Einleitung
In diesem Dokument werden das Verfahren und die Anforderungen zum Durchführen automatischer Integritäts- und Konfigurationsprüfungen für die Nexus 3000-/9000- und 7000-Plattformen beschrieben.
Voraussetzungen
Anforderungen
Die automatische Integritäts- und Konfigurationsprüfung wird nur für Nexus-Plattformen unterstützt, auf denen eigenständige NX-OS-Software ausgeführt wird, und nicht für Switches, auf denen ACI-Software ausgeführt wird.
Diese Hardwareplattformen werden unterstützt:
- Switches der Serien Nexus 3000/9000 mit einheitlichem NX-OS Software-Image: 7.0(3)Ix oder neuer
- Switches der Serien Nexus 7000/7700 mit NX-OS Software 7.x oder höher
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konventionen
Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).
Verfahren zur Integritäts- und Konfigurationsprüfung
Sammeln Sie show tech-support detailsdieshow tech-support Protokolle des Nexus-Switches, für den Sie die Integritäts- und Konfigurationsprüfung durchführen möchten. Dieshow tech-support detailswird dringend empfohlen, da sie einen höheren Wert bietet und mehr Prüfungen durchgeführt werden. Stellen Sie sicher, dass die Protokolle entweder im TXT- oder im GZ/.tar-Format erfasst werden. Derzeit werden dieshow tech-supportodershow tech-support detailsin ASCII- und UTF-8-Textformaten aufgezeichneten Dateien unterstützt.
Erstellen Sie beim Cisco Support Case Manager ein regelmäßiges TAC-Serviceticket mit den folgenden Stichwörtern (Technologie/Subtechnologie/Problemcode):
Technologie: Rechenzentrums- und Speichernetzwerke
Sub-Tech: (Wählen Sie die passende Plattform aus)
Nexus 3000 (nur Serie N3000) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 3000 (Serie N3100-N3600) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Switch der Serie Nexus 7000 - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 9200 - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 9300 (außer Serie EX/FX/GX/R) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 9300 (Serie EX/FX/GX/R) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus Switches der Serie 9400 - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 9500 (außer Serie EX/FX/GX/R) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus 9500 (Serie EX/FX/GX/R) - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Nexus Switches der Serie 9800 - Integritäts- und Konfigurationsprüfung (AUTOMATISIERT)
Problemcode: Integritäts- und Konfigurationsprüfung
Nach dem Öffnen des Servicetickets führt ein Cisco Guided Workflow Sie durch die Schritte zum Hochladen der show tech-support detailsodershow tech-supportProtokolle.
Nachdem die erforderliche Ausgabe hochgeladen wurde, analysiert Cisco die Protokolle und stellt einen Bericht zur Integritätsprüfung (im PDF-Format) bereit, der einer an den Benutzer gesendeten E-Mail angefügt wird. Der Bericht enthält eine Liste der erkannten Probleme, relevante Schritte zur Fehlerbehebung und einen empfohlenen Aktionsplan.
Wenn Fragen zu den gemeldeten Fehlern bei der Integritätsprüfung auftreten, wird den Benutzern empfohlen, eine separate(n) Serviceanfrage(n) mit den entsprechenden Stichwörtern zu öffnen, um weitere Unterstützung von Experten zu erhalten. Es wird dringend empfohlen, die für die automatische Integritäts- und Konfigurationsprüfung geöffnete Service Request-Nummer (SR) zusammen mit dem zur Beschleunigung der Untersuchung erstellten Bericht zu verwenden.
Integritäts- und Konfigurationsprüfungsmodule
Die automatische Nexus Integritäts- und Konfigurationsprüfung Version 1, Version August 2022, führt die in Tabelle 1 aufgeführten Prüfungen durch.
Tabelle 1: Health Check-Module und zugehörige CLI, die von den Modulen verwendet werden
| Index |
Health Check-Modul
|
Kurze Beschreibung des Moduls |
CLI(s) für die Integritätsprüfung
|
| 1. |
NX-OS-Versionsprüfung |
Überprüft, ob auf dem Gerät eine von Cisco empfohlene NX-OS-Softwareversion ausgeführt wird. |
show version
|
| 2. |
Nexus EoS/EoL-Produktprüfung |
Überprüft, ob eine der Komponenten (Hardware/Software) das End-of-Life (EOL) oder End-of-Sale (EOS) erreicht |
show version show module show inventory
|
| 3. |
Prüfung von Problemhinweisen |
Überprüft, ob das Gerät potenziell von einem bekannten PSIRT/CVE oder einer Problemhinweis-Meldung betroffen ist. |
show version show module show inventory show running-config
und alle Befehle, die zum Überprüfen der Datei mit einem bestimmten FN/PSIRT erforderlich sind.
|
| 4. |
Integritätsprüfung der NX-OS-CPU |
Überprüft die Symptome für die erhöhte CPU-Auslastung. Es wird berichtet, wenn die aktuelle/historische CPU-Auslastung > 60 % ist. |
show processes cpu show processes cpu sort show processes cpu history show system resources
|
| 5. |
Integritätsprüfung des NX-OS-Arbeitsspeichers |
Überprüft, ob die Speichernutzung auf dem Gerät die Schwellenwerte für den Systemspeicher (Standard- oder benutzerdefinierte Werte) überschreitet. |
show version show processes memory show system resources
|
| 6. |
NX-OS-Schnittstellenüberprüfung |
Überprüft, ob eine der gemeldeten Schnittstellen in RX- oder TX-Richtung fällt. Das Modul druckt 5 Schnittstellen mit den höchsten Fehlerquoten in jede Richtung. |
show interface show interface brief show queuing
|
| 7. |
CoPP-Integritätsprüfung |
Überprüft, ob CoPP deaktiviert oder falsch konfiguriert ist (z. B. der gesamte CPU-gebundene Datenverkehr, der die Standardklasse erreicht) oder veraltete CoPP-Richtlinien (z. B. Übertragung von älteren Versionen) aufweist oder >1000 Verwerfungen in nicht standardmäßigen Klassen gemeldet wurden. |
show copp status show policy-map interface control-plane show running-config
|
| 8. |
MTS-Statusprüfung (Inter-Process Communication) |
Erkennt, ob Nachrichten für die Kommunikation zwischen Prozessen (als MTS bezeichnet) länger als 1 Tag blockiert sind. |
show system internal mts buffer summary show system internal mts buffer details
|
| 9. |
Integritätsprüfung des Nexus-Moduls |
Überprüft, ob eines der Module (Linecard, Fabric usw.) Diagnosefehler meldet oder heruntergefahren/ausgefallen ist |
show module
show inventory show diagnostic result module all detail
|
| 10. |
Statusprüfung für Netzteil und Lüfter |
Erkennt, ob eines der Netzteile nicht betriebsbereit ist. |
show inventory
show environment
show logging log show logging nvram
|
| 11. |
vPC Best Practices Check |
Überprüft, ob die Gerätekonfiguration den Best Practices für vPC entspricht, z. B. Peer-Router-, Peer-Switch- und Peer-Gateway-Konfigurationen. |
Layer-3-Peer-Router:
show running-config (um zu prüfen, ob OSPF-, EIGRP- und BGP-Adjacencies gebildet wurden) Peer-Gateway/Peer-Switch: show running-config show spanning-tree show vpc brief show interface brief
|
| 12. |
MTU-Prüfung |
Erkennt inkonsistente MTU-Konfigurationen wie Layer 2-Schnittstellen und Layer 3-SVI haben unterschiedliche MTU-Konfigurationen, falsche MTU auf OTV-Join-Schnittstellen oder nicht aktivierte Jumbo-MTU auf Schnittstellen, wo sie benötigt wird usw. |
show running-config
show interface show ip arp
show mac address-table show ip route detail
show ip eigrp neighbors
show ip ospf neighbors
show bgp
|
| 13. |
Layer-2-Funktion: Integritätsprüfung der Konfiguration |
Prüft, ob L2-Funktion aktiviert, aber nicht verwendet wird
|
show running-config
|
| 14. |
NX-OS vPC-Kompatibilitätsprüfung |
Überprüft, ob von Virtual Port-Channels (vPC) gemeldete Inkompatibilitätsfehler vom Typ 1/Typ 2 vorliegen. |
show running-config show vpc
|
| 15. |
Spanning Tree Protocol - Integritätsprüfung |
Überprüft die angeschlossenen Ausgaben auf Anzeichen von Instabilitäten oder unerwarteten Zuständen des Spanning Tree Protocol. Das Modul meldet VLANs, in denen die letzten Topologieänderungen aufgetreten sind, sowie zusätzliche Informationen: Timestamps, Schnittstelle und Root-Bridge-ID. Derzeit unterstützt dieses Diagnosemodul nur RSTP. die Unterstützung für MST ist für die zukünftigen Versionen geplant. |
show spanning-tree detail show spanning-tree internal errors show spanning-tree internal event-history
show spanning-tree active show logging log
show mac address-table notification mac-move
show system internal
|
| 16. |
PortChannel-Zustandsprüfung |
Erkennt, ob sich eines der konfigurierten Port-Channel-Mitglieder im fehlerhaften Zustand befindet: (I), (s) (D) oder (H) |
show port-channel summary
|
| 17. |
SFP-Validierung |
Erkennt alle Transceiver, die den Fehler "SFP Validation Failed" (SFP-Validierung fehlgeschlagen) gemeldet haben |
show interface brief
|
| 18. |
Integritätsprüfung der Layer-3-Funktionskonfiguration |
Prüft, ob L3-Funktion aktiviert, aber nicht verwendet wird |
show running-config
|
| 19. |
Standard-Route über Management-VRF-Prüfung |
Überprüft, ob auf dem Gerät eine Standardroute konfiguriert ist, die in Standard-VRF über Management-VRF verweist. |
show running-config show accounting log
|
| 20. |
Prüfung auf nicht unterstütztes Multicast-Routing über vPC |
Prüft auf nicht unterstützte PIM-Adjacency über vPC |
show running-config show ip pim interface vrf all internal show ip pim neighbor vrf all detail
|
| 21. |
OSPF-Integritätsprüfung |
Prüft auf mögliche Adjacency-Probleme, die auf dem Gerät festgestellt wurden.Beispiel:
- Mehrere Nachbarn an Schnittstelle erkannt, die als P2P konfiguriert ist
- Router-ID nicht manuell konfiguriert oder Loopback-IP verwendet
- Adjacencies nicht im FULL-Status
- Adjacencies, die kürzlich den Status "FULL" erreicht haben und auf potenzielle Instabilität hinweisen
|
show running-config show ip interface brief vrf all show ip ospf neighbors detail vrf all private show ip ospf interface vrf all private show logging log
|
| 22. |
EIGRP-Integritätsprüfung |
Prüft auf mögliche Adjacency-Probleme, die auf dem Gerät festgestellt wurden. Beispiele:
- AS-Nummer nicht konfiguriert
- Keine aktiven Nachbarn erkannt
- Hohe Werte von SRTT, RTO oder Q Cnt erkannt
- Hohe Anzahl erkannter verworfener EIGRP-Pakete
- Weniger als 15 Minuten Betriebszeit der Adjacency und deutet auf potenzielle Instabilität hin
- Die Adjazenz nahm in den letzten 7 Tagen ab.
|
show running-config show logging log show ip eigrp neighbors detail vrf all show ip eigrp detail vrf all
|
| 23. |
BGP-Peers - Integritätsprüfung |
Überprüft die BGP-Adjacency im IDLE-Status. |
show running-config show bgp vrf all all summary
|
| 24. |
First-Hop Redundancy Protocol (FHRP) |
Prüft auf nicht standardmäßige Timer-Konfigurationen, da diese Konfigurationen eine nicht optimale Leistung zur Folge haben können. Dieses Health Check-Modul deckt NUR das Hot-Standby Routing Protocol (HSRP) ab. |
show running-config
|
| 25. |
Konsistenzprüfung der VXLAN-EVPN-Konfiguration |
Prüft die angeschlossenen Ausgänge auf ihre Konfiguration gemäß dem NX-OS VXLAN Configuration Guide. Überprüfen Sie z. B. Folgendes:
- Die Loopback-Schnittstelle, die als Quelle für die NVE verwendet wird, und die Loopback-Schnittstelle, die als Quelle für BGP-Updates verwendet wird, sind nicht identisch
- Loopback-Schnittstelle, die als Quelle der NVE im Standard-VRF verwendet wird
- L3-Uplinks für VXLAN-gekapselten Datenverkehr gehören zum Standard-VRF und sind nicht als SVI oder als Subschnittstellen konfiguriert.
- L3-Uplinks verfügen über einen einzigen ARP-Eintrag (d. h. ohne Multi-Access).
- Funktion: vPC ist aktiviert, und es gibt eine vPC-Domäne.
- Die Backup-SVI befindet sich im Standard-VRF, ist über den vPC-Peer-Link zulässig und als Infra-VLAN definiert.
- Admin-Status des NVE-Status ist für beide vPC-Peers aktiv (vPC-Konsistenzparameter)
- "ingress-Replication" oder "mcast-group" wird für jeden L2 VNI konfiguriert, oder "global mcast group" wird unter der NVE definiert
- PIM Sparse-Mode ist auf den L3-Uplinks aktiviert. Wenn Multicast als Replikationsmodus für BUM-Datenverkehr verwendet wird
- PIM Sparse-Mode ist auf den L3-Uplinks aktiviert, ohne "evpn multisite dci tracking".
- "suppress-arp" wird nur auf L2VNIs konfiguriert, bei denen die SVI des erweiterten VLANs mit "Fabric Forwarding Mode anycast-gateway" konfiguriert ist.
- "advertise l2vpn evpn" ist in NX-OS-Versionen vor 9.2 konfiguriert.
- mehrere Standorte" ist nur auf Nexus 9000 mit Cloud-skalierten ASICs konfiguriert.
- "evpn multisite dci-tracking" wird für DCI-Verbindungen konfiguriert, und "Fabric-tracking" wird für L3-Uplinks konfiguriert, und die Schnittstelle ist keine SVI
- "peer-type fabric-external" wird in den L2VPN-Sitzungen zwischen den BGWs konfiguriert.
- Die als Quelle für mehrere Standorte verwendete Loopback-Schnittstelle ist in der NVE definiert.
- "peer-gateway", "peer-switch'" "ip arp synchronize'", "ipv6 nd synchronize" werden in der vPC-Domäne konfiguriert.
- "associated-vrf" wird für L3VNI konfiguriert, und die SVI des L3VNI verfügt über ein VN-Segment.
- Die L2VPN-EVPN-Adjacency zu Remote-BGWs verfügt über "peer-type fabric-external" und "rewrite-evpn-rt-asn".
|
show running-config
show version
show module
show inventory
show vpc
show port-channel summary
show vlan all-ports
|
Berichte und Hinweise
- Die Integritäts- und Konfigurationsprüfung (Health and Config Check SR) wird automatisiert und vom Virtual TAC Engineer durchgeführt.
- Der Bericht (im PDF-Format) wird in der Regel innerhalb von 24 Geschäftsstunden erstellt, nachdem alle erforderlichen Protokolle an den Serviceticket angehängt wurden.
- Der Bericht wird automatisch per E-Mail (über jhwatson@cisco.com) an alle Kontakte (primäre und sekundäre) weitergegeben, die der Serviceanfrage zugeordnet sind.
- Der Bericht wird auch der Serviceanfrage beigefügt, damit sie zu einem späteren Zeitpunkt verfügbar ist.
- Beachten Sie, dass die im Bericht aufgeführten Probleme auf den bereitgestellten Protokollen basieren und im Rahmen der Health Check-Module liegen, die zuvor in Tabelle 1 aufgeführt wurden.
- Die Liste der durchgeführten Integritäts- und Konfigurationsprüfungen ist nicht vollständig. Benutzern wird empfohlen, bei Bedarf weitere Integritätsprüfungen durchzuführen.
- Für Nexus 7000 mit mehreren Virtual Device Context (VDC)-Kontexten zeigt eine Detaildatei des technischen Supports, die von jedem VDC benötigt wird, um optimale Ergebnisse zu erzielen.
- Für VxLAN EVPN werden die nächsten Prüfungen nicht durchgeführt:
- Skalierbar für die Anzahl von L2, L3 VNIs, Tenant-VRFs, die Anzahl von Overlay-MAC-Adressen oder Multicast-Gruppen.
- Konfiguration von Tenant Routed Multicast (TRM), vPC Fabric Peering, Downstream VNI (DSVNI), neuem L3VNI, Q-in-VNI oder Q-in-Q-in-VNI, vPC Peer reserved-vlan miss-match oder Pfadpräferenz, wobei der Pfad zu anderen Standorten über die Backup-SVI statt über die DCI-Verbindungen erfolgt.
- Für VxLAN-EVPN-Konfigurationen in Bezug auf die Backup-SVI zwischen vPC-Leaf-Switches:
- Konfigurationen mit DCNM oder NDFC: Es wird davon ausgegangen, dass der Standardwert "3600" als VLAN ausgewählt wurde, sodass die Schnittstelle VLAN 3600 als Backup-SVI gilt.
- Das für die SVI konfigurierte IGP ist OSPF oder ISIS. Konfigurationen, bei denen eine iBGP-IPv4-Unicast-Sitzung zwischen den vPC-Peers im Underlay eingerichtet wurde und für die SVI kein IGP konfiguriert ist, werden als fehlende Backup-SVI gemeldet.
Häufig gestellte Fragen
Frage 1: Kann ich show tech-support details für mehr als einen Switch im gleichen Serviceticket hochladen, um einen Health Check-Bericht für alle Switches zu erhalten?
Antwort 1: Hierbei handelt es sich um eine automatisierte Fallbearbeitung, und die Statusprüfungen werden vom Virtual TAC Engineer durchgeführt. Die Integritätsprüfung wird nur für den zuerstshow tech-support detailshochgeladenen durchgeführt.
Frage 2: Kann ich mehr als einenshow tech-support details für dasselbe Gerät hochladen, z. B. für ein paar Stunden entfernte Daten, um die Integritätsprüfung für beide Geräte durchzuführen?
Antwort 2: Hierbei handelt es sich um eine automatisierte, statuslose Fallbearbeitung, die vom Virtual TAC Engineer durchgeführt wird. Die Integritäts- und Konfigurationsprüfung erfolgt beim ersten Upload dershow tech-support detailsDatei in den Serviceticket, unabhängig davon, ob die hochgeladenen Dateien vom selben Switch oder von verschiedenen Switches stammen.
Frage 3: Kann ich Integritätsprüfungen für Switches durchführen, deren show tech-support details Dateien als einzelne RAR/GZ-Datei komprimiert und in den SR hochgeladen wurden?
Antwort 3: Nein. Wenn mehrere Dateien als einzelne rar/zip/gz-Datei hochgeladen werden,show tech-support detailswird nur die erste Datei im Archiv für Statusprüfungen verarbeitet.
Frage 4: Die Integritäts- und Konfigurationsprüfung für die Nexus 5000-/6000-Plattformen wird nicht angezeigt. Wird sie zu einem späteren Zeitpunkt behandelt?
Antwort 4: Nein. Zurzeit gibt es keinen Plan, Nexus 5000/6000-Plattformen in naher Zukunft abzudecken.
Frage 5: Was kann ich tun, wenn ich Fragen zu einem der gemeldeten Fehler bei der Integritätsprüfung habe?
Antwort 5: Öffnen Sie eine separate TAC-Serviceanfrage, um weitere Unterstützung zu dem spezifischen Ergebnis des Gesundheitschecks zu erhalten. Es wird dringend empfohlen, den Integritätsprüfungsbericht anzuhängen und die für die automatische Integritäts- und Konfigurationsprüfung geöffnete Serviceticketnummer (Service Request, SR) zu verwenden.
Frage 6: Kann ich denselben Serviceticket verwenden, der für die automatische Integritäts- und Konfigurationsprüfung geöffnet wurde, um die gefundenen Probleme zu beheben?
Antwort 6: Nein. Da die proaktive Integritätsprüfung automatisiert wird, öffnen Sie eine neue Serviceanfrage, um die gemeldeten Probleme zu beheben. Beachten Sie, dass der zur Integritätsprüfung geöffnete Serviceticket in 24 Stunden nach Veröffentlichung des Integritätsberichts geschlossen ist.
Frage 7: Wird die automatische Integritäts- und Konfigurationsprüfung mit der show tech-support details Datei für den Switch durchgeführt, der ältere Versionen als die oben genannte ausführt?
A7: Die automatische Integritäts- und Konfigurationsprüfung wurde für die unten genannten Plattformen und Softwareversionen entwickelt. Bei Geräten, auf denen ältere Versionen ausgeführt werden, ist dies bestmöglich, und es gibt keine Garantie für die Richtigkeit des Berichts.
- Switches der Serie Nexus 3x00 mit einheitlichem NX-OS Software-Image: 7.0(3)Ix oder neuer
- Switches der Serien Nexus 7000/7700 mit NX-OS Software 7.x oder höher
- Switches der Serie Nexus 9x00 mit einheitlichem NX-OS Software-Image: 7.0(3)Ix oder neuer
Frage 8: Wie schließe ich das für die Integritätsprüfung geöffnete Serviceticket?
A8: Der Serviceticket wird innerhalb von 24 Stunden nach dem Versenden des ersten Health Check-Berichts geschlossen. Der Benutzer muss keine Maßnahmen zum Schließen des Servicetickets ergreifen.
Frage 9: Wie kann ich Kommentare oder Feedback zur proaktiven Integritäts- und Konfigurationsprüfung freigeben?
A9: Bitte teilen Sie sie per E-Mail an Nexus-HealthCheck-Feedback@cisco.com
F10. Welche Methode wird für die Erfassung show tech-support oder Erfassung show tech-support details von Switches empfohlen?
A10: Es wird dringend empfohlen, die Ausgabe vonshow tech-supportodershow tech-support detailsBefehl zu erfassen, indem Sie ihn (wie im nächsten Beispiel gezeigt) statt in eine Protokolldatei in der Terminalanwendung (z. B. SecureCRT, PuTTY) weiterleitenbootflash:. Beachten Sie, dass die von der Terminalanwendung erfasste Protokolldatei im UTF-8-BOM-Format (oder ähnlich) vorliegen kann, das von der automatisierten Integritätsprüfung NICHT unterstützt wird. Die automatische Integritäts- und Konfigurationsprüfung unterstützt Dateien nur im ASCII- oder UTF-8-Format.
Beispiel-CLIs zum Umleiten der Ausgabe anbootflash:und Komprimieren der Datei:
Nexus1# show tech-support details >> bootflash:showtechdetails_Nexus1.txt
Nexus1# gzip bootflash:showtechdetails_Nexus1.txt
Feedback
Wir freuen uns über Ihr Feedback zu den Funktionen dieses Tools. Falls Sie Anmerkungen oder Anregungen haben (z. B. zur Benutzerfreundlichkeit, zum Umfang, zur Qualität der erstellten Berichte), teilen Sie uns diese bitte unter Nexus-HealthCheck-Feedback@cisco.com mit.
Feedback