Tshoot

show processes cpu, show memory e show interfaces

A saída do comando show interfaces na figura lista algumas estatísticas importantes que
podem ser verificadas:

Input queue drops - Input queue drops (e os contadores ignored e throttle) significam que, em
algum ponto, foi entregue mais tráfego ao roteador do que este poderia processar. Isso não
indica necessariamente um problema. Essa saída poderia ser normal nos períodos de pico de
tráfego. No entanto, ela pode ser uma indicação de que a CPU não pode processar pacotes a
tempo, portanto, se esse número for consistentemente alto, valerá a pena tentar identificar
em quais momentos os contadores aumentam e como isso está relacionado ao uso da CPU.

Output queue drops - Output queue drops indicam que os pacotes foram descartados devido
ao congestionamento na interface. É normal ver output drops para qualquer ponto em que o
tráfego de entrada agregado é mais elevado do que o tráfego de saída. Durante os períodos de
pico de tráfego, os pacotes serão descartados se o tráfego for entregue à interface mais
rapidamente do é possível enviá-lo. No entanto, mesmo que tal comportamento seja
considerado normal, ele levará a descartes de pacote e atrasos na fila, desse modo, os
aplicativos que forem sensíveis a isso, como VoIP, poderão apresentar problemas de
desempenho. Se observar descartes frequentes na saída, talvez você precise implementar um
mecanismo de enfileiramento avançado para fornecer QoS a cada aplicativo.

Input errors- Input errors indicam erros observados durante a recepção do quadro, como
erros de CRC. Números altos de erros de CRC podem indicar problemas de cabeamento,
problemas de hardware de interface ou, em uma rede baseada em Ethernet,
incompatibilidades duplex.

Output errors - Output errors indicam erros, como colisões, durante a transmissão de um
quadro. Na maioria das redes atuais baseadas em Ethernet, a transmissão full-duplex é a
norma e a transmissão half-duplex é a exceção. Na transmissão full-duplex, não podem ocorrer
colisões; portanto, as colisões (especialmente as colisões tardias) geralmente indicam
incompatibilidades duplex.

Outra causa comum de erros de interface consiste em um modo duplex incompatível entre duas
extremidades de um link Ethernet. Atualmente, em muitas redes baseadas em Ethernet, as conexões
ponto a ponto são a norma e o uso de hubs e de operação half-duplex associada está se tornando
menos comum. Isso significa que a maioria dos links Ethernet de hoje opera no modo full-duplex e,
embora as colisões fossem vistas como normais para um link Ethernet, as colisões atuais
frequentemente indicam falha na negociação duplex e que o link não está operando no modo duplex
correto.
O padrão Ethernet Gigabit IEEE 802.3ab torna obrigatório o uso da autonegociação de velocidade e de
duplex. Além disso, embora não seja rigorosamente obrigatório, praticamente todas as NICs Fast
Ethernet também usam a autonegociação por padrão. O uso de autonegociação de velocidade e de
duplex é a prática recomendada atual. No entanto, se, por algum motivo, ocorrer falha na negociação
duplex, talvez seja necessário definir manualmente a velocidade e o duplex em ambas as extremidades.
Em geral, isso significaria definir o modo duplex como full-duplex em ambas as extremidades da
conexão. No entanto, se isso não funcionar, a execução de half-duplex em ambas as extremidades tem
preferência sobre a incompatibilidade duplex.

Exemplo de identificação e solução de problemas

No cenário anterior, o administrador de rede precisava adicionar mais usuários à rede. Para incorporar
esses novos usuários, o administrador de rede instalou um segundo switch e o conectou ao primeiro.
Logo após a adição de S2 à rede, os usuários em ambos os switches começaram a observar problemas
de desempenho significativos quando se conectavam aos dispositivos no outro switch, conforme
mostrado na figura 2.

O administrador de rede percebe uma mensagem de console no switch S2:

*Mar 1 00:45:08,756: %CDP-4-DUPLEX_MISMATCH: duplex mismatch

discovered on FastEthernet0/20 (not half duplex), with Switch
FastEthernet0/20 (half duplex).

Com o comando show interfaces fa 0/20, o administrador examina a interface em S1 usada para
conexão com S2 e percebe que ela é full-duplex, conforme mostrado na figura 3. Agora, o administrador
de rede examina o outro lado da conexão, a porta em S2. A figura 4 mostra que esse lado da conexão foi
configurado para half-duplex. O administrador de rede corrige a configuração para duplex auto a fim de
negociar automaticamente o duplex. Como a porta em S1 está definida como full-duplex, S2 também
usa full-duplex.

Os usuários relatam que não há mais problemas de desempenho.

Durante a identificação e solução de problemas de conectividade fim a fim, é útil verificar os

mapeamentos entre os endereços IP destino e os endereços Ethernet da camada 2 em segmentos
individuais. No IPv4, essa funcionalidade é fornecida pelo ARP. No IPv6, a funcionalidade ARP é
substituída pelo processo de descoberta de vizinhos e ICMPv6. A tabela de vizinhos armazena endereços
IPv6 em cache e seus endereços físicos Ethernet (MAC) resolvidos.

Tabela ARP IPv4

O comando Windows arp exibe e modifica as entradas no cache ARP que são usadas para armazenar
endereços IPv4 e seus endereços físicos Ethernet (MAC) resolvidos. Conforme mostrado na figura 1, o
comando Windows arp lista todos os dispositivos que estão atualmente no cache ARP. As informações
exibidas para cada dispositivo incluem o endereço IPv4, o endereço físico (MAC) e o tipo de
endereçamento (estático ou dinâmico).

O cache poderá ser limpo com o comando Windows arp -d se o administrador de rede quiser preenchê-
lo novamente com informações atualizadas.

Observação: os comandos arp no Linux e no MAC OS X têm uma sintaxe similar.

Tabela de vizinhos IPv6

Conforme mostrado na figura 2, o comando Windows netsh interface ipv6 show neighbor lista todos os
dispositivos existentes no momento na tabela de vizinhos. As informações exibidas para cada dispositivo
incluem o endereço IPv6, o endereço físico (MAC) e o tipo de endereçamento. Ao examinar a tabela de
vizinhos, o administrador de rede pode verificar se os endereços destino IPv6 estão mapeados para
endereços Ethernet corretos. Os endereços de link local IPv6em todas as interfaces de R1s foram
configurados manualmente para FE80::1. Da mesma forma, R2 foi configurado com o endereço de link
local FE80::2 em suas interfaces e R3 foi configurado com o endereço de link local FE80::3 em suas
interfaces. Lembre-se de que os endereços de link local precisam ser exclusivos no link ou na rede.

Observação: a tabela de vizinhos do Linux e do MAC OS X pode ser exibida com o comando ip neigh
show.

A figura 3 mostra um exemplo da tabela de vizinhos no roteador Cisco IOS após o uso do comando show
ipv6 neighbors.

Observação: os estados de vizinhos de IPv6 são mais complexos do que a tabela ARP afirma no IPv4. Há
informações adicionais no RFC 4861.

Tabela de Endereço MAC do Switch

Um switch encaminha um quadro somente para a porta em que o destino está conectado. Para fazer
isso, o switch consulta sua tabela de endereços MAC. A tabela de endereços MAC lista o endereço MAC
conectado a cada porta. Use o comando show mac address-tablepara exibir a tabela de endereços MAC
no switch. Um exemplo de switch local de PC1 é mostrado na figura 4. Lembre-se de que a tabela de
endereços MAC de um switch contém somente informações da camada 2, incluindo o endereço MAC
Ethernet e o número de porta. As informações sobre o endereço IP não estão incluídas.

Atribuição de VLAN

Outro problema a ser considerado durante a identificação e solução de problemas de conectividade fim
a fim é a atribuição de VLAN. Na rede comutada, cada porta de um switch pertence a uma VLAN. Cada
VLAN é considerada uma rede lógica separada e os pacotes destinados às estações que não pertencem à
VLAN devem ser enviados através de um dispositivo com suporte para esse roteamento. Se o host de
uma VLAN enviar um quadro Ethernet de broadcast, como uma solicitação arp, todos os hosts da
mesma VLAN receberão o quadro, ao passo que os hosts em outras VLANs não. Mesmo que dois hosts
estejam na mesma rede IP, eles não poderão se comunicar se estiverem conectados a portas atribuídas
a duas VLANs separadas. Além disso, se a VLAN à qual a porta pertence for excluída, a porta se tornará
inativa. Todos os hosts conectados às portas que pertencem à VLAN que foi excluída não conseguem se
comunicar com o resto da rede. Comandos como show vlan podem ser usados para validar atribuições
de vlan em um switch.

Exemplo de identificação e solução de problemas

Consulte a topologia na figura 5. Para melhorar o gerenciamento de cabos no wiring closet, os cabos
que se conectam ao S1 foram reorganizados. Quase imediatamente depois, os usuários começaram a
ligar para o suporte e afirmar que não conseguiam mais acessar dispositivos fora de sua própria rede.
Um exame da tabela ARP de PC1 com o comando Windows arp mostra que a tabela ARP não contém
mais uma entrada para o gateway padrão 10.1.10.1, conforme mostrado na figura 6. Não houve
alterações de configuração no roteador, portanto, S1 é o foco da identificação e solução de problemas.

A tabela de endereços MAC de S1, conforme indicado na figura 7, mostra que o endereço MAC de R1
está em uma VLAN diferente da dos outros dispositivos 10.1.10.0/24, inclusive do PC1. Durante o
recabeamento, o cabo de patch de R1 foi movido de Fa 0/4 na VLAN 10 para Fa 0/1 na VLAN 1. Depois
que o administrador de rede configurou a porta Fa 0/1 de S1 para ficar na VLAN 10, conforme mostrado
na figura 8, o problema foi resolvido. Conforme mostrado na figura 9, a tabela de endereços MAC agora
mostra a VLAN 10 para o endereço MAC de R1 na porta Fa 0/1.
dentificação e solução de problemas da camada de transporte

Se a camada de rede aparenta funcionar conforme esperado, mas os usuários ainda não conseguem
acessar os recursos, o administrador de rede deve começar pela identificação e solução de problemas
das camadas superiores. Dois dos problemas mais comuns que afetam a conectividade da camada de
transporte incluem configurações de ACL e de NAT. Uma ferramenta comum para o teste da
funcionalidade da camada de transporte é o utilitário Telnet.

Cuidado: embora o Telnet possa ser usado para testar a camada de transporte, por questões de
segurança, o SSH deverá ser usado para gerenciar e configurar remotamente dispositivos.

O administrador precisa fazer a identificação e solução de um problema no qual um usuário não

consegue enviar email através de um Servidor SMTP em particular. O administrador faz ping no Servidor
e ele responde. Isso significa que a camada de rede e todas as camadas sob a camada de rede entre o
usuário e o Servidor, estão operacionais. O administrador sabe que o problema está na camada 4 ou
acima dela e precisa iniciar a identificação e solução de problemas dessas camadas.

Embora o aplicativo de Servidor telnet seja executado em sua conhecida porta número 23, e os clientes
Telnet se conectem a essa porta por padrão, é possível especificar um número de porta diferente no
cliente para se conectar a uma porta TCP que precise ser testada. Isso indica se a conexão foi aceita
(conforme indicado pela palavra “Open” (Aberta) na saída), foi recusada ou expirou. Com base em
qualquer dessas respostas, é possível chegar a outras conclusões sobre a conectividade. Certos
aplicativos, se usarem um protocolo de sessão baseado em ASCII, poderão até exibir um banner de
aplicativo, e talvez seja possível acionar algumas respostas do Servidor por meio da digitação de certas
palavras-chave, por exemplo, com SMTP, FTP e HTTP.

A partir do cenário anterior, o administrador usa IPv6 para fazer Telnet de PC1 para o Servidor HQ, e a
sessão Telnet é bem-sucedida, conforme mostrado na figura 1. Na figura 2, o administrador usa a porta
80 para tentar fazer Telnet no mesmo Servidor. A saída verifica se a camada de transporte se conecta
com êxito de PC1 a HQ. No entanto, o Servidor não aceita conexões na porta 80.

O exemplo na figura 3 mostra uma conexão Telnet bem-sucedida de R1 a R3, sobre IPv6. A figura 4 é
uma tentativa semelhante de Telnet por meio da porta 80. Outra vez, a saída verifica uma conexão bem-
sucedida da camada de transporte, mas R3 recusa a conexão que usa a porta 80.

Nos roteadores, pode haver ACLs configuradas para proibir a passagem de protocolos pela interface na
direção de entrada ou de saída.

Use o comando show ip access-lists para exibir o conteúdo de todas as ACLs IPv4 e o comando show
ipv6 access-list para mostrar o conteúdo de todas as ACLs IPv6 configuradas em um roteador. A ACL
específica pode ser exibida por meio da inserção do nome ou número da ACL para esse comando; você
pode exibir uma ACL específica. Os comandos show ip interfaces e show ipv6 interfaces exibem
informações de interface IPv4 e IPv6 que indicam se existem ACLs IP definidas na interface.

Exemplo de identificação e solução de problemas

Para evitar ataques de spoofing, o administrador de rede decidiu implementar uma ACL que impede a
entrada de dispositivos que tenham o endereço de rede origem 172.16.1.0/24 na interface serial0/0/1
de entrada do R3, conforme mostrado na figura 1. Todo o tráfego IP restante deverá ser permitido.

No entanto, logo após a implementação da ACL, os usuários na rede 10.1.10.0/24 não conseguiram se
conectar aos dispositivos na rede 172.16.1.0/24, inclusive ao SRV1. O comando show ip access-lists
mostra que a ACL está configurada corretamente, como indicado na figura 2. No entanto, o comando
show ip interfaces serial 0/0/1 revela que a ACL nunca foi aplicada à interface de entrada em s0/0/1.
Uma investigação mais profunda revela que a ACL foi aplicada acidentalmente à interface G0/0 e, por
esse motivo, ela bloqueia todo o tráfego de saída da rede 172.16.1.0/24.

Após o posicionamento correto da ACL IPv4 na interface de entrada s0/0/1, conforme mostrado na
figura 3, os dispositivos podem se conectar com êxito ao Servidor.
O protocolo DNS controla o DNS, um banco de dados distribuído com o qual você pode mapear nomes
de host para endereços IP. Quando você configura o DNS no dispositivo, você pode substituir o nome do
host do endereço IP por todos os comandos IP, como ping ou telnet.

Para exibir as informações de configuração do DNS no switch ou roteador, use o comando show
running-config. Quando não há nenhum Servidor DNS instalado, é possível inserir nomes para os
mapeamentos IP diretamente na configuração do switch ou roteador. Use o comando ip host para
inserir o nome do mapeamento IPv4 para o switch ou roteador. O comando ipv6 host é utilizado para os
mesmos mapeamentos que usam IPv6. Esses comandos são demonstrados na figura 1. Como os
números de rede IPv6 são longos e difíceis de memorizar, o DNS é ainda mais importante para o IPv6 do
que para o IPv4.

Para exibir as informações de mapeamento de nome para endereço IP no PC baseado em Windows,

utilize o comando nslookup.

Exemplo de identificação e solução de problemas

A saída na figura 2 indica que o cliente não pôde acessar o Servidor DNS ou que o serviço DNS em
10.1.1.1 não estava em execução. Neste ponto, é preciso focar a identificação e solução de problemas
nas comunicações com o Servidor DNS ou na verificação da execução apropriada do Servidor DNS.

Para exibir as informações de configuração de DNS em um Microsoft Windows PC, use o comando
nslookup. O DNS deve estar configurado para IPv4, IPv6 ou ambos. O DNS pode fornecer endereços IPv4
e IPv6 ao mesmo tempo, independentemente do protocolo usado para acessar o Servidor DNS.

Como os nomes de domínio e o DNS são componentes vitais para acesso a servidores na rede, muitas
vezes o usuário acha que a “rede está inativa” quando o problema está, na verdade, no Servidor DNS.