logo

Les commandes de résolution de problèmes Cisco

La résolution de problèmes englobe trois aspects principaux : prévoir ce qui peut se produire, identifier les anomalies et rechercher les raisons de ces anomalies. De nombreux administrateurs réseau résolvent leurs problèmes d’infrastructure réseau en analysant le chemin de la couche 3 au fil du réseau, saut par saut, dans les deux sens. Ce procédé leur permet d’isoler le problème ; une fois déterminé quel saut échoue dans le chemin de couche, ils peuvent examiner les détails avec plus de précision.

Contenus connexes sélectionnés :

Divers outils permettent de résoudre les problèmes du réseau. Passons-les en revue et voyons quels problèmes ils peuvent vous aider à démêler.

Cisco Discovery Protocol (CDP)

Le protocole CDP (Cisco Discovery Protocol) permet de découvrir des informations fondamentales sur les routeurs et les commutateurs voisins sans avoir à connaître les mots de passe de ces appareils du réseau Cisco. Ceci est possible parce que les routeurs et les commutateurs Cisco envoient régulièrement des messages CDP qui contiennent des informations sur eux-mêmes. Ainsi, les équipements Cisco prenant en charge le CDP peuvent en apprendre sur d’autres appareils en recevant ces messages. Le CDP révèle plusieurs détails utiles sur les appareils Cisco voisins :

  • Identificateur de l’appareil : le nom d’hôte
  • Liste d’adresses : les adresses du réseau et des liaisons de données
  • Identificateur de port : l’interface de l’appareil distant qui a envoyé l’annonce CDP
  • Liste de capacités : le type d’appareil (par exemple : routeur ou commutateur)
  • Plateforme : la version IOS de l’appareil

Pour afficher ces informations, utilisez la commande suivante :

show cdp neighbors

Cette commande répertorie chaque appareil voisin, un par ligne. Chaque ligne fournit les principales informations topologiques sur le voisin : son nom d’hôte (identificateur de l’appareil), l’interface de l’appareil local et sa propre interface (dans la colonne Port). Cette commande d’interface répertorie également la plateforme, en identifiant le modèle spécifique du routeur ou du commutateur voisin.

Pour obtenir des détails supplémentaires, par exemple le nom complet du modèle de commutateur et l’adresse IP configurée sur l’appareil voisin, ajoutez le paramètre suivant :

show cdp neighbors detail

Bien sûr, la possibilité de connaître un grand nombre d’informations sur les appareils voisins constitue un risque pour la sécurité du réseau. Cisco recommande de désactiver le CDP sur toute interface IP qui n’en a pas besoin. Pour activer ou désactiver le CDP pour un appareil dans son ensemble, utilisez les commandes globales « no cdp run » et « cdp run ». Pour l’activer ou le désactiver sur une interface spécifique, utilisez les sous-commandes d’interface « no cdp enable » et « cdp enable ».

Contenus connexes sélectionnés :

Show Version

Vous pouvez utiliser la commande Cisco IOS « show version » en mode d’exécution privilégié pour consulter la version de Cisco IOS et le numéro de version du logiciel IOS exécuté sur les appareils Cisco. Celle-ci renvoie les informations suivantes :

  • Cisco IOS software version — Le nom et le numéro de version du logiciel Cisco
  • Switch uptime — Le temps écoulé depuis le dernier démarrage de l’appareil
  • Switch platform — Informations sur la plateforme matérielle, notamment la révision et la quantité de mémoire vive
  • Processor board ID — Le numéro de série de l’appareil

Ping

L’objectif principal du ping est de vérifier l’accessibilité, la durée des boucles et les pertes de paquets. Pour résoudre les problèmes d’un appareil liés à ces propriétés, il faut spécifier l’adresse IP de cet appareil – par exemple, ping 172.17.4.6. Cette commande envoie une demande d’écho ICMP (Internet Control Message Protocol) et affiche l’un des éléments suivants :

! — Un paquet de réponse écho ICMP a été reçu dans le délai d’attente (2 secondes, par défaut)

. — Aucune réponse n’a été reçue dans le délai d’attente.

Vous pouvez lancer un ping à partir d’une interface particulière en ajoutant le paramètre source avec le nom de l’interface à la fin de la commande – par exemple, ping 172.17.4.6 source Ethernet 0/0.

Traceroute

Traceroute est une fonction qui retrace le chemin d’un réseau à l’autre, elle permet de diagnostiquer la source de nombreux problèmes. Traceroute envoie à l’hôte distant une séquence de trois datagrammes UDP avec un TTL de 1 dans l’en-tête IP, ce qui fait que les datagrammes expirent avant d’atteindre le premier routeur sur le chemin, et le routeur répond avec un message « ICMP time exceeded ». Traceroute envoie alors un ensemble de trois datagrammes UDP avec un TTL de 2, afin qu’ils expirent lorsqu’ils atteignent le deuxième routeur, qui répond avec un message d’expiration. Ce processus se poursuit jusqu’à ce que le paquet atteigne sa destination finale et reçoive le message ICMP « port unreachable ».

Vous pouvez donc utiliser Traceroute pour tester le chemin que les paquets ont choisi pour se rendre à leur destination.

Vous pouvez également utiliser une commande Traceroute étendue pour tester la connectivité à partir d’une source spécifiée – par exemple, traceroute 10.10.60.6 source Loopback0.

Telnet

Si vous utilisez Telnet pour vous connecter à un appareil distant, il utilise le port par défaut (23). Vous pouvez utiliser n’importe quel numéro de port de 1 à 65535 pour vérifier si un appareil distant écoute le port spécifique, par exemple, telnet 172.17.5.74 8080.

Commande « Show interfaces » et codes d’état d’interface

Les commutateurs Cisco utilisent deux ensembles distincts de codes d’état d’interface. Ces deux ensembles de codes d’état peuvent déterminer si une interface fonctionne.

  • Show interfaces et Show interfaces description — Ces commandes indiquent l’état de la ligne et celui du protocole. Elles indiquent en général si la couche 1 (état de la ligne) et la couche 2 (état du protocole) fonctionnent. Pour les interfaces des commutateurs LAN, les deux codes ont généralement la même valeur, soit « up » ou « down ».
  • show interfaces status — Indique l’état de l’interface. Ce code d’état unique correspond à différentes combinaisons de l’état de la ligne et de l’état du protocole, tel qu’indiqué dans le tableau ci-dessous. Par exemple, l’état « connected » de l’interface correspond à un état « up/up » pour les deux autres états.

Voici la liste des codes d’état et les problèmes qu’ils peuvent indiquer :

Line Status (État de la ligne) Protocol Status (État du protocole) Interface Status (État de l’interface) Cause possible
Administratively down Down Disabled L’interface est désactivée en raison d’une commande d’arrêt.
Down Down Not connected Aucune connexion physique, vitesse non adaptée, appareil éteint, erreur désactivé.
Up Down Not connected Aucune interface n’est prévue sur les interfaces physiques.
Down Down error disabled Error disabled La sécurité des ports a désactivé l’interface.
Up Up Connected L’interface fonctionne.

Commande Cisco Shutdown

Lorsque vous configurez pour la première fois une interface en mode Configure terminal, vous devez activer administrativement l’interface avant que le routeur puisse l’utiliser pour transmettre ou recevoir des paquets. Utilisez la commande Cisco No shutdown pour permettre au logiciel IOS d’utiliser l’interface.

Ultérieurement, vous souhaiterez peut-être désactiver une interface spécifique pour effectuer des opérations de maintenance sur cet équipement ou sur un segment de réseau. Vous souhaiterez peut-être aussi désactiver une interface en cas de problème sur un segment spécifique du réseau, pour isoler ce segment du reste du réseau. La commande Shutdown active administrativement une interface. Pour redémarrer l’interface, utilisez la commande No shutdown.

Show IP Route

La plupart des tables de routage contiennent une combinaison d’itinéraires statiques et dynamiques. Toutefois, avant de pouvoir utiliser un routage statique ou dynamique, la table de routage doit contenir les réseaux directement connectés qui sont utilisés pour accéder aux réseaux distants. Pour vérifier les itinéraires statiques dans la table de routage, utilisez la commande Show ip route, en spécifiant l’adresse réseau, le masque de sous-réseau et l’adresse IP du routeur du prochain saut ou de l’interface de sortie.

Problèmes courants sur les équipements Cisco

Problèmes de vitesse d’interface et de duplex

De nombreuses interfaces Ethernet UTP prennent en charge plusieurs vitesses (full-duplex ou half-duplex) et l’auto-négociation IEEE. Ces interfaces peuvent être configurées en vue d’utiliser une vitesse spécifique à l’aide de la sous-commande d’interface Speed {10 | 100 | 1000}, et un duplex spécifique à l’aide de la sous-commande d’interface Duplex {half | full}. Si ces deux sous-commandes sont configurées pour une interface, le commutateur ou le routeur désactive le processus d’auto-négociation IEEE sur cette interface.

Les commandes Show interfaces et Show interfaces status indiquent toutes deux les paramètres de vitesse et de duplex d’une interface, mais seule la commande Show interfaces status indique comment le commutateur a déterminé les paramètres de vitesse et de duplex ; elle précise tous les paramètres auto-négociés avec le préfixe a-. Par exemple, « a-full » signifie full-duplex en mode auto-négocié, alors que « full » signifie full-duplex mais en configuration manuelle. Même si l’auto-négociation fonctionne bien, les valeurs par défaut prévoient la possibilité d’une discordance de duplex (duplex mismatch) : les appareils considèrent que la liaison est établie mais un côté utilise le half-duplex et l’autre le full-duplex.

Le nombre d’erreurs d’entrée et le nombre d’erreurs CRC sont deux des compteurs affichés par la commande Show interfaces. Toute la difficulté consiste à décider quels compteurs afficher, lesquels montrent qu’un problème est en train de se produire et lesquels sont normaux et ne suscitent aucune inquiétude. Voici la liste des compteurs qui vous aidera à comprendre quels compteurs indiquent des problèmes et lesquels ne font que compter des événements normaux :

  • Runts (avortons) : trames ne respectant pas la taille minimale requise (64 octets, y compris le MAC de destination de 18 octets, le MAC source et le type). Les runts peuvent être causés par des collisions.
  • Giants (géants) : trames dépassant la taille minimale requise (1518 octets, y compris le MAC de destination de 18 octets, le MAC source et le type).
  • Input Errors (erreurs d’entrée) : nombre total de compteurs, y compris : avortons, géants, absence de tampon, CRC, trame, dépassement et comptes ignorés.
  • CRC : trames reçues qui n’ont pas satisfait le calcul FCS, elles peuvent être causées par des collisions.
  • Frame (trame) : trames reçues qui présentent un format illégal (par exemple, se terminant par un octet partiel) ; elles peuvent être causées par des collisions.
  • Packets Output (sortie de paquets) : nombre total de paquets (trames) transmis par l’interface.
  • Output Errors (erreurs de sortie) : nombre total de paquets (trames) que le port du commutateur a essayé de transmettre mais pour lesquels un problème est survenu.
  • Collisions : compteur de toutes les collisions qui se sont produites alors que l’interface transmettait une trame.
  • Late Collisions (collisions tardives) : sous-ensemble de toutes les collisions survenant après la transmission du 64e octet de la trame. Dans un réseau local Ethernet qui fonctionne correctement, les collisions doivent se produire lors des 64 premiers octets ; les collisions tardives indiquent souvent une discordance de duplex.

Prévoir le contenu de la table d’adresses MAC

Les commutateurs apprennent les adresses MAC et utilisent ensuite les entrées de la table d’adresses MAC pour prendre une décision de transmission/filtrage relativement chaque trame. Pour savoir exactement comment un commutateur particulier va transmettre une trame Ethernet, vous devez examiner la table d’adresses MAC sur un commutateur Cisco.

La commande EXEC Show mac address-table affiche le contenu de la table d’adresses MAC d’un commutateur. Cette commande recense toutes les adresses MAC connues à cet instant par le commutateur. La sortie comprend certaines adresses MAC statiques utilisées par le commutateur et toutes les adresses MAC configurées de manière statique, notamment celles qui ont été configurées avec la fonction de sécurité des ports. Cette commande répertorie également toutes les adresses MAC apprises de manière dynamique. Si vous souhaitez n’afficher que les entrées de la table d’adresses MAC apprises de manière dynamique, utilisez la commande EXEC Show mac address-table dynamic.

Pour prévoir les entrées de la table d’adresses MAC, imaginez une trame envoyée par un appareil à un autre appareil à l’autre bout du réseau local, puis déterminez quels ports de commutation la trame emprunterait lors de sa traversée du réseau local.

Sécurité et filtrage des ports

Lorsque vous retracez le chemin d’une trame via les commutateurs du réseau local, rappelez-vous que différents types de filtres peuvent écarter des trames, même lorsque toutes les interfaces sont actives. Les commutateurs du réseau local peuvent par exemple utiliser des filtres appelés listes de contrôle d’accès (ACL) qui filtrent en fonction des adresses MAC source et destination, en rejetant certaines trames. Par ailleurs, les routeurs peuvent filtrer les paquets IP à l’aide de listes de contrôle d’accès IP. Dans certains cas, vous pouvez facilement constater que la sécurité des ports a agi : elle a coupé l’interface.

Mais dans d’autres cas, la sécurité des ports laisse l’interface active et se contente de rejeter le trafic illicite. Du point de vue de la résolution de problèmes, une configuration de sécurité des ports qui laisse l’interface active tout en rejetant des trames exige de l’ingénieur réseau qu’il examine attentivement l’état de la sécurité des ports, plutôt que de se contenter d’observer les interfaces et la table d’adresses MAC. La sécurité des ports offre trois modes de violation (arrêt, protection et restriction), mais seul le réglage par défaut (arrêt) entraîne une désactivation de l’interface.

Pour vérifier que la sécurité des ports fonctionne, exécutez la commande Show port-security interface. De plus, la table d’adresses MAC donne quelques indications sur l’activité de la sécurité des ports. Puisque la sécurité des ports gère les adresses MAC, toutes les adresses MAC associées à un port dont la sécurité est activée apparaissent comme des adresses MAC statiques. Par conséquent, la commande Show mac address-table dynamic ne répertorie pas les adresses MAC des interfaces pour lesquelles la sécurité des ports est activée. Cependant, les commandes Show mac address-table et Show mac address-table static répertorient bien ces adresses MAC statiques.

Veiller à ce que les bonnes interfaces d’accès se trouvent dans les bons VLAN

Pour faire en sorte que chaque interface d’accès soit affectée au bon VLAN, les ingénieurs doivent déterminer quelles interfaces de commutation sont des interfaces d’accès plutôt que des interfaces d’agrégation de liens, quels VLAN d’accès sont affectés à chaque interface et comparer les informations à la documentation. Si possible, commencez par utiliser les commandes Show vlan et Show vlan brief, car ces commandes Show répertorient tous les VLAN connus et les interfaces d’accès affectées à chaque VLAN. Sachez toutefois que ces deux commandes ne répertorient pas les agrégations de liens opérationnelles. La sortie répertorie toutes les autres interfaces (celles qui fonctionnent pas en agrégation de liens), que l’interface soit activée ou non.

Si les commandes Show vlan et Show interface switchport ne sont pas disponibles, la commande Show mac address-table permet également d’identifier le VLAN d’accès. Cette commande affiche la table d’adresses MAC, chaque entrée incluant une adresse MAC, une interface et un ID de VLAN. Si une interface est affectée au mauvais VLAN, utilisez la sous-commande Switchport access vlan-id interface pour affecter la bonne ID de VLAN.

Accès aux VLAN non définis

Les commutateurs ne transfèrent pas les trames aux VLAN non configurés, ou configurés mais désactivés. La commande Show vlan répertorie toujours tous les VLAN connus par le commutateur, alors que la commande Show running-config ne le fait pas. Les commutateurs configurés comme serveurs et clients VTP ne répertorient pas les commandes vlan dans la configuration en cours d’exécution ni dans le fichier de configuration au démarrage ; pour ces commutateurs, vous devez utiliser la commande Show vlan. Les commutateurs configurés pour utiliser le mode VTP transparent, ou qui désactivent le VTP, répertorient les commandes de configuration des VLAN dans les fichiers de configuration. (Pour connaître le mode VTP actuel d’un commutateur, utilisez la commande Show vtp status). Si vous avez déterminé qu’un VLAN n’existait pas, il se peut que ce VLAN doive simplement être défini.

VLAN d’accès désactivés

Une autre étape de la résolution de problèmes consiste à vérifier que tous les VLAN sont actifs. La commande Show vlan indique l’un des deux états : active ou act/lshut. Le dernier état signifie que le VLAN est arrêté. L’arrêt d’un VLAN désactive le VLAN sur ce commutateur uniquement, afin que ce dernier ne transmette pas les trames à ce VLAN. Cisco IOS vous propose deux méthodes de configuration similaires qui permettent de désactiver (shutdown) et d’activer (no shutdown) un VLAN.

Vérifier la liste des VLAN autorisés aux deux extrémités d’une agrégation de liens

Si les listes de VLAN autorisés aux extrémités d’une agrégation de liens présentent des discordances, cette agrégation de liens ne peut pas transmettre le trafic pour ce VLAN. La sortie de la commande Show interfaces trunk de chaque côté aura l’air tout à fait normale ; vous ne pouvez déceler le problème qu’en comparant les listes autorisées aux deux extrémités de l’agrégation de liens.

États opérationnels des agrégations de liens discordantes

Si les agrégations de liens sont correctement configurées, les deux commutateurs transmettent les trames pour le même ensemble de VLAN. Des agrégations de liens mal configurées peuvent donner divers résultats. Dans certains cas, les deux commutateurs concluent que leurs interfaces ne peuvent pas agréger les liens. Dans d’autres cas, un commutateur croit que son interface dispose d’une agrégation de liens correcte, mais l’autre commutateur ne le croit pas.

La configuration incorrecte la plus courante – qui fait que les deux commutateurs n’agrègent pas les liens – utilise la commande Switchport mode dynamic auto sur les deux commutateurs de la liaison. Le mot « auto » nous fait penser qu’une agrégation de liens pourrait se faire automatiquement, mais en fait les deux commutateurs attendent que l’autre appareil de la liaison commence les négociations. Pour repérer cette configuration incorrecte, utilisez la commande Show interfaces switchport pour vérifier si l’état administratif des deux commutateurs est « auto » et s’ils fonctionnent tous deux comme des ports d’accès statique.

Conclusion

Vous connaissez à présent les commandes élémentaires de résolution de problèmes vous permettant d’enquêter sur les situations auxquelles les administrateurs réseau sont confrontés chaque jour. Vous pouvez également télécharger l’« Antisèche Commandes Cisco », une liste de référence rapide des commandes de résolution de problèmes et leurs descriptions.

Guide: Cisco commands Cheat Sheet
Afficher les commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bonnes pratiques de la sécurité des connexions à distance
Tags populaires
Active Directory CISSP Conformité Cyber attack Cybersécurité Data classification Data governance Data security GDPR IT security Office 365 PowerShell SharePoint Windows Server
...