この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、NAM のトラブルシューティング方法について説明します。内容は次のとおりです。
• 「サポートされている管理情報ベース(MIB)オブジェクト」
• 「NAM ifTable のローカル インターフェイス」
ユーザ ガイドの付録「Troubleshooting」には、その他のトラブルシューティングのヘルプが記載されています。
http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/5.1/user/guide/appxa_trbl.html
ここでは、NDE のトラブルシューティング情報を示します。このリリースでは、NDE データ ソースは自動的に作成されますが、それらを使用するサイトを設定する必要があります。データ ソースを削除する、または NDE データ ソースの自動作成をディセーブルにするための GUI の設定もあります。
説明 [Monitor] > [Hosts]、[Monitor] > [Apps]、または [Monitor] > [Conversations] の各ページでは、2 回(またはそれ以上)の自動リフレッシュ サイクルごとにのみデータが表示されます。この問題は、NDE 送信元デバイスの実装操作によって発生します。NetFlow キャッシュのエントリは、接続の終了が検出された場合、または有効期限に達した場合、しばらく非アクティブの状態になった後で期限切れになります。期限満了フローは宛先にエクスポートされます。エージング タイムが NAM のリフレッシュ間隔よりも長い場合、NAM の 1 回のリフレッシュ間隔では期限満了フローも NetFlow パケット フローもありません。
推奨処置 この問題を解決するには、[Setup] > [Preferences] メニューで自動リフレッシュ間隔を長くするか、NetFlow エントリのエージング タイムを変更します。NDE 送信元デバイスでエージング タイムに変更を加える前に、パフォーマンス問題について、NDE の使用上のガイドラインを参照してください。
MSFC またはルータの場合は、次のコマンドを使用してエージング タイムを指定します。
説明 [Monitor] > [Hosts] ページおよび [Monitor] > [Conversations] ページに、アクティブ フローのデータが含まれていません。この問題が発生する可能性があるのは、アクティブ フローが期限切れになっていない場合、デバイスに NDE フィルタがある場合、またはキャッシュがいっぱいで新しいエントリを挿入できない場合です。NAM にエクスポートしている NetFlow パケットにはアクティブ フローはありません。
推奨処置 次の手順で、長期エージング タイムまたはドロップされたフロー パケットのフィルタを確認します。
次のコマンドを使用して、長期エージング タイムを確認します。
アクティブ時間が長期エージング タイムよりも短いアクティブ フローは、まだ期限切れになっていないため、NAM にエクスポートされていません。エージング タイムはさらに小さい値に設定できます。デバイスについては、NDE の使用上のガイドラインを参照してください。
次のコマンドを使用して、ドロップされたフロー パケットを確認します。
フローがキャッシュに入らないため、期限切れになった場合に NAM へエクスポートすることができず、フローがドロップされることがあります。NetFlow キャッシュは、ネットワークが高負荷なためにいっぱいになることがあります。この問題を解決するには、キャッシュ サイズを増やすか、NDE フロー マスクまたはバージョン 8 集約キャッシュを使用して NDE エクスポートを調整します。デバイスについては、NDE の使用上のガイドラインを参照してください。
説明 デバイスのデフォルトの NetFlow データ ソースにデータがありません。
推奨処置 GUI で、[Setup] > [Traffic] > [NAM Data Sources] に移動して、[Auto Create] ボタンをクリックします。[NAM Data Source Configuration] ダイアログ ウィンドウが表示されます。このウィンドウで、[Submit] ボタンをクリックします。自動リフレッシュ サイクルを数回待ちます。デバイスが表に表示されない場合、NAM はそのデバイスから NetFlow パケットを受信していません。この状態の場合、ネットワークに問題があるか、デバイスが正しく設定されていない可能性があります。
NetFlow デバイスが NetFlow パケットを NAM の UDP ポート 3000 に送信するように設定されていることを確認するには、次のコマンドを使用します。
表示される情報には、NetFlow エクスポートがイネーブルまたはディセーブルであるか、および NetFlow パケットがエクスポートされている IP アドレスとポートが示されている必要があります。情報が正しくない場合は、『 User Guide for the Cisco Prime Network Analysis Module 』の設定の項を参照してください。
説明 特定のインターフェイスに設定されている NetFlow データ ソースにはデータがなく、デバイスのデフォルトの NetFlow データ ソースにはデータがあります。
推奨処置 この問題は、指定したインターフェイスに関する情報を含んでいる NetFlow レコードが存在しないために発生することがあります。NetFlow レコードに設定されているインターフェイスを調べるには、次の手順を実行します。
ステップ 1 [Setup] > [Traffic] > [NAM Data Sources] ウィンドウに移動します。
ステップ 2 [Auto Create] ボタンをクリックして、プロセスを開始します。
ステップ 3 [NAM Data Source Configuration] ダイアログ ウィンドウが表示されます。
ステップ 4 デバイスの行の NDE パケット カウントが 3 を超えるまで待ちます。
ステップ 6 [Details] をクリックします。NAM が NDE パケット内で検出したインターフェイスのリストを表示するウィンドウが表示されます。
ステップ 7 NetFlow デバイスに対して選択したインターフェイスが、そのリストに含まれていることを確認します。該当インターフェイスがリストに含まれていない場合は、次のコマンドを使用して NetFlow 送信元デバイスを設定します。
IP ルーティング キャッシュの場合は、次のコマンドを使用します。
MLS キャッシュの場合は、Cisco IOS ソフトウェアの次のコマンドを使用します。
情報が正しくない場合は、『 User Guide for the Network Analysis Module 』の設定の項を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/network_analysis_module_software/5.1/user/guide/nam51_ug.html
説明 [Setup] > [Data Sources] > [NetFlow] > [Custom Data Sources] 画面で NetFlow データ ソースを作成すると、ドロップダウン ボックスにローカル デバイスのアドレスのみが表示されます。
推奨処置 デバイスは、[Setup] > [Data Sources] > [NetFlow] > [Devices] 画面で作成されます。この画面からデバイスを追加すると、デバイスのデフォルトの NetFlow データ ソースが [Setup] > [Data Sources] > [NetFlow] > [Custom Data Sources] 画面に表示されます。これで、ドロップダウン ボックスに、リストに含まれているデバイス アドレスが表示されます。
説明 NetFlow データ ソースの作成時は、利用できるインターフェイス リストが表示されません。
コミュニティ ストリングが正しいことを確認するには、次の手順を実行します。
ステップ 1 [Setup] > [Data Sources] > [NetFlow] > [Devices] ウィンドウに移動します。
ステップ 2 デバイスのオプション ボタンをクリックして、インターフェイスに関する情報を表示します。
デバイスのステータスを表示するポップアップ ウィンドウが表示されます。このウィンドウ内にエラーがある場合は、コミュニティ ストリングが正しくない可能性があります。デバイスを選択して、[Edit] をクリックし、正しいコミュニティ ストリングを入力して、コミュニティ ストリングを訂正します。リモート デバイスが SNMP 接続を受け入れることも確認します。
説明 [Monitor] > [Conversations] ページの送信元カラムのすべてのエントリが 0.0.0.0 になっています。この問題は、NDE デバイス フロー マスクが destination に設定されている場合に発生します。
Cisco IOS ソフトウェアを使用して、フロー マスクを full、interface-destination-source、または interface-full に設定する場合は、次のコマンドを使用します。
(注) NAM では NDE バージョン 1、5、6、7、8、9、送信元プレフィックス、送信先プレフィックス、プレフィックス、およびプロトコル ポート集約がサポートされています。
説明 NDE パケットに、複数の NDE フロー レコードが含まれています。各フロー レコードには、フロー入力 SNMP if-index フィールドとフロー出力 SNMP if-index フィールドがあります。この情報は、Cisco IOS のサポートされていない NDE 機能、または NDE フロー マスクの設定ミスが原因で取得できない場合があります。
図 5-1 および 図 5-2 は、この状況におけるネットワーク設定を示しており、 表 5-1 および 表 5-2 は、フロー レコードのレポーティングを示しています。
|
|
|
---|---|---|
|
|
|
---|---|---|
推奨処置 ほとんどの場合、インターフェイス上で NetFlow をオンにすると、スイッチまたはルータ内の NetFlow キャッシュに、インターフェイスの入力方向のフローが格納されます。その結果、フロー レコード内の入力 SNMP if-Index フィールドには、NetFlow がオンになっているインターフェイスの if-Index が格納されることになります。
説明 NDE パケットには、入力 if-index フィールドと出力 if-index フィールドのいずれか(または両方)を 0 として報告する NetFlow レコードが含まれている場合があります。この問題は、次の 1 つ以上の原因によって起こることがあります。
– デバイスでプラットフォームの NetFlow 機能がサポートされていない。
推奨処置 デバイスで終了したフローを削除し、デバイスの設定を確認して、このプラットフォームでサポートされていない機能がそのデバイスにないことを確認します。
ここでは、一部のフロー マスクと NDE バージョン 8 集約フローが、NAM のデータ収集画面にどのような影響を及ぼすか説明します。 表 5-3 に、データ収集画面への影響を示します。情報不足のために、一部の収集では、[Monitor] > [Apps] ページに「Others」のみ、[Monitor] > [Hosts] ページおよび [Monitor] > [Conversation] ページに 0.0.0.0 が表示される場合があります。
症状 スーパーバイザ CLI から reset コマンドを入力すると常に、メンテナンス イメージが起動する。
考えられる原因 スーパーバイザ エンジンでブート デバイスが cf:1 として設定されている場合、 reset module コマンドを入力すると常に、メンテナンス イメージが起動します。
推奨処置 リセット中にブート文字列を入力して、スーパーバイザ エンジンで設定されているブート デバイスを無効にします。
• Cisco IOS ソフトウェアで、アプリケーション イメージを起動させるには、 hw-module mod 9 reset hdd:1 コマンドを使用します。
症状 NAM にパッチをインストールすると、確認失敗メッセージが表示される。
考えられる原因 原因としては、NAM の時刻と日付が正しくない、パッチがシスコの正式なパッチとは異なっている、パッチが以前のリリースの NAM のものである、FTP プロセスが失敗している、またはポイントされている FTP イメージがパッチではない(フル アプリケーション イメージの可能性あり)などが考えられます。
推奨処置 署名検証を使用して、パッチがシスコの真正のパッチであり、そのパッチが正しい NAM リリースのものであることを確認します。たとえば、NAM 4.0 リリースのパッチは、NAM 5.1 ソフトウェアを実行している NAM には適用できません。NAM の日付と時刻がスイッチまたはネットワーク タイム プロトコル(NTP)と同期するように設定されていることを確認します。URL の場所がそのパッチに対して有効であることを確認します(ユーザ名を確認)。
症状 NAM アプリケーション イメージのものと同じパスワードでメンテナンス イメージにログインできない。
(注) このメッセージは、WS-SVC-NAM-1、WS-SVC-NAM-2、WS-SVC-NAM-1-250S、および WS-SVC-NAM-2-250S モジュールにのみ該当します。
考えられる原因 NAM アプリケーション イメージとメンテナンス イメージには、root アカウントと guest アカウント用の異なるパスワード データベースがあります。root と guest のデフォルト パスワードは、メンテナンス イメージと NAM アプリケーション イメージ間で異なります。NAM アプリケーション イメージでパスワードを変更しても、メンテナンス イメージのパスワードは変更されません。その逆も同様です。
症状 メンテナンス イメージのパスワードを失ったので、回復したい。
考えられる原因 メンテナンス イメージは、スイッチからのパスワードのリセットをサポートしていません。メンテナンス イメージをアップグレードすると、root と guest のパスワードが、メンテナンス イメージのデフォルトに設定されます。
推奨処置 デフォルトのメンテナンス イメージのパスワードを使用します。表 4-1 を参照してください。
症状 新しい NAM 5.1 イメージを NAM にロードしようとすると、次のメッセージが表示される。
考えられる原因 このイメージは、指定した NAM ではサポートされていません。この現象は、互換性のないイメージを使用した場合のみ発生します。
推奨処置 新しい NAM では共通フォーマットを共有しており、ロードに同じイメージ ファイル名を使用できます。
症状 正しくないイメージを WS-SVC-NAM-1、WS-SVC-NAM-2、WS-SVC-NAM-1-250S、または WS-SVC-NAM-2-250S にロードしようとすると、次のメッセージが表示される。
考えられる原因 このイメージは、指定した NAM ではサポートされていません。この現象は、互換性のないイメージを使用した場合のみ発生します。
推奨処置 アプリケーションおよびメンテナンス ファイル イメージのフォーマットは、以前の NAM リリースと新しい WS-SVC-NAM-1、WS-SVC-NAM-2、WS-SVC-NAM-1-250S、および WS-SVC-NAM-2-250S では異なっています。新しい NAM では共通フォーマットを共有しており、これらの新しいモジュール間ではロードに同じイメージ ファイル名を使用できます。
症状 Cisco IOS ソフトウェアで、部分的に設定されている SPAN セッションに対する SPAN の作成要求が失敗する。
考えられる原因 NAM がこの部分的な SPAN セッションを認識していません。または、送信元タイプまたは宛先ポートに競合がある場合、SPAN 作成要求が失敗することがあります。
推奨処置 SPAN セッションは送信元または宛先のみ指定して部分的に定義できるので、送信元と宛先の両方を指定して SPAN セッションを再設定します。
症状 NAM を初めてブートすると、デフォルトで部分メモリ テストが実行されるが、全メモリ テストを実行したい。
考えられる原因 部分メモリ テストがデフォルトの設定になっています。
推奨処置 全メモリ テストを実行するには、 hw-module module module_number reset device:partition mem-test-full コマンドを入力します。
(注) 全メモリ テストは完了までにかなりの時間がかかります。
このコマンドは、Cisco IOS ソフトウェアに固有のものです。
次のように、 hw-module module module_number mem-test-full コマンドを使用することもできます。
症状 [Setup] > [Chassis Parameters] メニュー ウィンドウで [Test] ボタンをクリックすると、ポップアップ ウィンドウに、スイッチに対して SNMP の読み取りと書き込みの両方が失敗したことが表示される。
考えられる原因 SNMP 読み取り/書き込みコミュニティ ストリングが、スイッチに定義されている SNMP 読み取り/書き込みコミュニティ ストリングと同じであることを確認します。
推奨処置 コミュニティ ストリングが正しくてもテストに失敗する場合は、次の手順で、スイッチで IP 許可リストがイネーブルになっていることを確認します。
ステップ 1 イネーブル モードでスイッチにログインします。
ステップ 2 show IP permit コマンドを入力します。
IP 許可リストがイネーブルになっている場合は、NAM の内部アドレスが IP 許可リストに追加されていることを確認します。NAM アドレスは 127.0.0.X です。X は NAM モジュール番号に 10 を掛けて 1 を加えた値です。たとえば、モジュール 4 の NAM のアドレスは、127.0.0.41 になります。
NAM の内部 IP アドレスを確認したら、ステップ 3 に進みます。
ステップ 3 set IP permit NAM-address SNMP コマンドを入力します。
考えられる原因 初期設定が正しくないか、または設定されていません。
推奨処置 「NAM の設定」の説明に従って、NAM を再設定します。
推奨処置 「HTTP または HTTP セキュア サーバの設定」の説明に従って、HTTP サーバの NAM の設定を確認します。
考えられる原因 サーバの URL またはイメージ名が正しくありません。
推奨処置 指定した URL が有効なことを確認します。URL で指定したイメージ名がシスコの正式なイメージ名であることを確認します。
考えられる原因 Web ユーザが設定されていない、またはセキュア サーバがすでにイネーブルになっています。
推奨処置 「HTTP セキュア サーバの設定」の説明に従って、Web ユーザを設定します。
考えられる原因 考えられる原因は次の 3 つです。名前とパスワードが TACACS+ サーバのログイン設定と一致しない、NAM に設定されている TACACS+ 秘密キーがサーバに設定されている秘密キーと一致しない、または NAM に正しくない TACACS+ サーバ IP アドレスが設定されている。
ステップ 2 [Admin] > [Diagnostics] > [Tech Support] を選択します。
ステップ 3 スクロール ダウンして、 /var/log/messages 領域を表示します。
ステップ 4 ログの終わり近くにある次のメッセージを探し、推奨処置を実行します。
考えられる原因 名前とパスワードが、TACACS+ サーバのログイン設定と一致していません。
推奨処置 TACACS+ サーバにログインして、NAM ユーザの認証および認可を設定します。(ログイン設定の詳細については、TACACS+ のマニュアルを参照してください)。
考えられる原因 NAM に設定されている TACACS+ 秘密キーが、TACACS+ サーバのキーと一致していません。
推奨処置 [Admin] > [User] > [TACACS+] を選択して、正しい秘密キーを入力します。
考えられる原因 NAM の TACACS+ サーバ IP アドレスの設定が正しくありません。
推奨処置 [Admin] > [User] > [TACACS+] を選択して、正しい TACACS+ サーバ アドレスを入力します。
症状 TACACS+ ユーザは正常にログインできるが、NAM アプリケーションにアクセスすると、「Not authorized...」エラー メッセージが表示される。
推奨処置 TACACS+ サーバにログインして、影響を受けているユーザにアクセス権を付与します。(ログイン設定の詳細については、TACACS+ のマニュアルを参照してください)。
症状 configure network コマンドを使用して設定をインポートすると、設定ファイルは正常にダウンロードされるが、インポート操作が失敗しエラーが表示される。
推奨処置 show log config コマンドを使用して、設定がどこで失敗したのかを確認します。無視するか、設定ファイルを修正して、 configure network コマンドを再度入力します。
症状 NAM-1 または NAM-2 のアプリケーション イメージをメンテナンス イメージにアップグレードするときに、次のメッセージが表示される。
考えられる原因 アップグレードしようとしているイメージが有効なメンテナンス イメージではありません。または、このリリースと互換性がありません。
推奨処置 NAM-1 または NAM-2 の正しいメンテナンス イメージを使用する必要があります。
症状 WS-X6380-NAM アプリケーション イメージからアップグレードするときに、次のメッセージが表示される。
考えられる原因 WS-X6380-NAM イメージは、NAM-1 や NAM-2 では使用できません。
推奨処置 WS-X6380-NAM の正しいメンテナンス イメージを使用する必要があります。NAM-1 または NAM-2 のメンテナンス イメージを使用しないでください。
症状 WS-X6380-NAM メンテナンス イメージをアップグレードするときに、次のメッセージが表示される。
次の Web ユーザ名とパスワードのガイドラインに従ってください。
• CLI のユーザ名(root または guest)およびパスワードを使用して、NAM アプリケーションにはログインできません。これらのアプリケーションは個別に管理されます。NAM のユーザ名とパスワードを使用して、NAM CLI にログインすることもできません。
Web ユーザは、ローカル データベースで作成、または TACACS+ を使用して作成できます。CLI で使用しているものと同じユーザ名とパスワードで、Web ユーザを作成できます。ただし、両方でパスワードの変更を行う必要があります。
• ローカル データベースに加えて、またはローカル データベースの代わりに TACACS+ を使用できます。(常に、ローカル データベースが先に確認されます)。TACACS+ だけを使用するには、次のいずれかの方法でローカル データベース ユーザを削除します。
– NAM CLI の rmwebusers コマンドを使用して、TACACS+ ユーザではなく、ローカル ユーザだけを削除します。これは、両者が TACACS+ サーバでは別々に管理されるためです。
– [Admin] タブで [Users] をクリックしてから、すべてのローカル データベース ユーザを個別に削除します。
• ローカル Web admin ユーザ パスワードを忘れた場合や、アカウント権限を持つ別のユーザがログインして、ローカル Web admin ユーザ パスワードを変更した場合は、パスワードを回復できます。
ステップ 3 プロンプトに対して、新しいパスワードを入力します。
ステップ 4 Y を入力して、新しいパスワードを確認します。
NAM TACACS+ の設定が誤っていて、Web インターフェイスからこの問題を解決するために、ローカル データベース ユーザ アカウントを使用できない場合、CLI インターフェイスを使用して TACACS+ の設定を修正できることがあります。
ステップ 3 コマンドに続き、TACACS+ 秘密キーを入力します。
表 5-4 は、スーパーバイザ エンジンでサポートされている MIB オブジェクトの一覧です。
スイッチの物理インターフェイスから etherStats を収集するには、スーパーバイザ エンジンで etherStatTable を設定します。etherStats は、複数の物理インターフェイスで同時に正確に収集されます。
特定の VLAN の etherStats を収集する場合は、NAM で etherStatsTable を設定します。データ ソースの場合、その VLAN に対応する ifIndex を使用します。
ここでは、NAM-1 および NAM-2 デバイスのローカル インターフェイスについて説明します。Network Analysis Module(NAM)の 4 つのバージョンは次のとおりです。
WS-SVC-NAM-1 は、ifTable に 3 個のポートとして表示されます。最初のポートは未使用です。2 番めのポートは管理ポートです。3 番めのポートは、データ ポートです(SPAN トラフィック受信用)。(Cisco IOS ソフトウェアの)スーパーバイザ エンジン CLI は、ポートを解析します(「解析モジュール . . .」)。NAM ifTable では、管理ポートは最初のポート(ifIndex.1)、データ ポートは 2 番めのポート(ifIndex.2、ifIndex.3)として表示されます。
WS-SVC-NAM-2 は、ifTable に 8 個のポートとして表示されます。ポート 1、3、4、5、および 6 は未使用です。ポート 2 は管理ポートです(WS-SVC-NAM-1 と同様)。ポート 7 と 8 はいずれもデータ ポートで、SPAN ターゲットにできます。(Cisco IOS ソフトウェアの)スーパーバイザ エンジン CLI は、ポートを解析します(「解析モジュール . . .」)。NAM の ifTable では、各インターフェイスは次のようになっています。
• ifIndex.2:最初のデータ ポート(「data port 1」)からのトラフィックを表します。
• ifIndex.3:2 番めのデータ ポート(「data port 2」)からのトラフィックを表します。
(注) NAM-1 および NAM-2 デバイスのデータ ポートは、IEEE 802.1Q トランク ポートです。パケットは、802.1Q ヘッダー(ポートのネイティブ VLAN ID があるパケットを除く)が付いた状態で受信され、パケット内のオフセット(たとえば、IP ヘッダーのフィルタ)に影響があります。
表 5-5 は、NAM のローカル インターフェイス指定の一覧です。
|
|
|
---|---|---|