Cisco ネットワーク解析モジュール仮想ブレード ユーザ ガイド リリース 4.2
トラブルシューティング
トラブルシューティング
発行日;2012/01/31 | 英語版ドキュメント(2010/05/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

トラブルシューティング

NAM の一般的な問題

ユーザ名およびパスワードの問題

ログインの問題

スイッチド ポート アナライザ(SPAN)に関連する問題

アラームとインターフェイス統計情報またはポート統計情報の問題

NetFlow および NBAR のモニタリングの問題

レポートの問題

イメージのアップグレードおよびパッチの問題

Web ブラウザの応答時間および表示の問題

診断エラー メッセージの問題

ホスト名解決の問題

データ不一致の問題

HTTPSおよびセキュリティ証明書の問題

SNMP の問題

プロトコル サポートの問題

WAAS アプリケーションの応答時間の問題

トラブルシューティング

この付録では、NAM Traffic Analyzer の使用時に発生する一般的な問題について説明します。

「ユーザ名およびパスワードの問題」

「ログインの問題」

「アラームとインターフェイス統計情報またはポート統計情報の問題」

「スイッチド ポート アナライザ(SPAN)に関連する問題」

「NetFlow および NBAR のモニタリングの問題」

「レポートの問題」

「イメージのアップグレードおよびパッチの問題」

「Web ブラウザの応答時間および表示の問題」

「診断エラー メッセージの問題」

「ホスト名解決の問題」

「データ不一致の問題」

「HTTPSおよびセキュリティ証明書の問題」

「SNMP の問題」

「プロトコル サポートの問題」

「WAAS アプリケーションの応答時間の問題」

NAM の一般的な問題

Q. NAM が応答しない場合、どのような情報を収集する必要がありますか、また、ほかにどのような作業を行う必要がありますか。

A. 次の事項について確認し、情報を収集します。また、次の操作を実行します。

スイッチまたはルータの CLI からの セッション は機能するか。

EOBC(127 サブネット)を介した ping は成功するか。

管理 IP アドレスへの ping は成功するか。

NAM およびスイッチまたはルータから show tech-support コマンドの出力を収集する。

コア ファイルを収集する。

NAM がシャーシに正しく取り付けられているかどうかを確認する。

NAM をリセットする。

メンテナンス イメージまたはメンテナンス ヘルパーにリセットする。

設定をクリアする。

アプリケーション イメージを再インストールする(できる限り、再パーティション オプション --install を指定)。

ユーザ名およびパスワードの問題

Q. CLI のユーザ名(root または guest)およびパスワードを使用して、NAM Traffic Analyzer にログインできますか。または、NAM Traffic Analyzer のユーザ名およびパスワードを使用して、NAM CLI にログインできますか。

A. できません。Web と CLI のユーザは別々に管理されています。Web ユーザは、ローカル データベースで作成、または TACACS+ を使用して作成できます。CLI で使用しているものと同じユーザ名とパスワードで、Web ユーザを作成できます。ただし、両方でパスワードの変更を行う必要があります。

Q. TACACS+ を使用する場合、ローカル データベースで Web ユーザを定義する必要がありますか。

A. ありません。ローカル データベースに加えて、またはローカル データベースの代わりに TACACS+ を使用できます(常に、ローカル データベースが先に確認されます)。TACACS+ だけを使用するには、次のいずれかの方法でローカル データベース ユーザを削除します。

NAM CLI の rmwebusers コマンドを使用して、TACACS+ ユーザではなく、ローカル ユーザだけを削除します。各ユーザは TACACS+ サーバで別に管理されます。

[Admin] タブで [Users] をクリックしてから、すべてのローカル データベース ユーザを個別に削除します。


注意 TACACS+ ユーザとして NAM Traffic Analyzer にログインできることを確認するまでは、ローカル データベース Web ユーザをすべて削除しないでください。

Q. どうすればローカル Web admin ユーザのパスワードを回復できますか。

A. ローカル Web admin ユーザ パスワードを忘れた場合や、Account 権限を持つ別のユーザがログインして、ローカル Web admin ユーザ パスワードを変更した場合は、パスワードを回復できます。

ローカル Web admin ユーザ パスワードを回復するには、次の手順を実行します。


ステップ 1 NAM CLI にアクセスします。

ステップ 2 次のコマンドを入力します。

web-user
user name <
name>
exit

ステップ 3 プロンプトに対して、新しいパスワードを入力します。

ステップ 4 Y を入力して、新しいパスワードを確認します。


 

Q. NAM および TACACS+ サーバ間で TACACS+ 設定を混合してしまいました。NAM で TACACS+ 設定を修復するローカル データベース ユーザ アカウントがないのですが、どうすれば回復できますか。

A. TACACS+ サーバからこの問題を修復できない場合は、NAM CLI で ip http tacacs+ enable と入力して、TACACS+ 設定を再設定します。

Q. アップグレードを実行、またはパッチを適用する場合、パスワードの使用に制限はありますか。

A. はい。アップグレードおよびパッチ コマンドの引数としてパスワードを使用しないでください。次の形式のコマンド構文を使用します。

patch ftp://user@host/full-patch/filename

プロンプトが表示されたら、パスワードを入力します。

ログインの問題

Q. なぜログイン セッションがタイムアウトするのですか。

A. ログイン セッションは、約 1 時間操作が行われないと自動的にタイムアウトし、ユーザは NAM Traffic Analyzer からログアウトされます。


) 自動リフレッシュ機能がイネーブルである画面が表示されている場合、ログイン セッションはタイムアウトしません。


Q. ユーザ アカウントが削除されても、そのユーザがログインしたままなのはなぜですか。

A. ユーザのログイン中にユーザ アカウントを削除した場合、そのユーザはログインしたままで、その特権も保持されます。セッションは、そのユーザがログアウトするまで有効です。セッション中にアカウントを削除、または権限を変更した場合、影響があるのはその後のセッションだけです。ログインしているユーザを強制的にログアウトするには、NAM を再起動します。

Q. TACACS+ が設定された NAM Traffic Analyzer にログインできないのはなぜですか。

A. 正しい TACACS+ サーバ名および秘密キーが入力されて、TACACS+ サーバで設定したキーと同じ秘密キーを使用していることを確認します。
汎用 TACACS+ サーバを使用している場合は、Password Authentication Protocol(PAP; パスワード認証プロトコル)がサポートされ、PAP が選択されていることを確認します。

システム アラートで TACACS+ 関連メッセージを調べることもできます。


ステップ 1 NAM Traffic Analyzer にローカル ユーザとしてログインします。

ステップ 2 [Admin] > [Diagnostics] を選択します。

ステップ 3 コンテンツで、[Tech Support] をクリックします。

ステップ 4 /var/log/messages セクションまで下にスクロールします。

ステップ 5 次のようなメッセージを探し、内容に応じて対応します。


 

 

メッセージ
考えられる原因と対応

...PAM-tacplus[612]:auth failed:
Login incorrect

ユーザ名およびパスワードが、TACACS+ サーバ内のどのユーザ名およびパスワードとも一致しません。

1. TACACS+ サーバにログインします。

2. NAM ユーザを認証および認可するようにサーバを設定します。

「TACACS+ 認証および認可の確立」を参照してください。)

... httpd: tac_authen_pap_read: error reading PAP authen header, read -1 of 12: Connection reset by peer

... PAM-tacplus[10455]: auth failed: Authentication error, please contact administrator.

NAM が ACS/TACACS+ サーバの NAS(AAA クライアント)リストに追加されていません。

1. TACACS+ サーバにログインします。

2. NAM が NAS(AAA クライアント)リストにあり、TACACS+ が認証方法として選択されていることを確認します。

「TACACS+ 認証および認可の確立」を参照してください。)

...httpd:tac_authen_pap_read:
invalid reply content, incorrect key?

...PAM-tacplus[616]:auth failed:
Authentication error, please contact
administrator.

NAM で設定した TACACS+ 秘密キーが TACACS+ サーバの秘密キーと一致しません。

1. [Admin] > [Users] を選択します。

2. コンテンツで、[TACACS+] をクリックします。

3. [Secret Key] フィールドおよび [Repeat Secret Key] フィールドに正しい秘密キーを入力します。

4. [Apply] をクリックします。

..httpd:tac_connect:connection to
172.20.122.183 failed:Connection timed
out

...httpd:tac_connect:all possible
TACACS+ servers failed

...PAM-tacplus[613]:connection failed
srv 0: Connection timed out

...PAM-tacplus[613]:no more servers to
connect

NAM で誤った TACACS+ サーバ IP アドレスが設定されています。

1. [Admin] をクリックします。

2. [Users] をクリックします。

3. コンテンツで、[TACACS+] をクリックします。

4. 正しい TACACS+ サーバ アドレスを入力します。

5. [Apply] をクリックします。

Not authorized...
(NAM Traffic Analyzer へのアクセス時)

ユーザに必要なアクセス権がありません。

1. TACACS+ サーバにログインします。

2. ユーザに適切な権利を付与します。

「NAM ユーザまたはユーザ グループの追加」を参照してください。)

スイッチド ポート アナライザ(SPAN)に関連する問題


) この項は、NAM-1 および NAM-2 だけに適用されます。


Q. SPAN セッションが Active SPAN ウィンドウに表示されない場合はどうなりますか。

A. スイッチが Catalyst OS を実行している場合、宛先ポートを格納しているモジュールをスイッチのシャーシから取り外すと、SPAN セッションは非アクティブになります。この場合、スーパーバイザ エンジン モジュールによって SPAN 設定が SNMP エージェントから削除されているため、NAM に SPAN セッションは表示されません。

Q. Cisco IOS を実行しているスイッチで SPAN セッションの作成に失敗するのはなぜですか。

A. Cisco IOS を実行しているスイッチの場合、SPAN セッションは送信元タイプまたは宛先ポートだけで部分的に定義できます。NAM は、この部分的な SPAN セッションを表示しません。ただし、部分的に設定された SPAN セッションでは、送信元タイプまたは宛先ポートとの競合がある場合、SPAN 作成要求が失敗することがあります。

Q. 一方向だけにスパンするように SPAN セッションを変更したり、SPAN セッション タイプをスイッチ ポートから VLAN、または VLAN からスイッチ ポートに変更するにはどうしたらよいですか。

A. SPAN セッションの作成後は、NAM Traffic Analyzer を使用してこれらの特性を編集することはできません。その代わり、SPAN セッションを削除して、必要な特性を持つ新しいセッションを作成する必要があります。

(SPAN セッションを削除せずに)[Create] をクリックするだけで、現在の SPAN を上書きすることもできます。


) [Setup SPAN Sources] ダイアログボックスで、SPAN セッションの VLAN(現在の SPAN セッションがすでに VLAN の場合)を追加または削除できます。(VLAN からポートへの変更、またはトラフィックの方向の変更など)SPAN トラフィック タイプを変更することはできません。


Q. [Setup SPAN Sources] ダイアログボックスで SPAN セッションの作成または編集時に「 Failed to create SPAN session for... 」というメッセージが表示されることがあるのはなぜですか。

A. これは、通常スイッチ上で SPAN の限度に達したために発生します。該当する限度を調べるには、Catalyst OS または Cisco IOS のマニュアルを参照してください。最も簡単な解決策は、SPAN(該当する場合は RSPAN)セッションを削除して、新しいセッションを編集または作成することです。

アラームとインターフェイス統計情報またはポート統計情報の問題

Q. [Setup]、[Alarm]、または [NAM MIB Thresholds] ウィンドウのアラームのいずれかで、[Data Source] に「Collection Deleted」と表示されるのはなぜですか。

A. データ ソースはテーブル収集インデックスにマッピングされています。[Setup]、[Monitor]、または [Core] ウィンドウで収集を削除すると、テーブル インデックスが削除されます。アラーム データ ソースをテーブル インデックスにマップできなくなったため、アラームを削除して作成し直す必要があります。

Q. しきい値アラームを作成したり、インターフェイスまたはポート統計情報を表示できないのはなぜですか。

A. 2 つの典型的な原因として、スイッチと NAM と間の接続がない、またはスイッチで Mini-RMON がイネーブルになっていないことが考えられます。

接続があることを確認するには、[Setup] > [Managed Device Parameters] の順に移動して、管理対象デバイス情報を確認します。スイッチからの SNMP 読み取り、およびスイッチへの SNMP 書き込みの結果を表示します。

Q. [Alarms] ウィンドウに負の数が表示されるのはなぜですか。

A. アラーム カウンタが直前のポーリングと現在のポーリング間で 0 に設定されています。

Q. インターフェイス統計情報の Cumulative Data テーブルをロードするのに時間がかかるのはなぜですか。

A. 接続に問題があるか、または接続が存在していない可能性があります。接続を確認するには、[Setup] > [Managed Device] の順に移動し、[Test] をクリックします。

NetFlow および NBAR のモニタリングの問題

Q. デバイスのデフォルトの NetFlow データ ソースにデータがないのはなぜですか。

A. [Setup] > [Data Sources] > [NetFlow] > [Listening Mode] の順に選択し、[Start] をクリックします。デバイスがテーブルに表示される場合は、Listening Mode テーブルは NAM がデバイスから NDE パケットを受信していることを示しているのに、収集にデータがないのはなぜですか。を参照してください。3 回のリフレッシュ サイクルの後でもデバイスがテーブルに表示されない場合、NAM はそのデバイスからの NetFlow パケットを検出していません。ネットワークに問題があるか、デバイスの設定が正しくありません。

NetFlow デバイスが NetFlow パケットを NAM の UDP ポート 3000 に送信するように設定されていることを確認するには、次のコマンドを使用します。

prompt#show ip flow export

または

prompt#show mls nde

表示される情報は、NetFlow のエクスポートがイネーブルまたはディセーブルのどちらになっているか、NetFlow パケットのエクスポート先の IP アドレスとポート、および NAM に送信された NDE パケットの数を示しています。NetFlow デバイスの設定の詳細については、「デバイス上での NetFlow の設定」または付属のデバイス マニュアルを参照してください。

Q. Listening Mode テーブルは NAM がデバイスから NDE パケットを受信していることを示しているのに、収集にデータがないのはなぜですか。

A. [Monitor] > [Hosts]、[Monitor] > [Apps] および [Monitor] > [Conversations] の各ページで、収集にデータがあることを確認します。[Monitor] ページに NetFlow データがある場合は、自動リフレッシュ インターバルが短すぎる可能性があります。自動リフレッシュ インターバルのトラブルシューティングの詳細については、[Monitor] > [Hosts]、[Monitor] > [Apps] および [Monitor] > [Conversations] の各ページに、2 回(またはそれ以上)の自動リフレッシュ サイクルごとしかデータが表示されないのはなぜですか。および[Monitor] > [Conversations] ページの Network Conversations テーブルで、ソース カラムのすべてのエントリが 0.0.0.0 になっているのはなぜですか。を参照してください。

[Monitor] ページに NetFlow データが ない 場合は、互換性のない NDE のバージョンを使用している可能性があります。NDE のバージョンが 1、5、6、7、または 8 であることを確認します。詳細については、[Monitor] > [Hosts] ページおよび [Monitor] > [Conversations] ページにアクティブなフロー データがないのはなぜですか。を参照してください。


) NDE バージョン v8-AS-Aggregation はサポートされていません。


Q. [Monitor] > [Hosts]、[Monitor] > [Apps] および [Monitor] > [Conversations] の各ページに、2 回(またはそれ以上)の自動リフレッシュ サイクルごとしかデータが表示されないのはなぜですか。

A. NDE ソース デバイスの実装に原因があります。NetFlow キャッシュのエントリは、接続の終了が検出された場合、または期限の時間に達した場合など、非アクティブの特定のレベルになると期限切れになります。期限切れになったフローも、宛先にエクスポートされます。エージング タイムが NAM のリフレッシュ インターバルよりも長い場合、NAM の 1 回のリフレッシュ インターバルでは NetFlow パケットが表示されません。

この問題を解決するには、[Setup] > [Preferences] の順に選択し、NAM の自動リフレッシュ インターバルを長くするか、NetFlow エントリのエージング タイムを変更します。NDE ソース デバイスでエージング タイムを変更する前に、NDE の使用に関するガイドラインを参照してください。

Cisco IOS を実行しているデバイスの場合、次のコマンドを使用してエージング タイムを指定します。

Prompt(config)#ip flow-cache timeout <active || inactive> <seconds>

または

Prompt(config)#mls aging <fast time || long || normal> <seconds>

Q. カスタム NetFlow データ ソースに収集がないのはなぜですか。

A. データ ソースが入力方向のインターフェイスで設定されていることを確認します。出力および双方向は、特別な場合に限って推奨されます。これらの設定では、すべてのインターフェイスで NetFlow をイネーブルにして、包括的な出力方向のフロー データを取得することが必要な場合があります。NetFlow フロー レコードの詳細については、「NetFlow のフロー レコードについて」を参照してください。

NetFlow Listening Mode テーブルの [Detail] ボタンをクリックして、インターフェイスの方向を確認できます。NetFlow Listening Mode の使用方法の詳細については、「リスニング モードの使用」を参照してください。

カスタム NetFlow データ ソースが、正しくないインターフェイス ifIndex でデータを収集している可能性もあります。これは、デバイスのリブート後に持続していないリモート NetFlow デバイスの ifIndex に原因があります。サポートされるすべてのデバイスで、ifIndex 持続機能を使用することを推奨します。Cisco IOS を実行しているデバイスの場合、ifIndex はインターフェイスごとに持続したり、すべての ifIndex でグローバルに持続することができます。
例:

snmp ifindex persist

snmp-server ifindex persist

Q. [Monitor] > [Hosts] ページおよび [Monitor] > [Conversations] ページにアクティブなフロー データがないのはなぜですか。

A. アクティブ フローが期限切れになっていないか、デバイスに NDE フィルタがあるか、またはキャッシュがいっぱいで新しいエントリをキャッシュに挿入できないことが原因です。いずれの場合も、NAM にエクスポートされている NetFlow パケットにアクティブ フローがありません。

この問題を解決するには、デバイスに NDE フィルタがないことを確認し、長いエージング タイムおよびドロップされたフロー パケットがあるかどうかをチェックします。

長いエージング タイムをチェックしてアクティブ フローが期限切れになっているかどうかを確認するには、次のいずれかのコマンドを入力します。

Prompt>(enable)show ip cache flow
 
Prompt>(enable)show mls netflow aging
 
Prompt>(enable)show mls
 

アクティブ時間が長期エージング タイムよりも 短い アクティブ フローは、まだ期限切れにならず、NAM にエクスポートされていません。エージング タイムはさらに小さい値に設定できます。設定方法については、NDE デバイスのユーザ マニュアルを参照してください。

Q. 特定のインターフェイスに対して設定した NetFlow データ ソースにはデータがなく、デフォルトの NetFlow データ ソースにデータが ある のはなぜですか。

A. 特定のインターフェイス情報を持つ NetFlow レコードがないことが考えられます。リスニング モードを使用して、NetFlow レコードを持つインターフェイスを検索します。


ステップ 1 [Setup] > [Data Sources] > [NetFlow] > [Listening Mode] を選択します。

ステップ 2 [Start] をクリックします。

ステップ 3 デバイス テーブルの MDE パケット カウントが 3 を超えるまで待ちます。

ステップ 4 対象デバイスを選択します。

ステップ 5 [Details] をクリックします。


 

インターフェイスが [Details] ウィンドウにない場合は、NetFlow ソース デバイスを手動で設定する必要があります。

Cisco IOS を実行しているデバイスの場合

Prompt(config)#interface <type> <slot/port>
Prompt(config-if)#ip route cache flow
Prompt(config)#mls nde interface

フロー マスクが full または interface-full に設定されていることを確認してください。

Q. [Setup] > [Data Sources] > [NetFlow] > [Custom Data Sources] ページで NetFlow データ ソースを作成した場合、ドロップダウン リストにローカル デバイス アドレスしか表示されないのはなぜですか。

A. はじめに [Setup] > [Data Sources] > [NetFlow] > [Devices] ページでデバイスを追加する必要があります。デバイスのデフォルトの NetFlow データ ソースが [Setup] > [Data Sources] > [NetFlow] > [Custom Data Sources] ページに表示されます。これでドロップダウン リストにそのデバイスが表示されます。

Q. NetFlow データ ソースの作成時に、利用できるインターフェイス リストがないのはなぜですか。

A. コミュニティ ストリングが正しいことを確認します [Setup] > [Data Sources] > [NetFlow] > [Devices] ページで NetFlow Devices テーブルの [Test] ボタンを使用します。詳細については、「NetFlow デバイスのテスト」を参照してください。

エラーが発生する場合は、コミュニティ ストリングが正しくない可能性があります。NetFlow Devices テーブルからデバイスを選択し、[Edit] をクリックして、正しいコミュニティ ストリングを入力します。リモート デバイスが SNMP 接続を受け入れることも確認します。

Q. [Monitor] > [Conversations] ページの Network Conversations テーブルで、ソース カラムのすべてのエントリが 0.0.0.0 になっているのはなぜですか。

A. NDE デバイスでフロー マスクが destination に設定されているためです。フロー マスクを full、interface-destination-source、または interface-full に設定するには、次のコマンドを使用します。

Cisco IOS を実行しているデバイスの場合

Prompt(config)#mls flow ip <full || interface-full>
 

) NAM では NDE バージョン 1、5、6、7、8、9 の送信元プレフィクス、送信先プレフィクス、プレフィクス、およびプロトコル ポート集約がサポートされています。


フロー マスクおよび [Monitor] ページの詳細については、「NDE フロー マスクおよび V8 集約キャッシュ」を参照してください。

Q. スイッチで NBAR を使用できないのはなぜですか。

A. Catalyst 6500 スイッチでコマンドラインを使用して NBAR を設定できますが、現在、このスイッチは NBAR を設定およびモニタリングするための MIB を提供していません。

レポートの問題

Q. 一部またはすべての期間で、レポートにデータが表示されないのはなぜですか。

A. これにはいくつかの原因が考えられます。

レポートが最近作成され、データがまだ収集されていない可能性があります。最初のデータ ポイントを表示するには、最低 2 ポーリング インターバルが必要です。

適切なトラフィック データ ソースが NAM に送信されていません。たとえば、SPAN セッションの設定が不適切で、レポート用の適切なトラフィックが含まれていない可能性があります。[Setup] > [Data Source] に移動して、レポートのデータ ソースが適切に設定されていることを確認します。

レポートがディセーブルになっています。

NAM はその期間にシャットダウンされていたか、または実行されていません。

レポート ターゲットが非アクティブです。

Q. レポート ステータスが OK を示しているのに、一部またはすべての期間でレポートにデータがないのはなぜですか。

A. エラー条件または例外が発生している可能性があります。レポート ウィンドウで表レポート スタイルを選択し、 システム イベント をクリックして、レポート エラー条件および例外を表示します。レポート エラー条件および例外の詳細については、表 5-11を参照してください。

Q. すべての PortStat レポートにデータがないのはなぜですか。

A. PortStat レポートでは、スイッチが Mini-RMON 機能を持っている必要があります。スイッチが Mini-RMON をサポートし、その機能がイネーブルになっていることを確認します。

Q. すべての VLAN レポートにデータがないのはなぜですか。

A. スーパーバイザ エンジン モジュールをデータ ソースとする Top N VLAN レポートおよびターゲット VLAN レポートでは、スイッチのスーパーバイザが SMON 機能を持っている必要があります。スーパーバイザ エンジン モジュールが SMON 機能をサポートし、その機能がイネーブルになっていることを確認します。

Q. Response Time レポートのデータが複数の間隔で一定なのはなぜですか。

A. 選択したレポート インターバルが長すぎる可能性があります。[Setup] > [Monitor] > [Response Time Monitoring] の順に選択し、短いレポート インターバルを選択します。Response Time レポートと同じポーリング インターバルを選択することを推奨します。たとえば、レポートで 60 分のレポート インターバルおよび 15 分のポーリング インターバルを選択した場合、レポート データが頻繁にポーリングされ、連続する 15 分のインターバル 4 回で同じデータが繰り返し表示されます。

Q. DNS 解決の設定を変更すると、レポートにどのような影響がありますか。

A. [Monitor] ウィンドウでレポートを表示できなくなります。DNS をオンにしてレポートを作成した場合、DNS 名をホストとしてレポートが設定されます。次に DNS をオフにすると、[Monitor] ウィンドウは DNS 名の代わりに IP アドレスを参照します。

イメージのアップグレードおよびパッチの問題

Q. NAM のアプリケーション イメージのアップグレードをどのように行いますか。

A. NAM-1 および NAM-2 の場合は、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Network Analysis Module Installation and Configuration』を参照してください。


) NME-NAM の場合は、『Network Analysis Module (NM-NAM) Feature Guide』を参照してください。


Q. NAM イメージのアップグレード中に問題が起きるのはなぜですか。

A. 次の点を確認してください。

1. NAM を正しいパーティションに入れて起動している。

NAM アプリケーション イメージをアップグレードするには、NAM をメンテナンス パーティションに入れて起動する必要があります。

NAM メンテナンス イメージをアップグレードするには、NAM をアプリケーション パーティションに入れて起動する必要があります。

2. URL が正しいイメージの場所を指定している。正しくない場合は、正しい URL を入力します。

3. アップグレードが中断されていない。中断された場合は、NAM をリブートして、アップグレードを再開します。


) 詳細については、『Network Analysis Module (NM-NAM)』フィーチャ モジュールを参照してください。


Q. パッチの適用時に問題が発生するのはなぜですか。

A. 次の点を確認してください。

URL が正しいイメージの場所を指定しているか。正しくない場合は、正しい URL を入力します。

パッチ プロセスが中断されたか。中断された場合は、プロセスを再開します。

Q. NAM にインストールされているパッチを確認するにはどうしたらよいですか。

A. コマンドラインの show patches コマンドを使用するか、または NAM Traffic Analyzer のユーザ インターフェイスのツールバーで [About] をクリックします。

Web ブラウザの応答時間および表示の問題

Q. ブラウザ ウィンドウ([Packet Decode] ウィンドウまたは [Monitor] タブの下のウィンドウなど)のリフレッシュが非常に遅いことがあるのはなぜですか。

Q. [Packet Decoder] ウィンドウで、パケットの表示が非常に遅いのはなぜですか。

A. DNS ネーム サーバが有効な DNS サーバを指定していることを確認する必要があります。


ヒント • ネーム サーバが、存在しないまたは設定に誤りのある DNS サーバを指定している場合、検索が 20 ~ 30 秒後にタイムアウトします。

DNS のない環境では、ネーム サーバを設定しないでください。


 

自動ホスト名解決もオフにすることが必要な場合もあります。


ステップ 1 [Setup] > [Preferences] を選択します。

ステップ 2 [Perform IP Host Name Resolution] チェックボックスをオフにします。

ステップ 3 [Apply] をクリックします。


 


) 詳細については、「ホスト名解決の問題」を参照してください。


ソートおよび表示されるデータ量が原因で、ブラウザ ウィンドウのリフレッシュが遅くなることもあります。収集(カンバセーションの数など)を制限し、該当する([Setup] タブの)[Monitoring] ウィンドウの最大エントリ数を減らすことで、応答時間を改善してください。

Q. ブラウザ ウィンドウまたはポップアップ ウィンドウのフォーマットが正しくないように見えることがあるのはなぜですか。

A. ブラウザ ウィンドウのフォーマットが正しくない場合は、ブラウザの [Refresh] ボタンをクリックします。ポップアップのフォーマットが正しくない場合は、ポップアップを閉じてから、再び開きます。

診断エラー メッセージの問題

Q. [Diagnostics Tech Support] ウィンドウの次のエラーは何を示していますか。

Fri Nov 16 11:33:33 2001] [error] [client 172.20.9.52] File does not exist: /usr/local/ apache/htdocs/scripts/..%2f../winnt/system32/cmd.exe
[Fri Nov 16 11:35:31 2001] [error] [client 172.20.102.27] File does not exist: /usr/local/ apache/htdocs/scripts/root.exe
[Fri Nov 16 11:35:31 2001] [error] [client 172.20.102.27] File does not exist: /usr/local/ apache/htdocs/MSADC/root.exe
[Fri Nov 16 11:35:31 2001] [error] [client 172.20.102.27] File does not exist: /usr/local/ apache/htdocs/c/winnt/system32/cmd.exe
[Fri Nov 16 11:35:31 2001] [error] [client 172.20.102.27] File does not exist: /usr/local/ apache/htdocs/d/winnt/system32/cmd.exe
[Fri Nov 16 11:35:31 2001] [error] [client 172.20.102.27] File does not exist: /usr/local/ apache/htdocs/scripts/..%5c../winnt/system32/cmd.exe

A. これらのエラーは、ウイルスに感染したクライアントが、次の感染先システムを探していることを示している可能性があります。

一部のウイルスはポート 80 で実行している Web サーバの脆弱性を探します。次のようないくつかの対策があります。

クライアントのウイルスを駆除する(IP アドレスを記録しておく)

Access Control List(ACL; アクセス コントロール リスト)を実装して、NAM へのアクセスを防止する

別のポートで NAM の Web サーバを実行する(多くのウイルスはポート 80 だけを攻撃するため)

ホスト名解決の問題

Q. ip hosts add ... コマンドを使用すると、リモート ホスト ファイルのインポートに失敗するのはなぜですか。

A. これには次の原因が考えられます。

hosts ファイルのフォーマットが正しくありません。詳細については、次の URL にある『 Catalyst 6500 Series Switch and Cisco 7600 Series Internet Router Network Analysis Module Installation and Configuration Note 』を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/4.2/switch/
configuration/guide/swconfig.html

ローカル ホスト ファイルは 1000 エントリまでに制限されています。1000 を超えるエントリを追加しようとしていないか確認します。NAM CLI コマンド show tech-support を使用して、次のような行を探します。

Total number of entries in hosts files: nn

ヒント ファイルで設定されているエントリを調べるには、show hosts コマンドを使用します。


1000 を超えるホストを追加する必要がある場合は、DNS を使用するか、またはローカル名解決に最も重要な 1000 のホストを選択します。

Q. NAM へのリモート Telnet セッション中に大幅な遅れが生じるのはなぜですか。

A. DNS サーバ アドレスに問題がある可能性があります。DNS サーバ アドレスは、運用 DNS サーバの IP アドレスに設定する必要があります。正しくないアドレス、サーバへの接続不能、または非運用サーバが原因で NAM がサーバに接続できない場合、大幅な遅れが生じることがあります。

この問題を解決するには、DNS サーバを動作しているサーバの IP アドレスに変更するか、またはそのサーバを削除します。


ステップ 1 [Admin] > [System] を選択します。

ステップ 2 コンテンツで、[Network Parameters] をクリックします。

ステップ 3 必要に応じてパラメータを変更します。

ステップ 4 [Apply] をクリックします。


 

NAM CLI コマンド ip nameserver nameserver_addr を使用して、特定のネーム サーバを選択するか、または ip nameserver disable コマンドでネーム サーバを完全に削除することもできます。

Q. 診断テクニカル サポートの出力に大幅な遅延が生じるのはなぜですか。

A. DNS サーバ アドレスに問題がある可能性があります。この問題を解決するには、DNS サーバを動作しているサーバの IP アドレスに変更するか、またはそのサーバを削除します。


ステップ 1 [Admin] > [System] を選択します。

ステップ 2 コンテンツで、[Network Parameters] をクリックします。

ステップ 3 必要に応じてパラメータを変更します。

ステップ 4 [Apply] をクリックします。


 

NAM CLI コマンド ip nameserver nameserver_addr を使用して、特定のネーム サーバを選択するか、または ip nameserver disable コマンドでネーム サーバを完全に削除することもできます。

Q. ip hosts add ... コマンドおよび ip hosts delete ... コマンドを使用して、ローカル ホスト ファイルに対して特定の IP アドレスを追加または削除する場合の制限はありますか。

A. はい。127. x.x.x で始まる NAM IP アドレスまたは IP アドレスを使用してホスト エントリを追加または削除しないでください。

データ不一致の問題

Q. [Monitor] タブをクリックしてから、[Hosts] または [Conversations] をクリックしました。Network Host テーブルが表示されました。ホスト名をクリックしたとき、ポップアップ チャートおよびテーブルのデータが一致しないことがあります。このようになるのはなぜですか。

A. 詳細ポップアップのチャートおよびテーブルに使用されるデータのソースは独立しており、異なるインターバルでエージング アウトすることがあります。

HTTPSおよびセキュリティ証明書の問題

Q. https を使用して NAM に Web ブラウザを指定した場合、証明書の期限が満了しているという警告メッセージが表示されるのはなぜですか。

A. これは証明書の期限が満了していることが原因です。この問題を解決するには、次のいずれかを実行します。

自己署名証明書を生成します。

証明書署名要求を生成します。認証局に要求を送信し、受信した証明書をインストールします。

いずれの場合も、NAM CLI コマンドを使用します。詳細については、次の URL にある『 Catalyst 6500 Series Switch and Cisco 7600 Series Internet Router Network Analysis Module Installation and Configuration Note 』を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/4.2/switch/
configuration/guide/swconfig.html

Q. セキュリティ証明書の名前がサイトの名前と一致しないという警告メッセージが Web ブラウザに表示された場合はどうしたらよいですか。

A. この問題を解決するには、次のいずれかを実行します。

自己署名証明書を生成します。この場合は、証明書署名要求を再利用するかどうかを確認する画面が表示されるので、 no と入力します。これで新しい証明書署名要求と自己署名証明書が生成されます。通常名を要求された場合は、ホスト名を入力します。

証明書署名要求を生成します。通常名を要求された場合は、ホスト名を入力します。認証局に要求を送信し、受信した証明書をインストールします。

いずれの場合も、NAM CLI コマンドを使用します。詳細については、次の URL にある『 Catalyst 6500 Series Switch and Cisco 7600 Series Internet Router Network Analysis Module Installation and Configuration Note 』を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/4.2/switch/
configuration/guide/swconfig.html

上記の操作を実行しても警告メッセージが表示される場合は、ブラウザのアドレス ウィンドウに NAM の完全ホスト名を入力してください。たとえば、NAM の完全ホスト名が nam1.cisco.com の場合は、https:/nam1 ではなく、https://nam1.cisco.com と入力します。

Q. 信頼していない会社によってセキュリティ証明書が発行されたという警告メッセージがブラウザに表示された場合はどうしたらよいですか。

A. 証明書を表示して、その認証局を信頼するかどうかを判断します。NAM の HTTPS 証明書が工場(テスト)証明書、または自己署名証明書である場合、このメッセージが表示されることがあります。[Proceed] をクリックします。

SNMP の問題

Q. NAM は SNMPv3 をサポートしていますか。

A. NAM は、Mini-RMON ポート統計情報およびスイッチベースのアラームについて NAM と対話する外部 SNMP マネージャおよびスイッチと対話する NAM の両方を含む、SNMPv1 および SNMPv2c だけをサポートします。

Q. [Router Parameters] ダイアログボックスで [Test] をクリックすると、ルータからの SNMP 読み取りに失敗したというウィンドウが表示されます。

A. 入力された SNMP 読み取り/書き込みコミュニティ ストリングが、 ルータ 用に定義された SNMP 読み取り/書き込みコミュニティ ストリングと同じであることを確認する必要があります。コミュニティ ストリングが正しくてもテストに失敗する場合は、ルータで IP 許可リストがイネーブルになっていることを確認します。

Catalyst OS を実行しているスイッチの場合のみ


ステップ 1 イネーブル モードでスイッチにログインします。

ステップ 2 show IP permit と入力します。

IP 許可リストがイネーブルになっている場合、NAM の内部アドレスがそのリストに追加されていることを確認します。


) Traffic Analyzer で NAM の内部 IP アドレスを表示するには、[Setup] > [Managed Device Parameters] を選択し、[Switch Community String] ダイアログボックスの [Test] をクリックします。[Switch Community String Test] ダイアログボックスが表示されます。


set IP permit NAM ip address SNMP と入力します。


 

Q. NAM Traffic Analyzer を使用するとき、NAM SNMP エージェントをイネーブルにする必要がありますか。

A. ありません。外部 SNMP マネージャからの SNMP 通信をサポートするために必要なのは SNMP エージェントだけです。NAM で SNMP をディセーブルにするには、次の手順を実行します。


ステップ 1 [Admin] > [System] を選択します。

ステップ 2 コンテンツで、[NAM SNMP] をクリックします。

ステップ 3 [NAM Community Strings] ペインで、すべての NAM コミュニティ ストリングを選択し、削除します。


 

Q. SNMP を使用した ART 収集のタイミング バケットとレポート間隔を設定するときに、他の ART 収集の設定も変わるのはなぜですか。

A. NAM は、ART タイミング バケットおよびレポート間隔のグローバル設定をサポートします。このため、SNMP を使用する設定のいずれかを変更すると、すべての ART 収集に適用されます。GUI を使用して ART タイミングおよびレポート間隔を設定する方法については、「応答時間の設定のセットアップ」を参照してください。


) 最後に使用した方法で、以前の設定が上書きされます。このため、SNMP を使用して設定を変更すると、それらの設定が、GUI による設定を上書きします。逆の場合も同様です。


プロトコル サポートの問題

Q. 一部のプロトコル(sunrpc など)が、アプリケーション統計情報ウィンドウで 2 回表示されることがあるのはなぜですか。

A. 最上位のプロトコルだけが表示されます。場合によっては、上位のプロトコルが複数の下位レイヤ プロトコル上で実行されることがあります。たとえば、sunrpc は TCP と UDP で実行されます。NAM Traffic Analyzer では、この 2 つを区別するため、2 行の項目が表示されます。そのプロトコルの上にマウスのポインタを置くと、関連するすべてのプロトコル スタックが小さなポップアップに表示されます。

Q. [Monitor] タブ、[DiffServ]、[Application Stats] の順にクリックすると、下位レイヤ プロトコルの TCP に比べて 1 秒あたりのパケット数(またはバイト数)が多い http などのプロトコルが表示されることがあります。このようになるのはなぜですか。

A. Differentiated Services(DiffServ; 差別化サービス)統計情報では、使用可能な最上位のプロトコルのパケットだけがカウントされます。したがって、...tcp.http パケットは http パケットとしてだけカウントされます。TCP として分類されたパケットは、NAM が処理できる最上位のパケットだったことを意味しています。これは、認識されていない TCP ポート、または分類する先行パケットを NAM が検出しなかった状態ベースのプロトコルが原因で発生した可能性があります。

Q. NAM がサポートするすべてのプロトコルのリストはどこにありますか。

A. NAM がモニタリングするすべてのプロトコルのリストは、[Setup] > [Monitor] の Protocol Directory テーブルに表示されます。SNMP ツールを使用して、プロトコルを取得したり更新したりすることもできます。

Q. 一部の NAM Web ウィンドウ上の 「others」 というプロトコル エントリは何を表していますか。

A. 「others」 というプロトコル エントリは、パケット データで NAM が最上位のアプリケーション レイヤを識別できないトラフィックの合計を表します。たとえば、認識されない TCP/UDP ポートや、NAM がセットアップ トランザクションを解析できない動的に割り当てられたポートです。詳細を入手する唯一の方法は、NAM のキャプチャ機能を使用してパケット データをキャプチャし、[Capture] > [Decode] ウィンドウで完全にデコードできていないパケットを検索することです。

WAAS アプリケーションの応答時間の問題

Q. 応答時間モニタリング画面にデータがないのはなぜですか。

A. 応答時間計算には、NAM がクライアントからサーバへのトラフィック、およびその逆方向のトラフィックの両方を認識する必要があります。NAM が 1 方向のトラフィックだけを認識する場合、応答時間の計算およびモニタができません。SPAN 設定で、NAM が双方向のトラフィックを受信することを確認します。また、ネットワークに(リターントラフィックが送信トラフィックとは異なるパスを通る)非対象のルーティングがあるかどうかも確認します。

Q. WAAS デバイス ステータスが Inactive のままなのはなぜですか。

A. 次の WAAS CLI コマンドを使用して、モニタリングのための、WAAS デバイスによる NAM へのフロー データのエクスポートをイネーブルにします。

flow monitor tcpstat-v1 host <NAM IP address>

enable

Q. WAAS データ ソースのデータがないのはなぜですか。
または
WAAS デバイス ステータスが、 Pending のままで、 Active ではないのはなぜですか。

A. [Setup] > [Data Sources] > [WAAS] > [Monitored Servers] の順に移動し、モニタリングの対象として適切なアプリケーション サーバを指定していることを確認します(たとえば、Web サーバおよび FTP サーバ)。


) モニタリングされるサーバは、WAAS によってそのトラフィックが最適化されたサーバである必要があります。


次の WAAS CLI コマンドを使用して、正しいモニタリング対象のサーバが設定されていることを確認します。

show statistics flow filters

Number of Filters: 7
Status: Enabled
Capture Mode: FILTER
 
Flags:
CSN: Client-Side Non-Optimized (Edge), SSO: Server-Side Optimized (Edge)
CSO: Client-Side Optimized (Core), SSN: Server-Side Non-Optimized (Core)
PT: Pass Through (Edge/Core/Intermediate), IC: Internal Client
 
Server Flow Hits Flags
--------------- ---------------------- ----------------------------------
172.20.107.123 120 CSO SSN
1.2.3.4 0 CSO SSN
10.96.1.2 0 CSO SSN
10.31.10.1 0 CSO SSN
10.31.10.2 0 CSO SSN
 

WAAS CLI コマンド show statistics flow filters の出力に、サーバ対して zero flow hits がある場合は、それらのサーバには最適化されたトラフィックがなく、WAAS デバイスがモニタリングのために NAM にエクスポートするデータはありません。この場合は、どのサーバが最適化されているかを確認するために WAAS 設定をチェックし、それらのサーバをモニタリングするように NAM を設定します。

最後に、正しい WAAS デバイスのデータ ソースを設定していることを確認します。一般に、Wide-Area Edge(WAE)エッジ デバイスの場合はクライアント データ ソースを設定し、WAE コア デバイスの場合はサーバおよびサーバ WAN データ ソースを設定する必要があります。詳細については、「WAAS データ ソースの設定」を参照してください。

WAAS の詳細と WAAS コンポーネントの設定方法については、次のマニュアルを参照してください。

Cisco Wide Area Application Services Configuration Guide』、OL-16376-01
(http://www.cisco.com/en/US/docs/app_ntwk_services/waas/waas/v4019/configuration/guide/
waas4cfg.html)