрес шлюза по умолчанию в пор€дке и доступен

’ост ј может достичь шлюза по умолчанию, поэтому мы, по крайней мере, знаем, что хост ј работает нормально.

хост ј работает нормально

¬от IP-конфигураци€ хоста B. ƒавайте проверим доступность шлюза по умолчанию!

проверим доступность шлюза по умолчанию

«десь тоже все работает. ћы знаем, что компьютеры рабочие, потому что они знают, как выйти из своей собственной подсети, и шлюз по умолчанию доступен. ѕора проверить коммутатор.

проверить коммутатор

 ак мы видим, что хост ј находитс€ в VLAN 10 и хост B находитс€ в VLAN 20. ћы не провер€ли, включены ли интерфейсы, потому что мы можем пинговать IP-адреса шлюза по умолчанию. Ёто говорит о том, что fa0/1 и fa0/3 работают, но мы не знаем, к какой VLAN они принадлежат.

к какой VLAN они принадлежат

Ѕыли сконфигурированы два интерфейса SVI. Ёто IP-адреса, которые компьютеры используют в качестве шлюза по умолчанию. “ак почему же наш коммутатор не маршрутизирует трафик?

два интерфейса SVI

Ќаличие IP-адресов на интерфейсах не означает автоматическую маршрутизацию трафика. ƒл€ этого нам потребуетс€ таблица маршрутизации. Ётот коммутатор не имеет

SwitchA(config)#ip routing

ƒавайте включим маршрутизацию на этом коммутаторе.

включим маршрутизацию на этом коммутаторе

ƒавайте сделаем так, чтобы это выгл€дело получше. “еперь коммутатор знает, куда перенаправл€ть IP-пакеты на этом коммутаторе.

куда перенаправл€ть IP-пакеты на этом коммутаторе

¬от так...теперь два компьютера могут достучатьс€ друг до друга! ѕроблема решена! ”рок 8 усвоен: если вы используете многоуровневый коммутатор дл€ маршрутизации interVLAN, убедитесь, что интерфейсы SVI настроены правильно и что маршрутизаци€ включена.

ћы рассмотрели наиболее распространенные ошибки, которые могут произойти с нашими интерфейсами, VLAN, транками и проблемами маршрутизации при использовании многоуровневых коммутаторов.

¬ следующей статье мы рассмотрим св€зующее дерево. Spanning-tree-довольно надежный протокол, но есть р€д вещей, которые могут пойти не так, как, вы ожидаете.  роме того, из-за неправильной настройки могут произойти некоторые странные вещи...давайте рассмотрим траблшутинг STP в следующей статье.