Catalyst 6500 シリーズ スイッチ / Cisco 7600 シリーズ ルータ Network Analysis Module インストレーション コンフィギュレーション ノート Release 3.6(1)
NAM のトラブルシューティング
NAM のトラブルシューティング
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 975KB) | フィードバック

目次

NAM のトラブルシューティング

NetFlow データ エクスポート

Web アプリケーション

Cisco IOS ソフトウェア

Catalyst オペレーティング システム ソフトウェア

Cisco IOS ソフトウェア

Catalyst オペレーティング システム ソフトウェア

NDE フロー レコードのインターフェイス

インターフェイスの特別な(0)

NDE フロー マスクとバージョン 8 集計キャッシュ

エラー メッセージ

Web ユーザ名およびパスワードについての注意事項

サポート対象の MIB オブジェクト

NAM ifTable のローカル インターフェイス

NAM のトラブルシューティング

この章では Network Analysis Module(NAM; ネットワーク解析モジュール)のトラブルシューティングについて説明します。具体的な内容は次のとおりです。

「NetFlow データ エクスポート」

「エラー メッセージ」

「Web ユーザ名およびパスワードについての注意事項」

「サポート対象の MIB オブジェクト」

「NAM ifTable のローカル インターフェイス」


) NAM Traffic Analyzer アプリケーションのオンライン ヘルプの「Troubleshooting」で、トラブルシューティングに関する詳しい情報を参照できます。


NetFlow データ エクスポート

ここでは、NetFlow Data Export(NDE; NetFlow データ エクスポート)のトラブルシューティング方法について説明します。

Web アプリケーション

説明 Monitor > Hosts、Monitor > Apps、または Monitor > Conversations ページで、データが 1 回おきまたはそれ以上の間隔でしか自動更新されない。この問題の原因は、NDE ソース デバイスの実行処理にあります。NetFlow キャッシュのエントリは、一定時間非アクティブな状態が続いたり接続の終了が検出された場合、または有効時間が過ぎた場合は無効になります。無効になったフローは出力先にエクスポートされます。エージング タイムが NAM の更新間隔よりも長い場合、NAM の更新間隔内でフローや NetFlow のパケット フローが無効になることはありません。

推奨処置 この問題を解決するには、Setup > Preferences メニューで自動更新間隔を長くするか、NetFlow エントリのエージング タイムを変更します。NDE ソース デバイスのエージング タイムを変更する場合は、まずパフォーマンスに関する NDE の使用上の注意事項を参照してください。

Cisco IOS ソフトウェア

Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)やルータに次のコマンドを使用してエージング タイムを指定します。

Router(config)# ip flow-cache timeout "active"||"inactive" seconds
Router(config)# mls aging fast time” | “long” | “normal” seconds

Catalyst オペレーティング システム ソフトウェア

Policy Feature Card(PFC; ポリシー フィーチャ カード)で次のコマンドを使用してエージング タイムを指定します。

Console(enable) set mls agingtime [long-duration | fast | ip]
 

アクティブな時間が長いフローにエージング タイムを設定するには、 long-duration キーワードを使用します。

パケットのしきい値を超えないフローにエージング タイムを設定するには、 fast キーワードを使用します。

IP フローにエージング タイムを設定するには、 ip キーワードを使用します。

説明 Monitor > Hosts ページおよび Monitor > Conversations ページにアクティブなフロー データが含まれていない。この問題は、アクティブなフローの有効期限が切れていないために生じた可能性があります。またはデバイスに NDE フィルタが設定されているか、フル キャッシュ状態にあるため新しいエントリが追加できない可能性があります。NAM にエクスポートする NetFlow パケットにアクティブなフローがありません。

推奨処置 フィルタの持続エージング タイムが長すぎないか、またはフロー パケットがドロップしていないかを確認します。具体的な方法は次のとおりです。

次のコマンドを使用して持続エージング タイムを確認します。

Console(enable) show ip cache flow
 

または

Console(enable) show mls netflow aging
 

または

Console(enable) show mls
 

持続エージング タイムが長く設定されているアクティブ タイムのアクティブ フローの有効期限が切れておらず、NAM にエクスポートされていません。エージング タイムの値を小さくします。デバイスに関する情報は、NDE の使用上の注意事項を参照してください。

次のコマンドを使用して、フロー パケットがドロップしていないかどうかを確認します。

Console(enable) show ip cache flow
 

または

Console(enable) show mls netflow aging
 

または

Console(enable) show mls
 

フローは期限が切れた時点でキャッシュに入って NAM にエクスポートできる状態でなければドロップする可能性があります。ネットワークがビジー状態にあり NetFlow キャッシュがフルになっていることもあります。問題を解決するには、キャッシュ サイズを大きくするか、NDE フロー マスクまたはバージョン 8 集計キャッシュを使用して NDE エクスポートを調節します。デバイスに関する情報は、NDE の使用上の注意事項を参照してください。

説明 デバイスのデフォルトの NetFlow データ ソースにデータがない。

推奨処置 GUI(グラフィカル ユーザ インターフェイス)で、Setup > Data Sources > NetFlow > Listening Mode ページに移動し、 Start をクリックします。数回自動更新されるのを待ちます。表にデバイスが表示されていない場合、NAM はデバイスから NetFlow パケットを受信していません。ネットワークに問題があるか、デバイスが正しく設定されていません。

NAM の UDP ポート 3000 に NetFlow パケットを送信するように NetFlow デバイスが設定されているかどうかを確認するには、次のコマンドを使用します。

Console> show ip flow export
 

または

Console> show mls nde
 

NetFlow エクスポートがイネーブルかどうか表示され、NetFlow パケットがエクスポートされている IP アドレスとポートが表示されます。表示された内容が正しくない場合、『 User Guide for the Network Analysis Module Traffic Analyzer 』Release 3.3 で設定の項目を確認し、正しく設定します。

説明 特定のインターフェイスに設定した NetFlow データ ソースにデータがない。ただし、デバイスのデフォルトの NetFlow データ ソースにはデータがある。

推奨処置 指定したインターフェイスの情報を持つ NetFlow レコードがないために、この問題が発生している可能性があります。NetFlow レコードのインターフェイスを確認するには、次の手順を実行します。


ステップ 1 Setup > Data Sources > NetFlow > Listening Mode 画面に移動します。

ステップ 2 Start をクリックし、リスニング プロセスを開始します。

ステップ 3 デバイスの列の NDE パケットが 4 つ以上になるまで待ちます。

ステップ 4 デバイスを選択します。

ステップ 5 Details をクリックします。ウィンドウが開き、NAM が NDE パケットで確認するインターフェイスのリストが表示されます。

ステップ 6 NetFlow デバイスで選択したインターフェイスがリストに含まれていることを確認します。インターフェイスがリストに含まれていない場合、次のコマンドを使用して NetFlow ソース デバイスを設定します。

IP ルーティングされたキャッシュの場合、次のコマンドを使用します。

Console(config) interface type slot/port
Console(config-if) ip route cache flow
 

MLS キャッシュの場合、Cisco IOS ソフトウェアの次のコマンドを使用します。

Console(config)# mls nde interface
 

MLS キャッシュの場合、Catalyst オペレーティング システム ソフトウェアの次のコマンドを使用します。

Console>(enable) set mls nde destination-ifindex enable
 

または

Console(enable) set mls nde source-ifindex enable
 

フロー マスクの設定が full、interface-destination-source または interface-full であることを確認します。


 

表示された内容が正しくない場合、『 User Guide for the Network Analysis Module Traffic Analyzer 』Release 3.3 で設定の項目を確認し、正しく設定します。

説明 Setup > Data Sources > NetFlow > Custom Data Sources 画面で NetFlow データ ソースを作成しても、ドロップダウン ボックスにはローカル デバイスのアドレスしか表示されない。

推奨処置 デバイスは Setup > Data Sources > NetFlow > Devices 画面で作成されます。この画面でデバイスを追加すると、このデバイスのデフォルトの NetFlow データ ソースが Setup > Data Sources > Netflow > Custom Data Sources 画面に表示されます。また、ドロップダウン ボックスのリストにもデバイスのアドレスが表示されます。

説明 NetFlow データ ソースを作成しても、使用できるインターフェイスのリストが表示されない。

コミュニティ ストリングが正しいことを確認するには、次の手順を実行します。


ステップ 1 Setup > Data Sources > NetFlow > Devices メニューに移動します。

ステップ 2 デバイスのラジオ ボタンをクリックし、インターフェイスに関する情報を表示します。

ステップ 3 Test をクリックします。


 

デバイスの状態を表示するポップアップ ウィンドウが開きます。このウィンドウでエラーが表示されると、コミュニティ ストリングが正しくない可能性があります。コミュニティ ストリングを訂正してください。具体的には、デバイスを選択し Edit をクリックして、正しいコミュニティ ストリングを指定します。また、リモート デバイスが SNMP(簡易ネットワーク管理プロトコル)接続を受け付けることを確認します。

説明 Monitor > Conversations の順に選択して表示されるページのソース カラムのエントリが、すべて 0.0.0.0 になっている。この問題は、NDE デバイスのフロー マスクが destination に設定されていると発生します。

Cisco IOS ソフトウェア

Cisco IOS ソフトウェアを使用して、フロー マスクを full、interface-destination-source または interface-full に設定する場合は、次のコマンドを入力します。

Router(config)# mls flow ip "full"||"interface-destination-source"||"interface-full"
 

Catalyst オペレーティング システム ソフトウェア

Catalyst オペレーティング システム ソフトウェアを使用して、フロー マスクを full、interface-destination-source または interface-full に設定する場合は、次のコマンドを入力します。

Console(enable)# set mls flow "destination-source" || "full"
 

) NAM は、NDE のバージョン 1、5、6、7、8、送信元プレフィクス、宛先プレフィクス、プレフィクス、プロトコルポート集計をサポートします。


NDE フロー レコードのインターフェイス

説明 1 つの NDE パケットに複数の NDE フロー レコードがある。各フロー レコードに、フロー入力 SNMP if-index フィールドとフロー出力 SNMP if-index フィールドがある。Cisco IOS や Catalyst オペレーティング システムのバージョンが NDE 機能をサポートしていない場合や NDE フロー マスクの設定が間違っている場合は、フィールドの情報が利用できない場合もあります。

図5-1 および図5-2 に、このような場合のネットワーク構成を示します。また 表5-1 および 表5-2 に、フロー レコードのレポートを示します。

図5-1 NDE の構成

 

次のような構成になっています。

Router# configuration terminal
Router(config)# interface a
Router(config-if)# ip route cache flow
Router(config-if)# exit
Router(config)# ip flow export destination NAM-Address 3000
Router config)# exit
Router#
 

 

表5-1 フロー レコードのレポート

入力インターフェイス
出力インターフェイス
フローのレポートの有無

a

b

あり

a

c

あり

b

c

なし

b

a

なし

c

a

なし

c

b

なし

図5-2 NDE の構成

 

Router# configuration terminal
Router(config)# interface a
Router(config-if)# ip route cache flow
Router(config-if)# exit
Router(config)# interface b
Router(config-if)# ip route cache flow
Router(config-if)# exit
Router(config)# ip flow export destination NAM-Address 3000
Router(config)# exit
Router#
 

 

表5-2 フロー レコードのレポート

送信元
宛先
フローのレポートの有無

a

b

あり

a

c

あり

b

c

あり

b

a

あり

c

a

なし

c

b

なし

推奨処置 ほとんどの場合、インターフェイスの NetFlow をオンにすると、スイッチまたはルータに NetFlow キャッシュが発生してフローはインターフェイスの入力方向に向かいます。その結果、フロー レコードの入力 SNMP if-index フィールドのインターフェイスは if-index となり、インターフェイスの NetFlow はオンになります。

インターフェイスの特別な(0)

説明 NDE パケットの NetFlow レコードに、入力 if-index フィールドおよび出力 if-index フィールドのどちらか一方または両方が 0 で始まるものがある。これには、次のような 1 つまたは複数の理由が考えられます。

フローの終端がデバイスである

デバイスの設定の問題

デバイスのプラットフォームで NetFlow 機能がサポートされていない

推奨処置 デバイスで終端するフローを削除し、デバイスの設定をチェックし、デバイスのプラットフォームに非サポートの機能がないことを確認します。

NDE フロー マスクとバージョン 8 集計キャッシュ

ここでは、フローマスクと NDE バージョン 8 の集計フローが NAM のデータ収集画面に与える影響について説明します。具体的な影響の内容を 表5-3 に示します。情報が不足しているため、Monitor > Apps ページには「Others」とだけ表示され、Monitor > Hosts および Monitor > Conversation ページには 0.0.0.0 と表示されることがあります。

 

表5-3 データ収集画面への影響

フロー
影響

フローマスクがサポートされている

強く推奨します。フル フローマスクの適用方法については、デバイスでの NDE の使用上の注意事項を参照してください。


) NAM は NDE 集計をサポートしますが、指定した集計タイプについて受信する情報は集計に限られます。他の内容については受信できません。NDE 設定についての詳細を受け取るには、フル フロー モードを指定します。


宛先専用フローマスク

Monitor > Apps には「Others」しか表示されません。

Monitor > Apps の詳細ウィンドウにはデータがありません。

Monitor > Hosts が 0.0.0.0 となっています。詳細ウィンドウにはデータがありません。

一部のホストで Monitor > Conversations が 0.0.0.0 となっています。詳細ウィンドウにはデータがありません。

特定のインターフェイスに設定した NetFlow カスタム データ ソースをサポートします。

宛先/送信元フローマスク

Monitor > Apps には「Others」しか表示されません。

Monitor > Apps の詳細ウィンドウにはデータがありません。

Monitor > Hosts にはデータがあります。詳細ウィンドウにはデータがありません。

Monitor > Conversations にはデータがあります。詳細ウィンドウにはデータがありません。

特定のインターフェイスに設定した NetFlow カスタム データ ソースをサポートします。

NDE バージョン 8 プロトコルポート集計

Monitor > Apps はデータを表示します。

Monitor > Apps の詳細ウィンドウには 0.0.0.0 だけが表示されます。

Monitor > Host には 0.0.0.0 だけが表示されます。

Monitor > Conversation には 0.0.0.0 ~ 0.0.0.0 だけが表示されます。

特定のインターフェイスに設定したカスタム NetFlow データ ソースにはデータがありません。

ToS 0 および DSCP 0 以外の DiffServ がありません。

Setup > Data Sources > NetFlow Listening Mode 詳細ウィンドウを開いても、インターフェイスの情報が表示されません。

NDE バージョン 8 宛先プレフィクス集計

Monitor > Apps には「Others」しか表示されません。

Monitor > Host に表示されるデータはサブネット(0.0.0.0)です。詳細ウィンドウにはデータがありません。

Monitor > Conversation に表示されるデータは 0.0.0.0 ~サブネット(0.0.0.0 ~ 0.0.0.0)です。詳細ウィンドウにはデータがありません。

特定のインターフェイスに設定した NetFlow カスタム データ ソースをサポートします。

ToS 0 および DSCP 0 以外の DiffServ がありません。

NDE バージョン 8 プレフィクス集計

Monitor > Apps には「Others」しか表示されません。

Monitor > Host のデータはサブネット(0.0.0.0)として表示されます。詳細ウィンドウにはデータがありません。

Monitor > Conversation にはデータ(0.0.0.0 ~ 0.0.0.0)が表示されます。詳細ウィンドウにはデータがありません。

特定のインターフェイスに設定した NetFlow カスタム データ ソースをサポートします。

ToS 0 および DSCP 0 以外の DiffServ がありません。

NDE バージョン 8 送信元プレフィクス集計

Monitor > Apps には「Others」しか表示されません。

Monitor > Host に表示されるデータはサブネット(0.0.0.0)です。詳細ウィンドウにはデータがありません。

Monitor > Conversation にはサブネット~ 0.0.0.0(0.0.0.0 ~ 0.0.0.0)のデータが表示されます。詳細ウィンドウにはデータがありません。

特定のインターフェイスに設定した NetFlow カスタム データ ソースをサポートします。

ToS 0 および DSCP 0 以外の DiffServ がありません。

NDE バージョン 8AS 集計

サポート対象外です。

エラー メッセージ

現象 スーパーバイザ CLI(コマンドライン インターフェイス)から reset コマンドを入力すると、常にメンテナンス イメージが起動される。

考えられる原因 スーパーバイザ エンジンのブート デバイスが cf:1 に設定されている場合、 reset module コマンドを入力すると必ずメンテナンス イメージが起動されます。

推奨処置 リセット中にブート ストリングを入力することによって、スーパーバイザ エンジンに設定されているブート デバイスを変更します。

Cisco IOS ソフトウェアで、アプリケーション イメージが起動されるようにするには、 hw-module mod 9 reset hdd:1 コマンドを使用します。

Catalyst オペレーティング システム ソフトウェアで、アプリケーション イメージが起動されるようにするには、 reset 9 hdd:1 コマンドを使用します。

現象 NAM にパッチをインストールする際に、verification failed メッセージが表示される。

考えられる原因 NAM に設定された時刻と日付が正しくない、パッチがシスコの正式なパッチでない、パッチが旧リリースの NAM 用のパッチである、FTP(ファイル転送プロトコル)プロセスでエラーが生じている、指定された FTP イメージがパッチではない(フル アプリケーション イメージ)といった原因が考えられます。

推奨処置 パッチがシスコの正式なパッチであり、正しい NAM リリースのパッチであることを示す署名証明が使用されていることを確認します。たとえば、NAM 2.2 リリースのパッチは NAM 3.3 ソフトウェアが動作している NAM には適用できません。NAM に設定された時刻と日付の設定がスイッチに同期するのか、Network Time Protocol(NTP)に同期するのかを確認します。パッチの URL が正しいことを確認します(ユーザ名を確認)。

現象 NAM アプリケーション イメージと同じパスワードでメンテナンス イメージにログインできない。


) このメッセージは WS-SVC-NAM-1 モジュールおよび WS-SVC-NAM-2 モジュールだけに適用できます。


考えられる原因 NAM アプリケーション イメージとメンテナンス イメージでは、root アカウントおよび guest のアカウント用のパスワード データベースが異なります。メンテナンス イメージと NAM アプリケーション イメージの root および guest のデフォルト パスワードはそれぞれ異なります。NAM アプリケーション イメージでパスワードを変更しても、メンテナンス イメージのパスワードは変更されず、またその逆も同様です。

推奨処置 メンテナンス イメージのパスワードを使用してください。

現象 メンテナンス イメージのパスワードを忘れてしまったので、回復したい。

考えられる原因 スイッチからメンテナンス イメージのパスワードをリセットすることはできません。メンテナンス イメージをアップグレードすると、メンテナンス イメージの root パスワードと guest パスワードがデフォルトの設定になります。

推奨処置 メンテナンス イメージのデフォルト パスワードを使用してください。表4-1 または表4-4 を参照してください。

現象 NAM に新しい NAM 3.3 イメージをロードしようとすると、次のメッセージが表示される。

Incompatible image! Upgrade aborted.

考えられる原因 指定した NAM ではこのイメージがサポートされていません。NAM 3.3 で使用できるイメージは 2 つで、WS-SVC-NAM-1 および WS-SVC-NAM-2 に 1 つずつです。このエラーは、互換性のないイメージを使用すると発生します。

推奨処置 新しい NAM には共通のフォーマットが使用されており、アップグレード用に同じイメージ ファイル名を使用できます。

現象 WS-SVC-NAM-1 または WS-SVC-NAM-2 に間違ったイメージをロードしようとすると、次のメッセージが表示される。

ERROR: /tmp/upgrade:No space left on device

考えられる原因 指定した NAM ではこのイメージがサポートされていません。NAM 3.3 で使用できるイメージは 2 つで、WS-SVC-NAM-1 および WS-SVC-NAM-2 に 1 つずつです。このエラーは、互換性のないイメージを使用すると発生します。

推奨処置 従来の NAM リリースと新しい WS-SVC-NAM-1 および WS-SVC-NAM-2 では、アプリケーションおよびメンテナンスのファイル イメージ フォーマットが異なります。新しい NAM には共通のフォーマットが使用されており、アップグレード用に同じイメージ ファイル名を使用できます。

現象 Traffic Analyzer Active SPAN ウィンドウに Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)セッションが表示されない。

考えられる原因 Catalyst オペレーティング システム ソフトウェアでは、宛先ポートが含まれているモジュールがスイッチシャーシから取り外されると、SPAN セッションは非アクティブになります。SPAN の設定はスーパーバイザ エンジンによって SNMP エージェントから削除されるので、NAM は SPAN セッションで認識されません。

推奨処置 モジュールを元どおり取り付けてください。

現象 Cisco IOS ソフトウェアで、部分的に設定された SPAN セッションとして SPAN の create 要求がエラーになる。

考えられる原因 NAM は部分的に設定された SPAN セッションを認識しません。また、送信元タイプまたは宛先ポートに衝突があると、SPAN の create 要求はエラーになる可能性があります。

推奨処置 SPAN セッションの送信元または宛先のいずれか一方だけしか定義されていない可能性があるので、送信元と宛先の両方を定義して SPAN セッションを再設定してください。

現象 NAM の初回起動時に自動的に完全なメモリ テストを実行したいが、メモリ テストの一部が実行される。

考えられる原因 デフォルトの設定では、部分的なメモリ テストが実行されます。

推奨処置 完全なメモリ テストを実行するには、 hw-module module module_number reset device:partition mem-test-full コマンドを入力します。


) 完全なメモリ テストは完了するのに非常に時間がかかります。


このコマンドは、Cisco IOS ソフトウェア専用のコマンドなので、Catalyst オペレーティング システム ソフトウェアには使用できません(「Catalyst オペレーティング システム ソフトウェアを使用した NAM のリセット」を参照してください)。

hw-module module module_number mem-test-full コマンドも使用できます。次のように入力します。

Router(config)# hw-module module 5 mem-test-full
 

Catalyst オペレーティング システム ソフトウェアで完全なメモリ テストをイネーブルにするには、 set boot device bootseq mod# mem-test-full コマンドを入力します。このオプションは、デフォルトではディセーブルになります。次に、完全なメモリ テストをイネーブルにする例を示します。

Console (enable) set boot device cf:1 4 mem-test-full
Device BOOT variable = cf:1
Memory-test set to FULL
Warning:Device list is not verified but still set in the boot string.
 
Console> (enable) show boot device 4
Device BOOT variable = cf:1
Memory-test set to FULL
 

次に、部分的なメモリ テストをリセットする方法を示します。

Console> (enable) set boot device cf:1 4
Device BOOT variable = cf:1
Memory-test set to PARTIAL
Warning:Device list is not verified but still set in the boot string.
Console> (enable)
Console> (enable) show boot device 4
Device BOOT variable = cf:1
Memory-test set to PARTIAL

現象 Set up > Switch Parametersメニュー ウィンドウの Test ボタンをクリックすると、スイッチへの SNMP の読み取りと書き込みが両方ともできないことを示すポップアップ ウィンドウが表示される。

考えられる原因 入力されている SNMP 読み取り/書き込みコミュニティ ストリングがそのスイッチに定義されている SNMP 読み取り/書き込みコミュニティ ストリングと同じかどうか確認してください。


) このパスワードは大文字/小文字を区別して入力する必要があります。


推奨処置 コミュニティ ストリングが正しいにも関わらずテストがエラーになる場合は、次の手順に従って、スイッチの設定で IP 許可リストがイネーブルになっていることを確認してください。


ステップ 1 イネーブル モードでスイッチにログインします。

ステップ 2 show IP permit コマンドを入力します。

IP 許可リストがイネーブルになっている場合は、NAM 内部アドレスが IP 許可リストに追加されていることを確認します。NAM アドレスは、127.0.0.X です。この X は、NAM モジュール番号の 10 倍に 1 を加えた数字です。たとえば、NAM がモジュール 4 であれば、アドレスは 127.0.0.41 になります。

NAM の内部 IP アドレスを求めたら、ステップ 3 に進みます。

ステップ 3 set IP permit NAM-address SNMP コマンド を入力します。


 

現象 Catalyst オペレーティング システム ソフトウェアが稼働しているスイッチで NAM を使用する場合、 ping コマンドまたは NAM Traffic Analyzer アプリケーションを使用すると、NAM で unreachable と表示されることがある。

考えられる原因 NAM の IP アドレスとスイッチ(インターフェイス sc0)の IP アドレスが、同じサブネットに属していません。スイッチの IP アドレスおよび NAM の VLAN(仮想 LAN)割り当てを変更した場合に、この問題が発生することがあります。NAM は自身の VLAN 割り当てを、スイッチ(インターフェイス sc0)が存在する VLAN と自動的に同期化させます。この場合、NAM の IP アドレスは、NAM に割り当てられた VLAN とは異なるサブネットに存在することになります。したがって、ルータは NAM の IP アドレスを宛先とするパケットを廃棄します。不適切な VLAN 割り当てとサブネット指定によるルート重複のため、ルータにスタティック ルートを追加できません。

推奨処置 NAM の IP アドレスとスイッチの IP アドレスが、同じ VLAN 上の同じサブネットに属しているかどうかを確認します。

現象 NAM に接続できない。

考えられる原因 初期設定が正しくないか、未設定です。

推奨処置 「NAM の設定」の説明に従って、NAM を再設定してください。

現象 NAM Traffic Analyzer アプリケーションに接続できない。

考えられる原因 HTTP サーバの設定が正しくありません。

推奨処置 「HTTP サーバまたは HTTP セキュア サーバの設定」の説明に従って、HTTP サーバに関する NAM の設定を確認してください。

現象 NAM のアップグレードがエラーになる。

考えられる原因 サーバへの URL またはイメージ名が正しくありません。

推奨処置 指定した URL が有効であるかどうかを確認してください。また、その URL で指定したイメージ名がシスコの正式なイメージ名であるかどうかを確認してください。

現象 HTTP サーバをイネーブルにできない。

考えられる原因 Web ユーザがまったく設定されていないか、またはセキュア サーバがすでにイネーブルになっています。

推奨処置 「HTTP セキュア サーバの設定」の説明に従って、Web ユーザを設定してください。

現象 設定したにもかかわらず、TACACS+ 認証および許可に失敗する。

考えられる原因 考えられる原因は 3 つあります。TACACS+ サーバ上のログイン設定で名前とパスワードが一致していないか、NAM に設定されている TACACS+ 秘密鍵がサーバに設定されている秘密鍵と一致していないか、NAM に設定されている TACACS+ サーバの IP アドレスが正しくないと考えられます。

推奨処置 問題の原因を特定するには、次の手順を実行します。


ステップ 1 ローカル ユーザとしてログインします。

ステップ 2 Admin > Diagnostics > Tech Support を選択します。

ステップ 3 下へスクロールして、/var/log/messages エリアを表示します。

ステップ 4 ログの最後の方に次のメッセージがないかどうかを調べ、推奨措置を行います。

...PAM-tacplus[612]:auth failed:Login incorrect

考えられる原因 TACACS+ サーバ上のログイン設定で名前とパスワードが一致していません。

推奨処置 TACACS+ サーバにログインし、NAM ユーザの認証および許可を設定します(ログイン設定についての詳細は、TACACS+ のマニュアルを参照してください)。

...httpd:tac_authen_pap_read:invalid reply content, incorrect key?
...PAM-tacplus[616]:auth failed:Authentication error, please contact administrator.

考えられる原因 NAM に設定されている TACACS+ 秘密鍵が、TACACS+ サーバに設定されている鍵と一致していません。

推奨処置 Admin > User > TACACS+ を選択し、正しい秘密鍵を入力します。

...httpd:tac_connect:connection to 172.18.122.183 failed:Connection timed out
...httpd:tac_connect:all possible TACACS+ servers failed ...PAM-tacplus[613]:connection failed srv 0:Connection timed out ...PAM-tacplus[613]:no more servers to connect

考えられる原因 NAM に設定されている TACACS+ サーバの IP アドレスが正しくありません。

推奨処置 Admin > User > TACACS+ を選択し、正しい TACACS+ サーバ アドレスを入力します。


 

現象 TACACS+ ユーザは正常にログインできるが、NAM Traffic Analyzer アプリケーションにアクセスすると「Not authorized...」というエラー メッセージが表示される。

考えられる原因 必要なアクセス権限が割り当てられていません。

推奨処置 TACACS+ サーバにログインし、該当するユーザにアクセス権限を与えます(ログイン設定についての詳細は、TACACS+ のマニュアルを参照してください)。

現象 configure network コマンドを使って設定をインポートするとコンフィギュレーション ファイルは正しくダウンロードされるが、インポートは失敗してエラー メッセージが表示される。

考えられる原因 コンフィギュレーション ファイルが正しくありません。

推奨処置 show log config コマンドを使うと、どの設定が間違っているかを調べることができます。コンフィギュレーション ファイルを無視するか修正し、 config network コマンドを再入力します。

現象 NAM-1 または NAM-2 のアプリケーション イメージをメンテナンス イメージにアップグレードしようとすると、次のメッセージが表示されます。

Image verification failed.

考えられる原因 アップグレードしようとしているイメージは正しいメンテナンス イメージではありません。またはこのリリースとの互換性がありません。

推奨処置 NAM-1 または NAM-2 の正しいメンテナンス イメージを使用する必要があります。WS-X6380-NAM メンテナンス イメージは使用できません。

現象 WS-X6380-NAM アプリケーション イメージをアップグレードしようとすると、次のメッセージが表示される。

Incompatible image! Upgrade aborted.

考えられる原因 WS-X6380-NAM イメージは NAM-1 または NAM-2 に使用できません。

推奨処置 WS-X6380-NAM の正しいメンテナンス イメージを使用する必要があります。NAM-1 または NAM-2 メンテナンス イメージは使用できません。

現象 WS-X6380-NAM メンテナンス イメージをアップグレードしようとすると、次のメッセージが表示される。

restore operation failed.

考えられる原因 アップグレード プロセスに問題がありました。

推奨処置 WS-X6380-NAM アプリケーション イメージをロードすれば、この問題は解決できます。

Web ユーザ名およびパスワードについての注意事項

Web ユーザ名およびパスワードについては、次の点に注意してください。

CLI のユーザ名(root または guest)とパスワードを使用して NAM Traffic Analyzer アプリケーションにログインすることはできません。これらは別々に管理されているからです。また、NAM Traffic Analyzer のユーザ名とパスワードを使用して NAM CLI にログインすることもできません。

Web ユーザは、ローカル データベースと TACACS+ のどちらでも作成できます。Web ユーザは、CLI で使用するものと同じユーザ名とパスワードで作成できます。ただし、その場合にもパスワードは両方の場所で変更する必要があります。

ローカル データベースに加えて TACACS+ を使用することも、ローカル データベースの代わりに TACACS+ を使用することもできます(ローカル データベースが常に最初にチェックされます)。TACACS+ だけを使用するには、次のいずれかの方法でローカル データベース ユーザを削除します。

NAM CLI の rmwebusers コマンドを使用して、ローカル ユーザだけを削除します。TACACS+ ユーザは TACACS+ サーバで個別に管理されるので削除しません。

Admin タブで Users をクリックし、すべてのローカル データベース ユーザを個別に削除します。


注意 NAM Traffic Analyzer に TACACS+ ユーザとしてログインできることを確認してから、ローカル データベース Web ユーザをすべて削除してください。

ローカル Web admin ユーザ パスワードを忘れた場合や、アカウント権限を持つ別のユーザがログインしてローカル Web admin ユーザ パスワードを変更した場合は、パスワードを回復できます。

パスワードを回復する手順は、次のとおりです。


ステップ 1 NAM CLI にアクセスします。

ステップ 2 次のコマンドを入力します。

web-user
user name name
exit
 

ステップ 3 プロンプトに新しいパスワードを入力します。

ステップ 4 Y を入力して新しいパスワードを確認します。


 

NAM TACACS+ の設定が間違っており、Web インターフェイスでローカル データベース ユーザ アカウントを使用してもこの問題が解決できない場合は、CI インターフェイスを使用して TACACS+ の設定を訂正します。

パスワードを回復する手順は、次のとおりです。


ステップ 1 NAM CLI にアクセスします。

ステップ 2 次のコマンドを入力します。

ip http tacacs+ enable tacacs+ server
 

ステップ 3 コマンドに続けて TACACS+ 秘密鍵を入力します。


 

サポート対象の MIB オブジェクト

表5-4 に、スーパーバイザ エンジンおよび NAM がサポートする Remote Monitoring(RMON)および RMON2 の MIB(管理情報ベース)オブジェクトを示します。スーパーバイザ エンジンには、 表5-4 のように RMON MIB の一部のオブジェクトが実装されています。スーパーバイザ エンジンの RMON の実装は、NAM の実装から完全に独立しており、MIB オブジェクトが共有されることはありません。

スイッチ上の物理インターフェイスから etherStats を収集するには、NAM ではなくスーパーバイザ エンジン上に etherStatTable を設定します。etherStats は、複数の物理インターフェイスで同時に正確に収集されます。

特定の VLAN について etherStats を収集するには、NAM 上に etherStatsTable を設定します。データ ソースには、目的とする VLAN に対応する ifIndex を使用します。

スーパーバイザ エンジン上で設定された alarmVariable は、スーパーバイザ エンジン上の MIB オブジェクトを参照しなければなりません。NAM 上で設定された alarmVariable は、NAM 上の MIB オブジェクトを参照しなければなりません。


) スーパーバイザ エンジン上の MIB オブジェクトを参照する NAM に alarmVariable を設定することはできません。また、NAM 上の MIB オブジェクトを参照するスーパーバイザ エンジンに alarmVariable を設定することもできません。


 

表5-4 スーパーバイザ エンジン モジュールおよび NAM の RMON サポート

モジュール
Object Identifier(OID; オブジェクト ID)および説明
ソース

スーパーバイザ エンジン

...mib-2(1).rmon(16).statistics(1).etherStatsTable(1)
...mib-2(1).rmon(16).statistics(1).tokenRingMLStatsTable(2)
...mib-2(1).rmon(16).statistics(1).tokenRingPStatsTable(3)

RFC 2819(RMON-MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)

パケット、オクテット、ブロードキャスト、エラーなどのカウンタ

スーパーバイザ エンジン

...mib-2(1).rmon(16).history(2).historyControlTable(1)
...mib-2(1).rmon(16).history(2).etherHistoryTable(2)
...mib-2(1).rmon(16).history(2).tokenRingMLHistoryTable(3)
...mib-2(1).rmon(16).history(2).tokenRingPHistoryTable(4)

RFC 2819(RMON-MIB)
RFC 2819(RMON-MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)

あとで検索できるように、統計グループ カウンタを定期的にサンプリングして保存

スーパーバイザ エンジン

...mib-2(1).rmon(16).alarm(3)

RFC 2819(RMON-MIB)

ネットワーク管理目的で、重要な RMON 変数に設定できるしきい値

ネットワーク解析

...mib-2(1).rmon(16).alarm(3)

RFC 2819(RMON-MIB)

ネットワーク管理目的で、重要な RMON 変数に設定できるしきい値

ネットワーク解析

...mib-2(1).rmon(16).hosts(4)

RFC 2819(RMON-MIB)

セグメントまたはポート上の各ホスト デバイスに関する統計を維持

ネットワーク解析

...mib-2(1).rmon(16).hostTopN(5)

RFC 2819(RMON-MIB)

Hosts グループに関するユーザ定義のサブセット レポート(統計カウンタに基づいてソート)

ネットワーク解析

...mib-2(1).rmon(16).statistics(1).etherStatsTable(1)

RFC 2819(RMON-MIB)

ネットワーク解析

...mib-2(1).rmon(16).matrix(6)

RFC 2819(RMON-MIB)

ネットワーク上のホスト間の会話に関する統計を維持

ネットワーク解析

...mib-2(1).rmon(16).filter(7)

RFC 2819(RMON-MIB)

特定のパターンと一致するフレームからパケット ストリームを生成するフィルタ エンジン

ネットワーク解析

...mib-2(1).rmon(16).capture(8)

RFC 2819(RMON-MIB)

管理コンソールにアップロードするために Filter グループがキャプチャしたパケット用のバッファを管理

スーパーバイザ エンジン

...mib-2(1).rmon(16).event(9)

RFC 2819(RMON-MIB)

Alarm グループのしきい値を超えたときに SNMP トラップを生成してイベントを記録

ネットワーク解析

...mib-2(1).rmon(16).event(9)

RFC 2819(RMON-MIB)

Alarm グループのしきい値を超えたときに SNMP トラップを生成してイベントを記録

スーパーバイザ エンジン

...mib-2(1).rmon(16).tokenRing(10).ringStationControlTable(1)
...mib-2(1).rmon(16).tokenRing(10).ringStationTable(2)
...mib-2(1).rmon(16).tokenRing(10).ringStationOrderTable(3)
...mib-2(1).rmon(16).tokenRing(10).ringStationConfigControlTable(4)
...mib-2(1).rmon(16).tokenRing(10).ringStationConfigTable(5)
...mib-2(1).rmon(16).tokenRing(10).sourceRoutingStatsTable(6)

RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)
RFC 1513(TOKEN-RING-RMON MIB)

詳細なトークンリング統計情報の集計

ネットワーク解析

...mib-2(1).rmon(16).protocolDir(11)

RFC 2021(RMON2-MIB)

NAM がモニタして統計を維持するプロトコルのテーブル

ネットワーク解析

...mib-2(1).rmon(16).protocolDist(12)

RFC 2021(RMON2-MIB)

protocolDir(11) の各プロトコルに関する統計情報のテーブル

ネットワーク解析

...mib-2(1).rmon(16).addressMap(13)

RFC 2021(RMON2-MIB)

MAC/ネットワーク レイヤ アドレス バインディングのリスト

ネットワーク解析

...mib-2(1).rmon(16).nlHost(14)

RFC 2021(RMON2-MIB)

各ネットワーク レイヤ アドレスに関する統計

ネットワーク解析

...mib-2(1).rmon(16).nlMatrix(15)

RFC 2021(RMON2-MIB)

ネットワーク レイヤ アドレスのペアに関するトラフィック統計

ネットワーク解析

...mib-2(1).rmon(16).alHost(16)

RFC 2021(RMON2-MIB)

各ネットワーク アドレスに関するアプリケーション レイヤ プロトコル別の統計

ネットワーク解析

...mib-2(1).rmon(16).alMatrix(17)

RFC 2021(RMON2-MIB)

ネットワーク レイヤ アドレスのペアに関するアプリケーション レイヤ プロトコル別のトラフィック統計

ネットワーク解析

...mib-2(1).rmon(16).usrHistory(18)

RFC 2021(RMON2-MIB)

RMON、RMON2、MIB-I、または MIB-II 統計が含まれるように、RMON1 リンク レイヤ統計を超えてヒストリを拡張

スーパーバイザ エンジン

...mib-2(1).rmon(16).probeConfig(19)

RFC 2021(RMON2-MIB)

エージェントの機能および設定を示したリストを表示

ネットワーク解析

...mib-2(1).rmon(16).switchRMON(22).smonMIBObjects(1).

dataSourceCaps(1).dataSourceCapsTable(1)

RFC 2613(SMON-MIB)

物理エントリおよび VLAN を ifEntry にマッピング

ネットワーク解析

...mib-2(1).rmon(16).switchRMON(22).smonMIBObjects(1).

smonStats(2).smonVlanStatsControlTable(1)

RFC 2613(SMON-MIB)

VLAN ID 番号別のトラフィック統計

ネットワーク解析

...mib-2(1).rmon(16).switchRMON(22).smonMIBObjects(1).

smonStats(2).smonPrioStatsControlTable(3)

RFC 2613(SMON-MIB)

802.1p ユーザ プライオリティ値別のトラフィック統計

ネットワーク解析

...frontier(141).mibdoc2(2).netscout2(1).art(5).artControlTable(2)

draft-warth-rmon2-artmib-01.txt

(ART-MIB)

アプリケーション応答時間の統計

ネットワーク解析

...mib-2(1).rmon(16).mediaIndependentStats(21)

RFC 3273(HC-RMON-MIB)

パケット、オクテット、ブロードキャスト、エラーなどのカウンタ

rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonMaxAggGroups(1)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggControlLocked(2)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggControlChanges(3)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggControlLastChangeTime(4)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggControlTable(5)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggProfileTable(6)
rmon.dsmonMib(26).dsmonObjects(1).dsmonAggObjects(1).
dsmonAggGroupTable(7)

RFC 3287(DSMON-MIB)

集計またはプロファイル制御変数およびテーブル

rmon.dsmonMib(26).dsmonObjects(1).dsmonStatsObjects(2).
dsmonStatsControlTable(1)
rmon.dsmonMib(26).dsmonObjects(1).dsmonStatsObjects(2).
dsmonStatsTable(2)

RFC 3287(DSMON-MIB)

データソース別の統計収集テーブル

rmon.dsmonMib(26).dsmonObjects(1).dsmonPdistObjects(3).
dsmonPdistCtlTable(1)
rmon.dsmonMib(26).dsmonObjects(1).dsmonPdistObjects(3).
dsmonPdistStatsTable(2)
rmon.dsmonMib(26).dsmonObjects(1).dsmonPdistObjects(3).
dsmonPdistTopNCtlTable(3)
rmon.dsmonMib(26).dsmonObjects(1).dsmonPdistObjects(3).
dsmonPdistTopNTable(4)

RFC 3287(DSMON-MIB)

プロトコル別の統計収集テーブル

rmon.dsmonMib(26).dsmonObjects(1).dsmonHostObjects(4).
dsmonHostCtlTable(1)
rmon.dsmonMib(26).dsmonObjects(1).dsmonHostObjects(4).
dsmonHostTable(2)
rmon.dsmonMib(26).dsmonObjects(1).dsmonHostObjects(4).
dsmonHostTopNCtlTable(3)
rmon.dsmonMib(26).dsmonObjects(1).dsmonHostObjects(4).
dsmonHostTopNTable(4)

RFC 3287(DSMON-MIB)

ホスト別の統計収集テーブル

rmon.dsmonMib(26).dsmonObjects(1).dsmonCapsObjects(5).
dsmonCapabilities(1)

RFC 3287(DSMON-MIB)

DSMON 機能変数

rmon.dsmonMib(26).dsmonObjects(1).dsmonMatrixObjects(6).
dsmonMatrixCtlTable(1)
rmon.dsmonMib(26).dsmonObjects(1).dsmonMatrixObjects(6).
dsmonMatrixSDTable(2)
rmon.dsmonMib(26).dsmonObjects(1).dsmonMatrixObjects(6).
dsmonMatrixDSTable(3)
rmon.dsmonMib(26).dsmonObjects(1).dsmonMatrixObjects(6).
dsmonMatrixTopNCtlTable(4)
rmon.dsmonMib(26).dsmonObjects(1).dsmonMatrixObjects(6).
dsmonMatrixTopNTable(5)

RFC 3287(DSMON-MIB)

マトリクス統計収集テーブル

NAM ifTable のローカル インターフェイス

ここでは、新しい NAM-1 および NAM-2 と旧バージョンの WS-X6380-NAM との違いを説明します。NAM には次の 3 つのバージョンがあります。

WS-X6380-NAM

WS-SVC-NAM-1

WS-SVC-NAM-2

WS-X6380-NAM は、スーパーバイザ エンジン CLI および ifTable で 2 つのポートとして認識されます。最初のポートはデータ ポートで、SPAN トラフィックの受信に使用されます。2 つめのポートは管理ポートです。NAM では、この 2 つのポートが ifTable で最初の 2 つのポートとして認識されます。データ ポートはifIndex.1、管理ポートはifIndex.2です。

WS-SVC-NAM-1 は、スーパーバイザ エンジン CLI(Catalyst オペレーティング システムの場合)および ifTable で 3 つのポートとして認識されます。最初のポートは未使用です。2 つめのポートは管理ポートです。3 つめのポートはデータ ポートで、SPAN トラフィックを受信します。スーパーバイザ エンジン CLI(Cisco IOS ソフトウェアの場合)は、ポートを("analysis module .. .")に解析します。NAM の ifTable では、管理ポートは最初のポート(ifIndex.1)、データ ポートは 2 つめのポート(ifIndex.2)として認識されます。

WS-SVC-NAM-2 は、スーパーバイザ エンジン CLI(Catalyst オペレーティング システムの場合)および ifTable で 8 つのポートとして認識されます。ポート 1、3、4、5 および 6 は未使用です。ポート 2 は、WS-SVC-NAM-1 と同じく管理ポートです。ポート 7 と 8 はどちらもデータ ポートで、SPAN を受信します。スーパーバイザ エンジン CLI(Cisco IOS ソフトウェアの場合)は、ポートを("analysis module .. .")に解析します。NAM の ifTable のインターフェイスは次のとおりです。

ifIndex.1:管理ポートに指定

ifIndex.2:両方のデータ ポートからのトラフィックを表す([All SPAN] ともいう)

ifIndex.3:最初のデータ ポートからのトラフィックを表す([data port 1] という)

ifIndex.4:2 つめのデータ ポートからのトラフィックを表す([data port 2] という)


) WS-SVC-NAM-1 および WS-SVC-NAM-2 のデータ ポートは IEEE 802.1Q トランク ポートです。受信するパケットのヘッダーは 802.1Q で(ネイティブ VLAN ID のポートのパケットを除く)、パケットのオフセット(たとえば IP ヘッダーのフィルタ)に影響します。


表5-5 に NAM のローカル インターフェイスの宛先を示します。

 

表5-5 NAM ローカル インターフェイスの宛先

WS-X6380-NAM
WS-SVC-NAM-1
WS-SVC-NAM-2

SNMP OID

cisco.5.1. 3. 3.3.2.223

cisco.5.1. 3. 3.3.2.914

cisco.5.1. 3. 3.3.2.291

スーパーバイザ エンジンのポート数

2

3

8

スーパーバイザ エンジンの管理ポート

2

2

2

スーパーバイザ エンジンのデータ ポート

1

3

7、8

NAMの管理ポート

ifIndex.2

ifIndex.1

ifIndex.1

NAM のデータ ポート

ifIndex.1

ifIndex.2

ifIndex.2、ifIndex.3、ifIndex.4