Tabla de Contenido
Componentes de solução de problemas de conectividade ponta a ponta
Este tópico apresenta uma única topologia e as ferramentas para diagnosticar e, em alguns casos, resolver um problema de conectividade ponta a ponta. Diagnosticar e resolver problemas é uma habilidade essencial para administradores de rede. Não existe uma receita única para a solução de problemas e um problema pode ser diagnosticado de várias maneiras. No entanto, ao empregar uma abordagem estruturada para o processo de solução de problemas, um administrador pode reduzir o tempo que leva para diagnosticar e resolver um problema.
Ao longo deste tópico, o seguinte cenário é usado. O host cliente PC1 não pode acessar os aplicativos no servidor SRV1 ou no servidor SRV2. A figura mostra a topologia desta rede. PC1 usa SLAAC com EUI-64 para criar seu endereço unicast global IPv6. EUI-64 cria o ID da interface usando o endereço MAC Ethernet, inserindo FFFE no meio e invertendo o sétimo bit.
Quando não há conectividade ponta a ponta e o administrador opta por solucionar o problema com uma abordagem ascendente, o administrador pode seguir as etapas a seguir:
- Etapa 1. Verifique a conectividade física no ponto em que a comunicação da rede é interrompida. Isso inclui cabos e hardware. O problema pode ser com um cabo ou interface com defeito, ou pode envolver hardware mal configurado ou com defeito.
- Etapa 2. Verifique se há incompatibilidades de duplex.
- Etapa 3. Verifique o link de dados e o endereçamento da camada de rede na rede local. Isso inclui tabelas IPv4 ARP, tabelas de vizinhos IPv6, tabelas de endereços MAC e atribuições de VLAN.
- Etapa 4. Verifique se o gateway padrão está correto.
- Etapa 5. Certifique-se de que os dispositivos estejam determinando o caminho correto da origem ao destino. Manipule as informações de roteamento, se necessário.
- Etapa 6. Verifique se a camada de transporte está funcionando corretamente. O Telnet também pode ser usado para testar as conexões da camada de transporte a partir da linha de comando.
- Etapa 7. Verifique se não há ACLs bloqueando o tráfego.
- Etapa 8. Certifique-se de que as configurações de DNS estejam corretas. Deve haver um servidor DNS acessível.
O resultado desse processo é a conectividade operacional ponta a ponta. Se todas as etapas foram executadas sem qualquer solução, o administrador da rede pode querer repetir as etapas anteriores ou encaminhar o problema para um administrador sênior.
Problema de conectividade ponta a ponta inicia a solução de problemas
Normalmente, o que inicia um esforço de solução de problemas é a descoberta de que há um problema com a conectividade ponta a ponta. Dois dos utilitários mais comuns usados para verificar um problema de conectividade ponta a ponta são ping e traceroute, conforme mostrado na figura.
Clique em cada botão para revisar os utilitários ping, traceroute e tracert.
Nota: O comando traceroute é comumente executado quando o comando ping falha. Se o ping for bem-sucedido, o comando traceroute geralmente não é necessário porque o técnico sabe que existe conectividade.
Etapa 1 – Verificar a camada física
Todos os dispositivos de rede são sistemas de computador especializados. No mínimo, esses dispositivos consistem em CPU, RAM e espaço de armazenamento, permitindo que o dispositivo inicialize e execute o sistema operacional e as interfaces. Isso permite a recepção e transmissão do tráfego da rede. Quando um administrador de rede determina que existe um problema em um determinado dispositivo, e esse problema pode estar relacionado ao hardware, vale a pena verificar a operação desses componentes genéricos. Os comandos do Cisco IOS mais comumente usados para essa finalidade são show process cpu, show memory e show interfaces. Este tópico discute o comando show interfaces.
Quando a solução de problemas relacionados ao desempenho e houver suspeita de falha do hardware, o comando show interfaces pode ser usado para verificar as interfaces pelas quais o tráfego passa.
Consulte a saída do comando show interfaces.
R1# show interfaces GigabitEthernet 0/0/0 GigabitEthernet0/0/0 is up, line protocol is up Hardware is CN Gigabit Ethernet, address is d48c.b5ce.a0c0(bia d48c.b5ce.a0c0) Internet address is 10.1.10.1/24 (Output omitted) Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 85 packets input, 7711 bytes, 0 no buffer Received 25 broadcasts (0 IP multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 5 multicast, 0 pause input 10112 packets output, 922864 bytes, 0 underruns 0 output errors, 0 collisions, l interface resets 11 unknown protocol drops 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out R1#
Clique em cada botão para obter uma explicação da saída destacada.
Etapa 2 – Verificar incompatibilidades duplex
Outra causa comum para erros de interface é um modo duplex incompatível entre duas extremidades de um link Ethernet. Em muitas redes baseadas em Ethernet, as conexões ponto a ponto são agora a norma, e o uso de hubs e a operação half-duplex associada está se tornando menos comum. Isso significa que a maioria dos links Ethernet hoje opera no modo full-duplex e, embora as colisões fossem normais para um link Ethernet, as colisões hoje geralmente indicam que a negociação duplex falhou ou o link não está operando no modo duplex correto.
O padrão IEEE 802.3ab Gigabit Ethernet exige o uso de negociação automática para velocidade e duplex. Além disso, embora não seja estritamente obrigatório, praticamente todas as NICs Fast Ethernet também usam a negociação automática por padrão. O uso de negociação automática para velocidade e duplex é a prática recomendada atual.
No entanto, se a negociação duplex falhar por algum motivo, pode ser necessário definir a velocidade e o duplex manualmente em ambas as extremidades. Normalmente, isso significaria configurar o modo duplex para full-duplex em ambas as extremidades da conexão. Se isso não funcionar, a execução de half-duplex em ambas as extremidades é preferível em vez de uma incompatibilidade duplex.
As diretrizes de configuração duplex incluem o seguinte:
- A negociação automática de velocidade e duplex é recomendada.
- Se a negociação automática falhar, defina manualmente a velocidade e o duplex nas extremidades de interconexão.
- Os links Ethernet ponto a ponto devem sempre ser executados no modo full-duplex.
- Half-duplex é incomum e normalmente encontrado apenas quando hubs legados são usados.
Exemplo de solução de problemas
No cenário anterior, o administrador da rede precisava adicionar outros usuários à rede. Para incorporar esses novos usuários, o administrador da rede instalou um segundo switch e o conectou ao primeiro. Logo depois que S2 foi adicionado à rede, os usuários em ambos os switches começaram a ter problemas de desempenho significativos ao se conectar com dispositivos no outro switch, conforme mostrado na figura.
O administrador da rede percebe uma mensagem do console no switch S2:
*Mar 1 00:45:08.756: %CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on FastEthernet0/20 (not half duplex), with Switch FastEthernet0/20 (half duplex).
Usando o comando show interfaces fa 0/20, o administrador de rede examina a interface em S1 que é usada para se conectar a S2 e percebe que está definida como full-duplex, conforme mostrado na saída do comando.
S1# show interface fa 0/20 FastEthernet0/20 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 0cd9.96e8.8a01 (bia 0cd9.96e8.8a01) MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, Auto-speed, media type is 10/100BaseTX (Output omitted) S1#
O administrador da rede agora examina o outro lado da conexão, a porta em S2. O comando de saída mostra que este lado da conexão foi configurado para half-duplex.
S2# show interface fa 0/20 FastEthernet0/20 is up, line protocol is up (connected) Hardware is Fast Ethernet, address is 0cd9.96d2.4001 (bia 0cd9.96d2.4001) MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Half-duplex, Auto-speed, media type is 10/100BaseTX (Output omitted) S2(config)# interface fa 0/20 S2(config-if)# duplex auto S2(config-if)#
O administrador da rede corrige a configuração para duplex auto para negociar automaticamente o duplex. Como a porta em S1 está configurada para full-duplex, S2 também usa full-duplex.
Os usuários relatam que não há mais problemas de desempenho.
Etapa 3 – Verificar o endereçamento na rede local
Ao solucionar problemas de conectividade ponta a ponta, é útil verificar os mapeamentos entre os endereços IP de destino e os endereços Ethernet da Camada 2 em segmentos individuais. No IPv4, essa funcionalidade é fornecida pelo ARP. No IPv6, a funcionalidade ARP é substituída pelo processo de descoberta de vizinho e ICMPv6. A tabela de vizinhos armazena em cache os endereços IPv6 e seus endereços físicos (MAC) Ethernet resolvidos.
Clique em cada botão para obter um exemplo e explicação do comando para verificar o endereçamento da Camada 2 e Camada 3.
Solução de problemas de exemplo de atribuição de VLAN
Outro problema a ser considerado ao solucionar problemas de conectividade ponta a ponta é a atribuição de VLAN. Na rede comutada, cada porta em um switch pertence a uma VLAN. Cada VLAN é considerada uma rede lógica separada e os pacotes destinados a estações que não pertencem à VLAN devem ser encaminhados por meio de um dispositivo que suporte roteamento. Se um host em uma VLAN envia um quadro Ethernet de broadcast, como uma solicitação ARP, todos os hosts na mesma VLAN recebem o quadro; hosts em outras VLANs não. Mesmo se dois hosts estiverem na mesma rede IP, eles não poderão se comunicar se estiverem conectados a portas atribuídas a duas VLANs separadas. Além disso, se a VLAN à qual a porta pertence for excluída, a porta se tornará inativa. Todos os hosts conectados às portas pertencentes à VLAN que foi excluída são incapazes de se comunicar com o resto da rede. Comandos como show vlan podem ser usados para validar atribuições de VLAN em um switch.
Suponha, por exemplo, que em um esforço para melhorar o gerenciamento de fios no wiring closet, sua empresa reorganizou os cabos que se conectam ao switch S1. Quase imediatamente depois, os usuários começaram a ligar para o suporte informando que não podiam mais acessar dispositivos fora de sua própria rede.
Clique em cada botão para obter uma explicação do processo usado para solucionar esse problema.
Etapa 4 – Verificar o gateway padrão
Se não houver rota detalhada no roteador ou se o host estiver configurado com o gateway padrão errado, a comunicação entre dois nós de extremidade em redes diferentes não funcionará.
A figura ilustra como o PC1 usa R1 como seu gateway padrão. Da mesma forma, R1 usa R2 como seu gateway padrão ou gateway de último recurso. Se um host precisa de acesso a recursos além da rede local, o gateway padrão deve ser configurado. O gateway padrão é o primeiro roteador no caminho para destinos além da rede local.
Exemplo de solução de problemas de gateway padrão IPv4
Neste exemplo, R1 tem o gateway padrão correto, que é o endereço IPv4 de R2. No entanto, o PC1 possui o gateway padrão incorreto. PC1 deve ter o gateway padrão de R1 10.1.10.1. Isso deve ser configurado manualmente se as informações de endereçamento IPv4 foram configuradas manualmente no PC1. Se as informações de endereçamento IPv4 foram obtidas automaticamente de um servidor DHCPv4, a configuração no servidor DHCP deve ser examinada. Um problema de configuração em um servidor DHCP geralmente afeta vários clientes.
Clique em cada botão para visualizar a saída do comando para R1 e PC1.
Solução de problemas de exemplo de gateway padrão IPv6
No IPv6, o gateway padrão pode ser configurado manualmente, usando configuração automática sem estado (SLAAC) ou usando DHCPv6. Com o SLAAC, o gateway padrão é anunciado pelo roteador aos hosts usando mensagens de anúncio de roteador ICMPv6 (RA). O gateway padrão na mensagem RA é o endereço IPv6 local com link de uma interface de roteador. Se o gateway padrão for configurado manualmente no host, o que é muito improvável, o gateway padrão pode ser definido para o endereço IPv6 global ou para o endereço IPv6 local com link.
Clique em cada botão para obter um exemplo e uma explicação sobre como solucionar um problema de gateway padrão IPv6.
Etapa 5 – Verificar o caminho correto
Ao solucionar problemas, geralmente é necessário verificar o caminho para a rede de destino. A figura mostra a topologia de referência indicando o caminho pretendido para pacotes de PC1 a SRV1.
Os roteadores no caminho tomam a decisão de roteamento com base nas informações das tabelas de roteamento. Clique em cada botão para visualizar as tabelas de roteamento IPv4 e IPv6 para R1.
As tabelas de roteamento IPv4 e IPv6 podem ser preenchidas pelos seguintes métodos:
- Redes conectadas diretamente
- Host local ou rotas locais
- Rotas estáticas
- Rotas dinâmicas
- Rotas padrão
O processo de encaminhamento de pacotes IPv4 e IPv6 é baseado na correspondência de bit mais longa ou correspondência de prefixo mais longa. O processo da tabela de roteamento tentará encaminhar o pacote usando uma entrada na tabela de roteamento com o maior número de bits correspondentes mais à esquerda. O número de bits correspondentes é indicado pelo comprimento do prefixo da rota.
A figura descreve o processo para as tabelas de roteamento IPv4 e IPv6.
Examine os seguintes cenários com base no fluxograma acima. Se o endereço de destino em um pacote:
- Não corresponde a uma entrada na tabela de roteamento, então a rota padrão é usada. Se não houver uma rota padrão configurada, o pacote será descartado.
- Corresponde a uma única entrada na tabela de roteamento e, em seguida, o pacote é encaminhado pela interface definida nesta rota.
- Corresponde a mais de uma entrada na tabela de roteamento e as entradas de roteamento têm o mesmo comprimento de prefixo, então os pacotes para este destino podem ser distribuídos entre as rotas definidas na tabela de roteamento.
- Corresponde a mais de uma entrada na tabela de roteamento e as entradas de roteamento têm comprimentos de prefixo diferentes, então os pacotes para este destino são encaminhados para fora da interface que está associada à rota que possui a correspondência de prefixo mais longa.
Exemplo de solução de problemas
Os dispositivos não conseguem se conectar ao servidor SRV1 em 172.16.1.100. Usando o comando show ip route, o administrador deve verificar se existe uma entrada de roteamento para a rede 172.16.1.0/24. Se a tabela de roteamento não tiver uma rota específica para a rede SRV1, o administrador da rede deve verificar a existência de uma entrada de rota padrão ou resumida na direção da rede 172.16.1.0/24. Se não houver nenhum, o problema pode estar no roteamento e o administrador deve verificar se a rede está incluída na configuração do protocolo de roteamento dinâmico ou adicionar uma rota estática.
Etapa 6 – verificar a camada de transporte
Se a camada de rede parece estar funcionando conforme o esperado, mas os usuários ainda não conseguem acessar os recursos, o administrador da rede deve começar a solucionar problemas nas camadas superiores. Dois dos problemas mais comuns que afetam a conectividade da camada de transporte incluem configurações ACL e configurações NAT. Uma ferramenta comum para testar a funcionalidade da camada de transporte é o utilitário Telnet.
Cuidado: Embora o Telnet possa ser usado para testar a camada de transporte, por motivos de segurança, o SSH deve ser usado para gerenciar e configurar dispositivos remotamente.
Exemplo de solução de problemas
Um administrador de rede está solucionando um problema em que não consegue se conectar a um roteador usando HTTP. O administrador faz ping em R2 conforme mostrado na saída do comando.
R1# ping 2001:db8:acad:2::2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:DB8:ACAD:2::2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 2/2/3 ms R1#
R2 responde e confirma que a camada de rede e todas as camadas abaixo da camada de rede estão operacionais. O administrador sabe que o problema está na camada 4 ou superior e deve começar a solucionar o problema dessas camadas.
Em seguida, o administrador verifica se eles podem fazer Telnet para R2 conforme mostrado na saída do comando.
R1# telnet 2001:db8:acad:2::2 Trying 2001:DB8:ACAD:2::2 ... Open User Access Verification Password: R2> exit [Connection to 2001:db8:acad:2::2 closed by foreign host] R1#
O administrador confirmou que os serviços Telnet estão sendo executados em R2. Embora o aplicativo do servidor Telnet seja executado em sua própria porta conhecida número 23 e os clientes Telnet se conectem a essa porta por padrão, um número de porta diferente pode ser especificado no cliente para se conectar a qualquer porta TCP que deva ser testada. Usar uma porta diferente da porta 23 TCP indica se a conexão foi aceita (conforme indicado pela palavra “Abrir” na saída), recusada ou expirou. A partir de qualquer uma dessas respostas, outras conclusões podem ser feitas sobre a conectividade. Certos aplicativos, se usarem um protocolo de sessão baseado em ASCII, podem até exibir um banner de aplicativo, pode ser possível acionar algumas respostas do servidor digitando certas palavras-chave, como SMTP, FTP e HTTP.
Por exemplo, o administrador tenta fazer Telnet para R2 usando a porta 80.
R1# telnet 2001:db8:acad:2::2 80 Trying 2001:DB8:ACAD:2::2, 80 ... Open ^C HTTP/1.1 400 Bad Request Date: Mon, 04 Nov 2019 12:34:23 GMT Server: cisco-IOS Accept-Ranges: none 400 Bad Request [Connection to 2001:db8:acad:2::2 closed by foreign host] R1#
A saída verifica uma conexão de camada de transporte bem-sucedida, mas R2 está recusando a conexão usando a porta 80.
Etapa 7 – Verificar ACLs
Em roteadores, pode haver ACLs que proíbem a passagem de protocolos pela interface na direção de entrada ou saída.
Use o comando show ip access-lists para exibir o conteúdo de todas as ACLs IPv4 e o comando show ipv6 access-list para exibir o conteúdo de todas as ACLs IPv6 configuradas em um roteador. A ACL específica pode ser exibida inserindo o nome ou número da ACL como uma opção para este comando. Os comandos show ip interfaces e show ipv6 interfaces exibem informações de interface IPv4 e IPv6 que indicam se algum IP ACL está definido na interface.
Exemplo de solução de problemas
Para evitar ataques de spoofing, o administrador da rede decidiu implementar uma ACL que está impedindo os dispositivos com um endereço de rede de origem de 172.16.1.0/24 de entrar na interface de entrada S0 / 0/1 em R3, conforme mostrado na figura. Todos os outros tráfegos IP devem ser permitidos.
No entanto, logo após a implementação da ACL, os usuários na rede 10.1.10.0/24 não conseguiram se conectar aos dispositivos na rede 172.16.1.0/24, incluindo SRV1.
Clique em cada botão para obter um exemplo de como solucionar esse problema.
Etapa 8 – Verificar DNS
O protocolo DNS controla o DNS, um banco de dados distribuído com o qual você pode mapear nomes de host para endereços IP. Ao configurar o DNS no dispositivo, você pode substituir o nome do host pelo endereço IP com todos os comandos IP, como ping ou telnet.
Para exibir as informações de configuração DNS no switch ou roteador, use o comando show running-config. Quando não há servidor DNS instalado, é possível inserir nomes para mapeamentos de IP diretamente na configuração do switch ou roteador. Use o comando ip host para inserir um nome a ser usado em vez do endereço IPv4 do switch ou roteador, conforme mostrado na saída do comando.
R1(config)# ip host ipv4-server 172.16.1.100 R1(config)# exit R1#
Agora, o nome atribuído pode ser usado em vez de usar o endereço IP, conforme mostrado na saída do comando.
R1# ping ipv4-server Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/7 ms R1#
Para exibir as informações de mapeamento de nome para endereço IP em um PC com Windows, use o comando nslookup.
Packet Tracer – Solução de problemas de redes corporativas
Esta atividade usa uma variedade de tecnologias que você encontrou durante seus estudos CCNA, incluindo roteamento, segurança de porta, EtherChannel, DHCP e NAT. Sua tarefa é revisar os requisitos, isolar e resolver quaisquer problemas e, em seguida, documentar as etapas executadas para verificar os requisitos.
[button url=”https://www.ccna.network/wp-content/uploads/2021/03/12.5.13-pt.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.