Полезные команды Cisco #2

Второй выпуск команд, способных оказаться крайне полезными в процессе настройки и диагностики оборудования на базе ОС Cisco IOS.
Если у вас имеются кандидаты в данный список – указывайте в комментариях.


  • logging discriminator
Аналогично debug condition из первого выпуска, для logging так же имеется возможность произвести фильтрацию вывода.
Команда оказывается крайне полезной в тех случаях, где мы ждём только конкретный вывод в консоль или, что чаще, желаем видеть всё, кроме какого-то раздражающего уведомления. Примером такого сообщения может быть уведомление о неработающем втором fan-модуле, следующего вида:
, решить которое по ряду причин может не предствляться возможным.
Для исключения данного вида сообщений из вывода можно воспользовать следующим набором команд:
Учтите, что имя дискриминатора автоматически урезается до 8 символов.


  • no ip icmp rate-limit unreachable
Несмотря на то, что для управления политиками безопасности для control plane существует специальный Control plane policing (CoPP), имеется набор быстрых команд, обеспечивающих управление ограничениями для ICMP-трафика.
Одна из таких команд ограничивает количество пакетов ICMP Type 3 (Destination Unreachable), которые маршрутизатор может послать в единицу времени.
Примером, на котором будет заметна работа данной команды, является использование простого traceroute в сторону маршрутизатора Cisco. Как известно, предпоследний пакет трейсинга маршрутизатора Cisco всегда завершается выводом символа “*” (астериск) и связно это именно в ограничениями на количество ICMP-ответов, которые узел назначения может послать в секунду.
Значения по умолчанию:
, те не чаще 1 раза каждые 500мс.
Вывод до применения команды:
Убираем ограничение:
Вывод после применения команды:
Не могу утверждать точно, но если вы используете traceroute как инструмент в составе системы мониторинга, вывод * тоже может вызывать проблемы.

  • buffers huge size
Особенность обнаружена при подготовке к JNCIP-ENT, когда требовалось организовать какую-либо генерацию относительно заметного объёма трафика, используя устройства Cisco и Juniper. Если на Juniper мы может использовать размер ICMP пакетов вплоть до 65535 байт, то в Cisco максимальным значением оказалось
18024 байта. И ладно бы это было ограничением для исходящего ICMP, но и пинг с Juniper с размером выше 18024 попросту отбрасывались.
Поиск ограничителя оказался крайне прост:
Т.е. значение некоего “huge buffers” и является ограничителем, осталось лишь изменить его значение:
Так как это общее ограничение для буфера под большие пакеты, то это должно сказаться и на ограничении для исходящего трафика:
Как видно теперь мы не только можем принимать большие пакеты, но и отправлять таковые.

Благодаря тому, что операционная система Cisco NX-OS создана на базе операционной системы Linux MontaVista, имеется возможность комплектации дистрибутива дополнительным ПО и обеспечить его использование прямо из командной строки. Одним из таких инструментов стало ПО Wireshark (!).
Для начала прослушивания трафика на локальных интерфейсах используется следующий синтаксис:
inbound-hi и inbound-low представляют разделение видов трафика на группы:
– UDP, TCP, IP, IGMP, ARP – считаются нижними (inbound-low);
– STP, OSPF, LACP, FCoE – считаются верхними (inbound-hi);
– трафик получаемый OOB-интерфейсом mgmt попадает в отдельную категорию (mgmt).
Примеры:
 
 
Благодаря такой возможности отсутствует необходимость SPAN’ить трафик в сторону отдельной машины.

  • show ip ospf border-routers
Удобная и быстрая команда определения списка ABR/ASBR.
Команда проверяет LSDB на наличие соседей приславших LSA3, 5, 7 и именно их показывает в выводе команды. При выполнении настройки касающейся добавления или удаления статуса ABR/ASBR, данную команду можно использовать для быстрой диагностики корректной настройки, так как вывод занимает несколько строк и лёгко поддаётся анализу.
Со множеством интересных команд OSPF можно ознакомиться здесь.

SHARE: Tweet about this on TwitterShare on FacebookShare on VKShare on LinkedInShare on Google+Email this to someone
  • ddos

    TTCP – команда для тестирования пропускной способности

  • Увеличение размера huge buffers – плохая идея (RAM тратится просто так)

    • Sk1f3r

      Однако, в лабе весьма удобная вещь.

  • Likler

    команда more
    особенно когда надо посмотреть файл tech_support на самой циске. Также на чем-то очень большом more nvram:startup-config не жрет столько ресурсов и срабатывает гораздо быстрее чем show run

    Также хочу отметить, что ethanalyzer работает только на нексусах
    на 6500 используется Mini Protocol Analyzer
    а на роутерах Embedded Packet Capture

    обе фичи хорошо задокументированы.