تكوين Nexus 9000: أداة تعقب الحزم
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين الأداة المساعدة لتتبع الحزم Cisco Nexus 9000.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
- بنية الأجهزة Cisco Nexus 9000
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Nexus 9500
- SW الإصدار 7.0(3)I2(2a)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
Packet-tracer هي أداة مساعدة مدمجة على Nexus 9000 يمكن إستخدامها لتتبع مسار الحزمة من خلال المحول. يمكن استدعاؤه باستخدام سطر الأوامر ويمكن تكوينه لمطابقة عنوان IP أو سمات الطبقة 4. ولا يمكن إستخدامه لمطابقة حركة مرور ARP.
توفر هذه الأداة تأكيدا حول ما إذا كان التدفق يمر عبر المحول أم لا. كما يوفر عداد لتعقب إحصائيات التدفق التي يمكن أن تكون مفيدة لبيئة فقد الحزم بشكل متقطع/كامل.
إستخدام Case Scenerios
- قابل للتطبيق لتدفقات IPv4 فقط (لا يتم دعم IPv6 ولا IP)
- لا تعرض هذه الأداة التفاصيل الداخلية للحزمة كما هو موضح في wireshark.
- فقدان متقطع للحزم: يمكن أن يوفر إختبار الاتصال أو أي أداة أخرى عرضا محددا للحزم المفقودة
- اكتمال فقدان الحزمة
الأجهزة المدعومة
يتم دعم بطاقات الخط/وحدات البنية أو وحدات TOR فقط مع تطبيق Broadcom Trident II ASICS. القائمة أدناه:
- N9K-C9372TX
- N9K-C9372PX
- N9K-C9332PQ
- N9K-C9396TX
- N9K-C9396PX
- N9K-C93128TX
- N9K-C9336PQ
- N9K-X9564PX
- N9K-X9564TX
- N9K-X9636PQ
أجهزة غير مدعومة
- N9K-C93180YC-EX
- N9K-X9732C-EX
- N9K-C9232C
- N9k-C9272Q
- N9k-C92160YC
ملاحظة: يرجى الاتصال ب TAC في حالة عدم إدراج بطاقة خط/TOR معينة
كيفية إستخدام متتبع الحزم
التكوين
أوامر Packet-tracer هي أوامر على مستوى EXEC.
N9K-9508#test packet-tracer src_ip <src_ip> dst_ip <dst_ip> <==== provide your src and dst ip
N9K-9508#test packet-tracer start <==== Start packet tracer
N9K-9508#test packet-tracer stop <==== Stop packet tracer
N9K-9508#test packet-tracer show <==== Check for packet matches
تقوم الأوامر السابقة ببرمجة المشغل على كل بطاقة خط موجودة على بطاقة الخط أو وحدات البنية الخاصة ب Broadcom Trident II ASIC. عندما يمر تدفق مع السمات المطابقة عبر هذه الوحدات النمطية، فإنه يظهر العدادات التي يتم الوصول إليها من ثم يساعد على تحديد المسار ضمن المحول (وحدة الدخول النمطية—>أحد وحدة النسيج النمطية—>مخرج وحدة نمطية).
يمكن إستخدام العدادات لربط عمليات الإسقاط.
معلومات أساسية
فتحات وحدة الإدخال/الإخراج البينية الخاصة بوحدات البنية. وجميع الوحدات النمطية الليفية نشطة وتحمل حركة مرور. مثالان من Broadcom Trident II ASIC (T2) لكل وحدة بنيوية.
المشكلة
يتم إستخدام قائمة التحكم في الوصول إلى المنفذ (PACL) (قائمة الوصول إلى المنفذ) لمعرفة ما إذا كانت واجهة مادية معينة قد تلقت حركة المرور المعنية. ومع ذلك، على منصة Nexus، لا تحتوي بعض السلاسل على TCAM منحوت ل PACL. يتطلب نحت TCAM إعادة تحميل الوحدة التعليمية. في تلك الحالات، أستخدم متعقب الحزم لمطابقة حركة المرور المهتمة. أنت يستطيع أيضا تتبعت الربط يذهب حتى fabric ميناء ويتوجه إلى مخرج وحدة نمطية. لذلك ربط tracer يمنحك كثير نظرة في كيف حركة مرور يكون أرسلت داخل المفتاح.
ربط يستعمل مدخل TCAM ينحت لفسحة بين دعامتين.
الحل
NS - North Star ASIC
T2 - Trident II ASIC
محرك إعادة توجيه الشبكة - NFE
محرك ورق ALE - ACI
لمزيد من المعلومات حول بنية المحول Nexus 9000 Switch، ارجع إلى هذا التقرير الرسمي.
ملاحظة: هناك ما يصل إلى ست وحدات بنية على هيكل طراز 9500. إظهار نسيج واحد فقط في الصورة السابقة لتبسيط الأمر. يمكن أن تصل حركة المرور من الوحدات النمطية إلى أي وحدة نمطية للنسيج.
حالة الاستخدام: طابق حركة مرور على مدخل وحدة نمطية، حركة مرور مدخل على وحدة نمطية بناء وحركة مرور مدخل T2 ASIC على مخرج وحدة نمطية
فيما يلي الخطوات الأساسية التي يلزم تكوينها لمطابقة حركة المرور المهتمة:
switch#test packet-tracer {<src-ip>|<dst-ip>|<src-l4-port>|<dst-l4-port>} [<protocol>] [detail-fp|detail-hg]
فيما يلي التكوين الذي تحتاج إليه :
switch#test packet-tracer src_ip <src_ip> dst_ip <dst_ip> protocol <> <==== provide your src and dst ip and protocol (protocol option 1 is for icmp)
switch#test packet-tracer start <==== Start packet tracer
switch#test packet-tracer show <==== Check for packet match statistics
لا تحتاج لتطبيقه على أي واجهة بينية. يقوم هذا التكوين بتثبيت قائمة التحكم في الوصول إلى التصفية عبر جميع قوائم التحكم في الوصول الخاصة بالمنفذ (LC)/FM في جميع مثيلات T2 ASIC.
وهو يعرض حساب الحزم على الوحدة النمطية التي تم إدخال حركة المرور عليها. هذا يطابق حركة المرور التي يهمنا أمرها في وحدة، كل من خط أنيق وقماش.
فيما يلي مثال تكوين:
N9K-9508# test packet-tracer src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1 <=== Protocol 1 matches ICMP traffic
N9K-9508# test packet-tracer start
هنا كيفية ترجمة عرض "إختبار ربط-tracer" الناتج:
N9K-9508# test packet-tracer show
Packet-tracer stats
---------------------
Module 1: <=== Slot #. Same output will be displayed for other Linecards's and Fabric modules.
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 <==== Our filter #1
ASIC instance 0: <==== Trident ASIC instance #0
Entry 0: id = 7425, count = 0, active, fp, <==== pakcet match count on front panel port. it could be any port
Entry 1: id = 7426, count = 0, active, hg, <==== packet match count from fabric module to T2 ASIC on the linecard
ASIC instance 1:
Entry 0: id = 7425, count = 0, active, fp,
Entry 1: id = 7426, count = 0, active, hg,
Filter 2 uninstalled:
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
مثال التكوين:
تكوين متتبع الحزم:
N9K-9508# test packet-tracer src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1 <==== Filter to match echo traffic. Protocol 1 to match icmp traffic
N9K-9508# test packet-tracer src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1 <=== Filter to match echo reply traffic
N9K-9508# test packet-tracer start <==== Start packet tracer
N9K-9508# test packet-tracer show non-zero <==== Command to see packet statistics
Packet-tracer stats
---------------------
Module 1:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 2:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 22:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 23:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 24:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 25:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
الاختبار: تشغيل إختبار الاتصال من SRC IP المتصل خارج الوحدة النمطية 1 إلى DST IP المتصل خارج الوحدة النمطية 2:
Router# ping 10.1.1.1 source 10.2.2.1
PING 10.1.1.1 (10.1.1.1) from 10.2.2.1: 56 data bytes
64 bytes from 10.1.1.1: icmp_seq=0 ttl=253 time=0.77 ms
64 bytes from 10.1.1.1: icmp_seq=1 ttl=253 time=0.43 ms
64 bytes from 10.1.1.1: icmp_seq=2 ttl=253 time=0.408 ms
64 bytes from 10.1.1.1: icmp_seq=3 ttl=253 time=0.398 ms
64 bytes from 10.1.1.1: icmp_seq=4 ttl=253 time=0.383 ms
--- 10.1.1.1 ping statistics ---
5 packets transmitted, 5 packets received, 0.00% packet loss
round-trip min/avg/max = 0.383/0.477/0.77 ms
التحقق: التحقق من عدد متتبع الحزم:
N9K-9508# test packet-tracer show non-zero <==== Command to see packet statistics
Packet-tracer stats
---------------------
Module 1:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
ASIC instance 0:
Entry 0: id = 7425, count = 5, active, fp, <===== 5 Echo packets ingress on Module 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 2:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
ASIC instance 0:
Entry 0: id = 7457, count = 5, active, fp, <===== 5 Echo reply packets ingress on Module 2
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 3:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 4:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 22:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
ASIC instance 0:
Entry 0: id = 7425, count = 4, active, hg, <==== Fabric module 22 received 4 echo packets
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 23:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
ASIC instance 0:
Entry 0: id = 7425, count = 1, active, hg, <==== Fabric module 23 received 1 echo packets
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
ASIC instance 0:
Entry 0: id = 7425, count = 3, active, hg, <==== Fabric module 23 received 3 echo reply packets
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 24:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
ASIC instance 0:
Entry 0: id = 7425, count = 2, active, hg, <==== Fabric module 23 received 2 echo reply packets
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
Module 26:
Filter 1 installed: src-ip 10.1.1.1 dst-ip 10.2.2.1 protocol 1
Filter 2 installed: src-ip 10.2.2.1 dst-ip 10.1.1.1 protocol 1
Filter 3 uninstalled:
Filter 4 uninstalled:
Filter 5 uninstalled:
N9K-9508#
أوامر مفيدة أخرى:
إختبار Packet-tracer remove-all <====== يزيل كل عوامل التصفية التي تم تكوينها
قم باختبار مسح <filter #> <=== مسح العدادات لكل عوامل التصفية أو عامل التصفية المحدد
إختبار packet-tracer src_ip <.> dst_ip <> L4-dst-port <dst_port> | l4-src-port <src_port> | يتوافق البروتوكول <=== بناء على L4 src_port أو L4 dst_port أو البروتوكول.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
15-Dec-2023 |
مقدمة محدثة ومتطلبات النمط ومتطلبات العلامة التجارية ومراجعة القراءة. |
1.0 |
16-Apr-2017 |
الإصدار الأولي |
التعليقات