• Keine Ergebnisse gefunden

Verständnis und Fehlerbehebung für HSRP- Probleme in Catalyst Switch-Netzwerken

N/A
N/A
Protected

Academic year: 2022

Aktie "Verständnis und Fehlerbehebung für HSRP- Probleme in Catalyst Switch-Netzwerken"

Copied!
55
0
0

Wird geladen.... (Jetzt Volltext ansehen)

Volltext

(1)

Verständnis und Fehlerbehebung für HSRP- Probleme in Catalyst Switch-Netzwerken

Inhalt

Einführung

Voraussetzungen Anforderungen

Verwendete Komponenten HSRP verstehen

Hintergrundinformationen Basisbetrieb

HSRP-Begriffe HSRP-Adressierung

Kommunikation über HSRP-Router

HSRP Standby-IP-Adressenkommunikation auf allen Medien außer Token Ring HSRP Standby-IP-Adressenkommunikation auf Token Ring Media

ICMP-Umleitungen HSRP-Funktionsmatrix HSRP-Funktionen Paketformat HSRP-Staaten HSRP-Timer HSRP-Ereignisse HSRP-Aktionen HSRP-Statustabelle Paketfluss

Router A-Konfiguration (aktiver Router) Router B-Konfiguration (Standby-Router) HSRP-Fallstudien zur Fehlerbehebung

Anwenderbericht Nr. 1: HSRP Standby-IP-Adresse wird als doppelte IP-Adresse gemeldet Anwenderbericht Nr. 2: HSRP-Status ständig geändert (Aktiv, Standby, Speak) oder %HSRP-6- STATECHANGE

Anwenderbericht Nr. 3: HSRP erkennt Peer nicht.

Anwenderbericht Nr. 4: HSRP-Statusänderungen und Switch-Berichte SYS-4-P2_WARN: 1/Host Anwenderbericht Nr. 5: HSRP-Statusänderungen und Switch-Berichte RTD-1-ADDR_FLAP in Syslog

Anwenderbericht Nr. 6: HSRP-Statusänderungen und Switch-Berichte MLS-4-

MOVEOVERFLOW:Zu viele Verschiebungen, Stoppen von MLS für 5 Sek. (2000000) in Syslog Anwenderbericht Nr. 7: HSRP - Änderungen des temporären Zustands im Multicast-Stub- Netzwerk

Anwenderbericht Nr. 8: Asymmetric Routing und HSRP (übermäßige Flooding des Unicast- Datenverkehrs im Netzwerk mit Routern, die HSRP ausführen)

MSFC1

(2)

MSFC2

Folgen von asymmetrischem Routing

Anwenderbericht Nr. 9: Virtuelle HSRP-IP-Adresse wird als andere IP-Adresse gemeldet Anwenderbericht Nr. 10: HSRP führt zu MAC-Verletzungen an einem sicheren Port Anwenderbericht Nr. 11: %Schnittstellenhardware unterstützt nicht mehrere Gruppen HSRP-Fehlerbehebungsmodule für CatOS-Switches

Antwort: Überprüfen der HSRP-Routerkonfiguration

1. Verifizieren der IP-Adresse der eindeutigen Router-Schnittstelle

2. Verifizieren von Standby-IP-Adressen (HSRP) und Standby-Gruppennummern

3. Überprüfen Sie, ob die Standby-IP-Adresse (HSRP) je Schnittstelle unterschiedlich ist.

4. Wann wird der Befehl standy use-bia verwendet?

5. Konfiguration der Zugriffsliste überprüfen

6. Überprüfung eindeutiger Router-Konfigurationen (MSM und 4232-L3) B. Überprüfen der Catalyst Fast EtherChannel- und Trunking-Konfiguration 1. Überprüfen der Trunking-Konfiguration

2. Überprüfen der Konfiguration des Fast EtherChannel (Port-Channeling) 3 weitere Beispielkonfigurationen für Channeling und Trunking

4. Untersuchung der Switch-MAC-Adressenweiterleitungstabelle C. Überprüfen der physischen Layer-Konnektivität

1. Schnittstellenstatus überprüfen

2. Verbindungsänderung und Port-Fehler 3. Überprüfen der IP-Verbindung

4. Überprüfen Sie die unidirektionale Verbindung.

5. Weitere Referenzen zur Fehlerbehebung auf physischen Ebenen D. Layer-3-HSRP-Debuggen

1. Standard-HSRP-Debuggen

2. Bedingtes HSRP-Debuggen (Beschränkung der Ausgabe auf Basis von Standby-Gruppen und/oder VLANs)

3. Verbessertes HSRP-Debuggen E. Spanning Tree-Fehlerbehebung

1. Überprüfen der Spanning Tree-Konfiguration 2. Bedingungen für Spanning Tree Loop

3. Benachrichtigung zu Topologieänderungen 4. Nicht verbundene blockierte Ports

5. Broadcast-Unterdrückung 6. Konsolen- und Telnet-Zugriff

7. Spanning Tree-Funktionen: Portfast, UplinkFast und BackboneFast 8. BPDU-Guard

9. VTP-Bereinigung

F. CGMP-Leave-Verarbeitung und HSRP-Interoperabilität G. Teilen und erobern

H. Hohe CPU mit asymmetrischem Datenverkehr im HSRP Bekannte Probleme

Anzahl unterstützter HSRP-Gruppen für Catalyst 6500/6000 Series PFC2/MSFC2 und Catalyst 3550

(3)

HSRP-Statusflapping/instabil bei Verwendung von Cisco 2620/2621, Cisco 3600 mit Fast Ethernet oder PA-2FEISL

HSRP im Anfangszustand oder im aktiven Status bei Cisco 2620/2621, Cisco 3600 mit Fast Ethernet oder PA-2FEISL

Ping der HSRP-Standby-Adresse auf Cisco Routern der Serien 2500 und 4500 nicht möglich MLS-Datenflüsse werden nicht für Geräte erstellt, die die HSRP-Standby-IP-Adresse als Standard-Gateway verwenden.

Interoperabilitätsprobleme mit Catalyst 2948G, 2980G, 4912G, 4003 und 4006 HSRP-CGMP Zugehörige Informationen

Einführung

Aufgrund der Beschaffenheit des Hot Standby Router Protocol (HSRP) können spezifische Netzwerkprobleme zu Instabilität des HSRP führen. Dieses Dokument behandelt häufige

Probleme und Möglichkeiten zur Behebung von HSRP-Problemen. Die meisten HSRP-bezogenen Probleme sind keine echten HSRP-Probleme. Stattdessen sind es Netzwerkprobleme, die das Verhalten von HSRP beeinflussen.

In diesem Dokument werden die häufigsten Probleme im Zusammenhang mit HSRP behandelt:

Routerbericht einer doppelten HSRP-Standby-IP-Adresse

Konstante HSRP-Statusänderungen (aktiv, Standby, Sprechen)

HSRP-Peers fehlt

Switch-Fehlermeldungen in Bezug auf HSRP

Übermäßige Netzwerk-Unicast-Flooding zur HSRP-Konfiguration

Hinweis: In diesem Dokument wird die Fehlerbehebung für HSRP in Catalyst Switch- Umgebungen beschrieben. Das Dokument enthält zahlreiche Verweise auf

Softwareversionen und das Netzwerktopologiedesign. Dennoch soll dieses Dokument lediglich den Technikern die Fehlerbehebung für HSRP erleichtern und erleichtern. Dieses Dokument ist nicht als Designleitfaden, Dokument mit Software-Empfehlungen oder als Dokument mit Best Practices vorgesehen.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten

Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

(4)

HSRP verstehen

Hintergrundinformationen

Unternehmen und Verbraucher, die für ihre geschäftskritische Kommunikation auf Intranet- und Internetdienste angewiesen sind, erwarten und erwarten, dass ihre Netzwerke und Anwendungen ihnen stets zur Verfügung stehen. Kunden können ihre Anforderungen nach einer

Netzwerkverfügbarkeit von fast 100 Prozent erfüllen, wenn sie das HSRP in der Cisco IOS®

Software nutzen. HSRP, das auf Cisco Plattformen beschränkt ist, bietet Netzwerkredundanz für IP-Netzwerke, sodass der Benutzerdatenverkehr sofort und transparent nach First-Hop-Ausfällen in Netzwerk-Edge-Geräten oder Zugriffsschaltungen wiederhergestellt wird.

Zwei oder mehr Router können als ein einzelner, virtueller Router fungieren, wenn sie eine IP- Adresse und eine MAC-Adresse (Layer 2 [L2]) gemeinsam nutzen. Die Adresse ist für die

Standard-Gateway-Redundanz der Host-Workstation erforderlich. Die meisten Host-Workstations enthalten keine Routing-Tabellen und verwenden nur eine einzige Next-Hop-IP- und MAC-

Adresse. Diese Adresse wird als Standard-Gateway bezeichnet. Bei HSRP tauschen Mitglieder der Gruppe virtueller Router kontinuierlich Statusmeldungen aus. Ein Router kann die Routing- Verantwortung eines anderen Routers übernehmen, wenn ein Router aus geplanten oder ungeplanten Gründen außer Betrieb genommen wird. Die Hosts werden mit einem einzigen Standard-Gateway konfiguriert und leiten IP-Pakete weiter an eine konsistente IP- und MAC- Adresse weiter. Der Wechsel der Geräte, die das Routing durchführen, ist für die Endworkstations transparent.

Hinweis: Sie können Host-Workstations konfigurieren, auf denen Microsoft OS für mehrere Standard-Gateways ausgeführt wird. Die verschiedenen Standard-Gateways sind jedoch nicht dynamisch. Das Betriebssystem verwendet jeweils nur ein Standard-Gateway. Das System wählt zum Zeitpunkt des Bootvorgangs nur dann ein zusätzliches konfiguriertes Standardgateway aus, wenn das erste konfigurierte Standardgateway vom Internet Control Management Protocol (ICMP) als nicht erreichbar eingestuft wird.

Basisbetrieb

Eine Reihe von Routern, auf denen HSRP ausgeführt wird, vermittelt den Hosts im LAN den Eindruck, dass ein einzelner Standard-Gateway-Router vorhanden ist. Diese Router werden als HSRP-Gruppe oder Standby-Gruppe bezeichnet. Ein einzelner Router, der aus der Gruppe

gewählt wird, ist für die Weiterleitung der Pakete verantwortlich, die Hosts an den virtuellen Router senden. Dieser Router wird als aktiver Router bezeichnet. Ein anderer Router wird als Standby- Router ausgewählt. Wenn der aktive Router ausfällt, übernimmt der Standby-Router die

Paketweiterleitungsaufgaben. Obwohl HSRP auf einer beliebigen Anzahl von Routern ausgeführt werden kann, leitet nur der aktive Router die Pakete weiter, die an die IP-Adresse des virtuellen Routers gesendet werden.

Um den Netzwerkverkehr zu minimieren, senden nur die aktiven Router und die Standby-Router nach Abschluss des Wahlvorgangs regelmäßig HSRP-Nachrichten. Weitere Router in der HSRP- Gruppe verbleiben im Listen-Status. Wenn der aktive Router ausfällt, übernimmt der Standby- Router die Rolle des aktiven Routers. Wenn der Standby-Router ausfällt oder zum aktiven Router wird, wird ein anderer Router als Standby-Router ausgewählt.

Jede Standby-Gruppe emuliert einen einzelnen virtuellen Router (Standard-Gateway). Für jede

(5)

Gruppe wird dieser Gruppe eine einzige bekannte MAC- und IP-Adresse zugewiesen. Mehrere Standby-Gruppen können in einem LAN gleichzeitig vorhanden und sich überschneiden, und einzelne Router können mehreren Gruppen angehören. In diesem Fall behält der Router einen separaten Status und Timer für jede Gruppe bei.

HSRP-Begriffe

Begriff Definition

Aktiver Router Der Router, der derzeit Pakete für den virtuellen Router weiterleitet Standby-Router Der primäre Backup-Router

Standby-Gruppe Die Router, die am HSRP teilnehmen und gemeinsam einen virtuellen Router emulieren Hello-Zeit Das Intervall zwischen aufeinander folgenden HSRP-Hello-Nachrichten von einem

bestimmten Router

Haltezeit Das Intervall zwischen dem Empfang einer Hello-Nachricht und der Vermutung, dass der sendende Router ausgefallen ist

HSRP-Adressierung

Kommunikation über HSRP-Router

Router, die HSRP ausführen, übermitteln HSRP-Informationen untereinander über HSRP-Hello- Pakete. Diese Pakete werden an die Ziel-IP-Multicast-Adresse 224.0.0.2 im User Datagram Protocol (UDP)-Port 1985 gesendet. Die IP-Multicast-Adresse 224.0.0.2 ist eine reservierte

Multicast-Adresse, die für die Kommunikation mit allen Routern verwendet wird. Der aktive Router sendet Hello-Pakete von seiner konfigurierten IP-Adresse und der virtuellen HSRP-MAC-Adresse.

Der Standby-Router löst Hellos aus seiner konfigurierten IP-Adresse und der verbrannten MAC- Adresse (BIA). Diese Quelladressierung ist erforderlich, damit HSRP-Router einander richtig identifizieren können.

Wenn Sie Router als Teil einer HSRP-Gruppe konfigurieren, überwachen die Router in den meisten Fällen die HSRP-MAC-Adresse für diese Gruppe sowie ihre eigene BIA. Die einzige Ausnahme von diesem Verhalten sind Cisco Router der Serien 2500, 4000 und 4500. Diese Router verfügen über Ethernet-Hardware, die nur eine einzige MAC-Adresse erkennt. Daher verwenden diese Router die HSRP-MAC-Adresse, wenn sie als aktiver Router fungieren. Die Router verwenden ihre BIA, wenn sie als Standby-Router fungieren.

HSRP Standby-IP-Adressenkommunikation auf allen Medien außer Token Ring

Da Host-Workstations mit ihrem Standard-Gateway als HSRP-Standby-IP-Adresse konfiguriert sind, müssen Hosts mit der MAC-Adresse kommunizieren, die der HSRP-Standby-IP-Adresse zugeordnet ist. Diese MAC-Adresse ist eine virtuelle MAC-Adresse, die aus 0000.0c07.ac**

besteht. Das ** ist die HSRP-Gruppennummer im hexadezimalen Format, basierend auf der

jeweiligen Schnittstelle. Beispiel: Die HSRP-Gruppe 1 verwendet die virtuelle HSRP-MAC-Adresse 000.0c07.ac01. Hosts im benachbarten LAN-Segment verwenden den normalen ARP-Prozess (Address Resolution Protocol), um die zugehörigen MAC-Adressen aufzulösen.

HSRP Standby-IP-Adressenkommunikation auf Token Ring Media

Token Ring-Schnittstellen verwenden funktionale Adressen für die HSRP-MAC-Adresse.

Funkadressen sind der einzige allgemein verfügbare Multicast-Mechanismus. Es ist nur eine

(6)

begrenzte Anzahl funktionaler Token Ring-Adressen verfügbar, und viele dieser Adressen sind für andere Funktionen reserviert. Diese drei Adressen sind die einzigen Adressen, die für die

Verwendung mit HSRP verfügbar sind:

c000.0001.0000 (group 0) c000.0002.0000 (group 1) c000.0004.0000 (group 2)

Daher können Sie nur drei HSRP-Gruppen an Token Ring-Schnittstellen konfigurieren, es sei denn, Sie konfigurieren den Standby-Use-bia-Parameter.

ICMP-Umleitungen

HSRP-Peer-Router, die ein Subnetz schützen, können den Zugriff auf alle anderen Subnetze im Netzwerk ermöglichen. Dies ist die Grundlage für HSRP. Aus diesem Grund ist es irrelevant, welcher Router zum aktiven HSRP-Router wird. In Cisco IOS-Softwareversionen vor Version 12.1(3)T der Cisco IOS-Software werden ICMP-Umleitungen auf einer Schnittstelle automatisch deaktiviert, wenn HSRP auf dieser Schnittstelle verwendet wird. Ohne diese Konfiguration können die Hosts von der virtuellen HSRP-IP-Adresse weg zu einer IP- und MAC-Schnittstellenadresse eines einzelnen Routers umgeleitet werden. Die Redundanz geht verloren.

In der Cisco IOS Software-Version 12.1(3)T wird eine Methode eingeführt, mit der ICMP- Umleitungen mit HSRP zugelassen werden. Diese Methode filtert ausgehende ICMP-

Weiterleitungsnachrichten über HSRP. Die nächste Hop-IP-Adresse wird in eine virtuelle HSRP- Adresse geändert. Die Gateway-IP-Adresse in der ausgehenden ICMP-Umleitungsmeldung wird mit einer Liste der aktiven HSRP-Router verglichen, die in diesem Netzwerk vorhanden sind.

Wenn der Router, der der Gateway-IP-Adresse entspricht, ein aktiver Router für eine HSRP- Gruppe ist, wird die Gateway-IP-Adresse durch diese Gruppen-IP-Adresse ersetzt. Diese Lösung ermöglicht es Hosts, optimale Routen zu Remote-Netzwerken zu erlernen und gleichzeitig die Ausfallsicherheit zu erhalten, die HSRP bietet.

HSRP-Funktionsmatrix

Im Abschnitt Cisco IOS Release and HSRP Funcabilities Matrix (Cisco IOS Release- und HSRP- Funktionsmatrix) unter Hot Standby Router Protocol Features and Function (Hot Standby Router Protocol-Funktionen) erfahren Sie mehr über die Funktionen und Versionen der Cisco IOS Software, die HSRP unterstützen.

HSRP-Funktionen

Informationen zu den meisten HSRP-Funktionen finden Sie unter Hot Standby Router Protocol Features and Funcabilities. Dieses Dokument enthält Informationen zu den folgenden HSRP- Funktionen:

Freischaltung

Schnittstellen-Nachverfolgung

Nutzung einer BIA

Mehrere HSRP-Gruppen

Konfigurierbare MAC-Adressen

Syslog-Unterstützung

HSRP-Debugging

(7)

Verbessertes HSRP-Debugging

Authentifizierung

IP-Redundanz

Simple Network Management Protocol (SNMP) MIB

HSRP für Multiprotocol Label Switching (MPLS)

Hinweis: Sie können die Funktion "Suchen" Ihres Browsers verwenden, um diese Abschnitte im Dokument zu suchen.

Paketformat

Diese Tabelle zeigt das Format der Datenkomponente des UDP-HSRP-Frames:

Version Op-Code Staat Hellotime Wartezeit Priorität Gruppe Reserviert Authentifizierungsdaten

Authentifizierungsdaten Virtuelle IP-Adresse

In dieser Tabelle werden die Felder im HSRP-Paket beschrieben:

Paketfeld Beschreibung

Op-Code (1 Oktett)

Der Betriebscode beschreibt die Art der Nachricht, die das Paket enthält. Mögliche Werte sind: 0 - Hallo, 1 - Staatsstreich und 2 - Rücktritt. Hello-Nachrichten werden gesendet, um anzuzeigen, dass ein Router HSRP ausführt und der aktive Router werden kann. Coup-Nachrichten werden gesendet, wenn ein Router aktiv werden möchte. Nachrichten werden gesendet, wenn ein Router nicht mehr der aktive Router sein möchte.

Staat (1 Oktett)

Jeder Router in der Standby-Gruppe implementiert ein Statussystem. Das

Statusfeld beschreibt den aktuellen Status des Routers, der die Nachricht sendet.

Einzelheiten zu den einzelnen Staaten: 0 - anfänglich, 1 - learn, 2 - listen, 4 - speak, 8 - standby und 16 - active.

Hellotime (1 Oktett)

Dieses Feld ist nur in Begrüßungsmeldungen sinnvoll. Sie enthält den ungefähren Zeitraum zwischen den Hello-Nachrichten, die der Router sendet. Die Zeit wird in Sekunden angegeben.

Holdtime (1 Oktett)

Dieses Feld ist nur in Begrüßungsmeldungen sinnvoll. Sie enthält die Zeitdauer, die die Router auf eine Hello-Nachricht warten, bevor sie eine Statusänderung

initiieren.

Priorität (1 Oktett)

In diesem Feld werden die aktiven Router und die Standby-Router ausgewählt. Im Vergleich zu den Prioritäten von zwei Routern wird der Router mit dem höchsten Wert zum aktiven Router. Der Krawatte-Breaker ist der Router mit der höheren IP- Adresse.

Gruppe (1 Oktett) Dieses Feld gibt die Standby-Gruppe an.

Authentifizierungsdaten

(8 Oktette) Dieses Feld enthält ein 8-stelliges Klartext-Kennwort.

Virtuelle IP-Adresse (4 Oktette)

Wenn die virtuelle IP-Adresse nicht auf einem Router konfiguriert ist, kann die Adresse aus der Hello-Nachricht des aktiven Routers abgerufen werden. Eine Adresse wird nur abgerufen, wenn keine HSRP-Standby-IP-Adresse konfiguriert wurde und die Hello-Nachricht authentifiziert wurde (wenn die Authentifizierung konfiguriert ist).

HSRP-Staaten

(8)

Staat Definition

Anfänglich

Dies ist der Zustand zu Beginn. Dieser Status gibt an, dass HSRP nicht ausgeführt wird. Dieser Zustand wird durch eine Konfigurationsänderung oder wenn eine Schnittstelle erstmals verfügbar ist, eingegeben.

Lernen

Der Router hat die virtuelle IP-Adresse nicht ermittelt und noch keine authentifizierte Hello-Nachricht vom aktiven Router erhalten. In diesem Zustand wartet der Router immer noch auf das Abhören vom aktiven Router.

Zuhören Der Router kennt die virtuelle IP-Adresse, aber der Router ist weder der aktive noch der Standby- Router. Er hört Hello-Nachrichten von diesen Routern ab.

Sprechen

Der Router sendet regelmäßig Hello-Nachrichten und nimmt aktiv an der Auswahl des aktiven und/oder Standby-Routers teil. Ein Router kann nur dann in den Sprachstatus wechseln, wenn der Router über die virtuelle IP-Adresse verfügt.

Standby

Der Router ist ein Kandidat für die Rolle des nächsten aktiven Routers und sendet regelmäßig Hello-Nachrichten. Unter Ausschluss vorübergehender Bedingungen befindet sich in der Gruppe höchstens ein Router im Standby-Zustand.

Aktiv

Der Router leitet derzeit Pakete weiter, die an die virtuelle MAC-Adresse der Gruppe gesendet werden. Der Router sendet regelmäßig Hello-Nachrichten. Unter Ausschluss vorübergehender Bedingungen muss es in der Gruppe höchstens einen Router im aktiven Zustand geben.

HSRP-Timer

Jeder Router verwendet im HSRP nur drei Timer. Die Timer geben Hello-Nachrichten an. Die Konvergenz des HSRP hängt bei einem Ausfall davon ab, wie die HSRP Hello- und Hold-Timer konfiguriert werden. Standardmäßig sind diese Timer auf 3 bzw. 10 Sekunden eingestellt. Das bedeutet, dass alle 3 Sekunden ein Hello-Paket zwischen den HSRP-Standby-Gruppengeräten gesendet wird und das Standby-Gerät aktiviert wird, wenn ein Hello-Paket 10 Sekunden lang nicht empfangen wurde. Sie können diese Timer-Einstellungen reduzieren, um das Failover oder die Freischaltung zu beschleunigen. Um jedoch eine erhöhte CPU-Auslastung und unnötiges Flapping im Standby-Zustand zu vermeiden, sollten Sie den Hello-Timer nicht unter eine (1) Sekunde oder den Hold-Timer unter 4 Sekunden setzen. Wenn Sie den HSRP-Verfolgungsmechanismus

verwenden und die verfolgte Verbindung ausfällt, erfolgt die Failover- oder Freischaltung sofort, unabhängig von den Hello- und Hold-Timern. Wenn ein Timer abläuft, wechselt der Router in einen neuen HSRP-Status. Die Timer können mit dem folgenden Befehl geändert werden:

Standby-Timer [Gruppennummer] für die Ausfallzeit. Beispiel: Standby-1-Timer 5 15.

Diese Tabelle enthält weitere Informationen zu diesen Timern:

Timer Beschreibung Aktiver Timer

Dieser Timer wird zur Überwachung des aktiven Routers verwendet. Dieser Timer startet jedes Mal, wenn ein aktiver Router ein Hello-Paket empfängt. Dieser Timer läuft entsprechend dem Wert für die Haltezeit ab, der im zugehörigen Feld der HSRP-Hello-Nachricht festgelegt ist.

Standby-Timer

Dieser Timer wird zur Überwachung des Standby-Routers verwendet. Der Timer startet jedes Mal, wenn der Standby-Router ein Hello-Paket empfängt. Dieser Timer läuft entsprechend dem im entsprechenden Hello-Paket festgelegten Wert für die Haltezeit ab.

Hello-Timer Dieser Timer wird zum Takten von Hello-Paketen verwendet. Alle HSRP-Router in einem beliebigen HSRP-Status generieren ein Hello-Paket, wenn dieser Hello-Timer abläuft.

HSRP-Ereignisse

Diese Tabelle enthält die Ereignisse im HSRP-Endpunkt-System:

Schlüssel Veranstaltungen

(9)

1 HSRP wird auf einer aktivierten Schnittstelle konfiguriert.

2 HSRP ist auf einer Schnittstelle deaktiviert, oder die Schnittstelle ist deaktiviert.

1 Aktives Timer-Ablaufdatum Der aktive Timer wird auf die Haltezeit festgelegt, wenn die letzte Hello- Nachricht vom aktiven Router angezeigt wird.

4 Standby-Timer-Ablaufdatum Der Standby-Timer wird auf die Haltezeit festgelegt, wenn die letzte Hello-Nachricht vom Standby-Router aus angezeigt wird.

5 Hello-Timer-Ablaufdatum Der periodische Timer für das Senden von Hello-Nachrichten ist abgelaufen.

6 Empfang einer Hello-Nachricht mit höherer Priorität von einem Router im Sprechzustand 7 Empfang einer Hello-Nachricht mit höherer Priorität vom aktiven Router

8 Empfang einer Hello-Nachricht mit niedrigerer Priorität vom aktiven Router 9 Empfang einer Rückgabemeldung vom aktiven Router

10 Empfang einer Coup-Nachricht von einem Router mit höherer Priorität 11 Empfang einer Hello-Nachricht mit höherer Priorität vom Standby-Router 12 Empfang einer Hello-Nachricht mit niedrigerer Priorität vom Standby-Router

HSRP-Aktionen

In dieser Tabelle werden die Aktionen angegeben, die als Teil des Statuscomputers ausgeführt werden sollen:

Brief Aktion A

Aktiver Timer starten - Wenn diese Aktion aufgrund des Empfangs einer authentifizierten Hello-Nachricht vom aktiven Router auftritt, wird der aktive Timer in der Hello-Nachricht auf das Feld Haltezeit festgelegt.

Andernfalls wird der aktive Timer auf den aktuellen Wert für die Haltezeit festgelegt, der von diesem Router verwendet wird. Der aktive Timer wird dann gestartet.

B

Start Standby-Timer - Wenn diese Aktion durch den Empfang einer authentifizierten Hello-Nachricht vom Standby-Router ausgelöst wird, wird der Standby-Timer in der Hello-Nachricht auf das Feld "Hold Time"

(Haltezeit) gesetzt. Andernfalls wird der Standby-Timer auf den aktuellen Wert für die Haltezeit festgelegt, der von diesem Router verwendet wird. Der Standby-Timer wird dann gestartet.

C Stoppen des aktiven Timers - Der aktive Timer wird angehalten.

D Stoppen des Standby-Timers - Der Standby-Timer wird angehalten.

E

Learn parameters (Lernparameter): Diese Aktion wird durchgeführt, wenn eine authentifizierte Nachricht vom aktiven Router empfangen wird. Wenn die virtuelle IP-Adresse für diese Gruppe nicht manuell konfiguriert wird, kann die virtuelle IP-Adresse aus der Nachricht gelernt werden. Der Router kann Hello- und Hold-Time-Werte aus der Nachricht erlernen.

F Hello-Nachricht senden: Der Router sendet eine Hello-Nachricht mit dem aktuellen Status, der Hello-Zeit und der Haltezeit.

G Coup-Nachricht senden - Der Router sendet eine Coup-Nachricht, um den aktiven Router darüber zu informieren, dass ein Router mit höherer Priorität verfügbar ist.

H Nachricht zum Zurücksenden - Der Router sendet eine Meldung zum Zurücksetzen, um es einem anderen Router zu ermöglichen, der aktive Router zu werden.

I

Gratis-ARP-Nachricht senden - Der Router sendet ein ARP-Antwortpaket, das die virtuellen IP- und MAC- Adressen der Gruppe meldet. Das Paket wird mit der virtuellen MAC-Adresse als Quell-MAC-Adresse im Link Layer-Header sowie im ARP-Paket gesendet.

HSRP-Statustabelle

Das Diagramm in diesem Abschnitt zeigt die Zustandsübergänge des HSRP-Zustandscomputers.

Jedes Mal, wenn ein Ereignis auftritt, werden die zugehörigen Aktionen ausgeführt, und der Router wechselt zum nächsten HSRP-Status. Im Diagramm kennzeichnen Zahlen Ereignisse und Buchstaben die zugeordnete Aktion. Die Tabelle im Abschnitt HSRP-Ereignisse definiert die

(10)

Zahlen, und die Tabelle im Abschnitt HSRP-Aktionen definiert die Buchstaben. Verwenden Sie dieses Diagramm nur als Referenz. Das Diagramm ist detailliert und ist für allgemeine

Fehlerbehebungszwecke nicht erforderlich.

Ein hochauflösendes Bild des Diagramms finden Sie unter HSRP-Zustandsoperation.

Paketfluss

Gerät MAC-Adresse IP-Adresse Subnetzmaske Standard-Gateway PC1 0000,0c00,0001 10.1.1.10 255.255.255,0 10.1.1.1

PC2 0000,0c00,1110 10.1.2.10 255.255.255,0 10.1.2.1 Router A-Konfiguration (aktiver Router)

interface ethernet 0

ip address 10.1.1.2 255.255.255.0

(11)

mac-address 4000.0000.0010 standby 1 ip 10.1.1.1 standby 1 priority 200 interface ethernet 1

ip address 10.1.2.2 255.255.255.0 mac-address 4000.0000.0011

standby 1 ip 10.1.2.1 standby 1 priority 200

Router B-Konfiguration (Standby-Router)

interface ethernet 0

ip address 10.1.1.3 255.255.225.0 mac-address 4000.0000.0020

standby 1 ip 10.1.1.1 interface ethernet 1

ip address 10.1.2.3 255.255.255.0 mac-address 4000.0000.0021

standby 1 ip 10.1.2.1

Hinweis: In diesen Beispielen werden statische MAC-Adressen nur zu Illustrationszwecken konfiguriert. Konfigurieren Sie statische MAC-Adressen nur, wenn Sie dazu aufgefordert werden.

Sie müssen das Konzept des Paketflusses verstehen, wenn Sie Sniffer-Traces erhalten, um HSRP-Probleme zu beheben. Router A verwendet die Priorität 200 und wird auf beiden

Schnittstellen zum aktiven Router. Im Beispiel in diesem Abschnitt haben Pakete des Routers, die für eine Host-Workstation bestimmt sind, die Quell-MAC-Adresse der physischen MAC-Adresse (BIA) des Routers. Pakete von den Host-Computern, die für die HSRP-IP-Adresse bestimmt sind, haben die Ziel-MAC-Adresse der virtuellen HSRP-MAC-Adresse. Beachten Sie, dass die MAC- Adressen nicht für jeden Datenfluss zwischen Router und Host identisch sind.

Diese Tabelle zeigt die entsprechenden MAC- und IP-Adressinformationen pro Datenfluss auf der Grundlage eines Sniffer-Trace, der von Switch X übernommen wird.

Paketfluss Quell-MAC Ziel-MAC Quell-IP Ziel-IP

Pakete von PC1, die für PC2 bestimmt sind

PC1

(0000.0c00.0001)

Virtuelle HSRP-MAC-Adresse des Routers A-Schnittstelle Ethernet 0 (0000.0c07.ac01)

10.1.1.10 10.1.2.10 Pakete, die von PC2 über

Router A zurückgeleitet werden und für PC1 bestimmt sind

Router A Ethernet 0 BIA

(4000.000.0010)

PC1 (0000.0c00.0001) 10.1.2.10 10.1.1.10 Pakete von PC1, die für die

HSRP-Standby-IP-Adresse (ICMP, Telnet) bestimmt sind

PC1

(0000.0c00.0001)

Virtuelle HSRP-MAC-Adresse des Routers A-Schnittstelle Ethernet 0 (0000.0c07.ac01)

10.1.1.10 10.1.1.1 Pakete, die für die tatsächliche

IP-Adresse des aktiven Routers bestimmt sind (ICMP, Telnet)

PC1

(0000.0c00.0001)

Router A Ethernet 0 BIA

(4000.000.0010) 10.1.1.10 10.1.1.2

Pakete, die für die tatsächliche IP-Adresse des Standby- Routers (ICMP, Telnet) bestimmt sind

PC1

(0000.0c00.0001)

Router B Ethernet 0 BIA

(4000.000.0020) 10.1.1.10 10.1.1.3

HSRP-Fallstudien zur Fehlerbehebung

(12)

Anwenderbericht Nr. 1: HSRP Standby-IP-Adresse wird als doppelte IP-Adresse gemeldet

Diese Fehlermeldungen können angezeigt werden:

Oct 12 13:15:41: %STANDBY-3-DUPADDR: Duplicate address 10.25.0.1 on Vlan25, sourced by 0000.0c07.ac19

Oct 13 16:25:41: %STANDBY-3-DUPADDR: Duplicate address 10.25.0.1 on Vlan25, sourced by 0000.0c07.ac19

Oct 15 22:31:02: %STANDBY-3-DUPADDR: Duplicate address 10.25.0.1 on Vlan25, sourced by 0000.0c07.ac19

Oct 15 22:41:01: %STANDBY-3-DUPADDR: Duplicate address 10.25.0.1 on Vlan25, sourced by 0000.0c07.ac19

Diese Fehlermeldungen weisen nicht notwendigerweise auf ein HSRP-Problem hin. Vielmehr weisen die Fehlermeldungen auf ein mögliches STP-Loop- oder Router/Switch-

Konfigurationsproblem hin. Die Fehlermeldungen sind nur Symptome eines anderen Problems.

Darüber hinaus verhindern diese Fehlermeldungen nicht den ordnungsgemäßen Betrieb von HSRP. Das doppelte HSRP-Paket wird ignoriert. Diese Fehlermeldungen werden alle 30

Sekunden ausgelöst. Eine langsame Netzwerkleistung und ein Paketverlust können jedoch auf die Instabilität des Netzwerks zurückzuführen sein, die die STANDBY-3-DUPADDR-Fehlermeldungen der HSRP-Adresse verursacht.

Diese Fehlermeldungen können angezeigt werden:

Oct 15 22:41:01: %STANDBY-3-DUPADDR: Duplicate address 10.25.0.1 on Vlan25, sourced by 0000.0c07.ac19

Diese Meldungen weisen ausdrücklich darauf hin, dass der Router ein Datenpaket erhalten hat, das von der HSRP-IP-Adresse im VLAN 25 mit den MAC-Adressen 000.0c07.ac19 stammt. Da die HSRP-MAC-Adresse "0000.0c07.ac19" lautet, wurde entweder der betreffende Router mit einem eigenen Paket-Back empfangen, oder beide Router in der HSRP-Gruppe wechselten in den

aktiven Zustand. Da der Router ein eigenes Paket erhalten hat, liegt das Problem

höchstwahrscheinlich eher beim Netzwerk als beim Router. Eine Vielzahl von Problemen kann dieses Verhalten verursachen. Zu den möglichen Netzwerkproblemen, die Fehlermeldungen verursachen, gehören:

vorübergehende STP-Schleifen

EtherChannel-Konfigurationsprobleme

Duplizierte Frames

Wenn Sie diese Fehlermeldungen beheben, lesen Sie die Schritte zur Fehlerbehebung im Abschnitt HSRP-Fehlerbehebungsmodule für CatOS-Switches in diesem Dokument. Alle Fehlerbehebungsmodule gelten für diesen Abschnitt, der Module zur Konfiguration enthält.

Beachten Sie außerdem alle Fehler im Switch-Protokoll und verweisen Sie ggf. auf zusätzliche Fallstudien.

Sie können eine Zugriffsliste verwenden, um zu verhindern, dass der aktive Router ein eigenes Multicast-Hello-Paket erhält. Dies ist jedoch nur eine Problemumgehung für die Fehlermeldungen und verbirgt das Symptom des Problems. Die Lösung besteht darin, eine erweiterte Liste

eingehender Zugriffe auf die HSRP-Schnittstellen anzuwenden. Die Zugriffsliste blockiert den gesamten Datenverkehr, der von der physischen IP-Adresse stammt und für alle Multicast- Adressen 224.0.0.2 der Router bestimmt ist.

(13)

access-list 101 deny ip host 172.16.12.3 host 224.0.0.2 access-list 101 permit ip any any

interface ethernet 0

ip address 172.16.12.3 255.255.255.0 standby 1 ip 172.16.12.1

ip access-group 101 in

Anwenderbericht Nr. 2: HSRP-Status ständig geändert (Aktiv, Standby, Speak) oder

%HSRP-6-STATECHANGE

Diese Fehlermeldungen können angezeigt werden:

Jan 9 08:00:42.623: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Standby -> Active

Jan 9 08:00:56.011: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Active -> Speak

Jan 9 08:01:03.011: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Speak -> Standby

Jan 9 08:01:29.427: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Standby -> Active

Jan 9 08:01:36.808: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Active -> Speak

Jan 9 08:01:43.808: %STANDBY-6-STATECHANGE: Standby: 49:

Vlan149 state Speak -> Standby

Diese Fehlermeldungen beschreiben eine Situation, in der ein Standby-HSRP-Router keine drei aufeinander folgenden HSRP-Hello-Pakete von seinem HSRP-Peer empfangen hat. Die Ausgabe zeigt, dass der Standby-Router vom Standby-Zustand in den aktiven Zustand wechselt. Kurz danach kehrt der Router in den Standby-Status zurück. Wenn diese Fehlermeldung während der Erstinstallation nicht auftritt, wird die Fehlermeldung wahrscheinlich nicht durch ein HSRP- Problem angezeigt. Die Fehlermeldungen zeigen den Verlust von HSRP-Hellos zwischen den Peers an. Wenn Sie dieses Problem beheben, müssen Sie die Kommunikation zwischen den HSRP-Peers überprüfen. Ein zufälliger, vorübergehender Verlust der Datenkommunikation zwischen den Peers ist das häufigste Problem, das zu diesen Meldungen führt. HSRP- Statusänderungen sind häufig auf eine hohe CPU-Auslastung zurückzuführen. Wenn die

Fehlermeldung auf eine hohe CPU-Auslastung zurückzuführen ist, legen Sie einen Sniffer in das Netzwerk ein, und verfolgen Sie das System, das die hohe CPU-Auslastung verursacht.

Es gibt mehrere mögliche Ursachen für den Verlust von HSRP-Paketen zwischen den Peers. Die häufigsten Probleme sind Probleme auf physischer Ebene, übermäßiger Netzwerkverkehr

aufgrund von Spanning Tree-Problemen oder übermäßiger Datenverkehr, der von jedem VLAN verursacht wird. Wie bei Anwenderbericht Nr. 1 gelten alle Fehlerbehebungsmodule für die Auflösung von HSRP-Zustandsänderungen, insbesondere für das Layer-3-HSRP-Debugging.

Wenn der Verlust von HSRP-Paketen zwischen Peers auf einen übermäßigen Datenverkehr zurückzuführen ist, der von den einzelnen VLANs wie erwähnt verursacht wurde, können Sie die SPD-Größe einstellen oder erhöhen und die Warteschlangengröße halten, um das Problem beim Verwerfen der Eingangsposten zu überwinden.

Um die Größe des Selective Packet Discard (SPD) zu erhöhen, wechseln Sie in den

Konfigurationsmodus, und führen Sie die folgenden Befehle auf den Cat6500-Switches aus:

(config)# ip spd queue max-threshold 600

!--- Hidden Command (config)# ip spd queue min-threshold 500

(14)

!--- Hidden Command

Um die Warteschlangengröße zu erhöhen, wechseln Sie zum VLAN-Schnittstellenmodus, und führen Sie den folgenden Befehl aus:

(config-if)# hold-queue 500 in

Nachdem Sie die SPD- und Hold-Queue-Größe erhöht haben, können Sie die

Schnittstellenindikatoren löschen, wenn Sie den Befehl clear counter interface ausführen.

Anwenderbericht Nr. 3: HSRP erkennt Peer nicht.

Die Routerausgabe in diesem Abschnitt zeigt einen Router, der für HSRP konfiguriert ist, dessen HSRP-Peers jedoch nicht erkennt. Damit dies geschieht, muss der Router keine HSRP-Hellos vom Nachbarrouter empfangen können. Wenn Sie dieses Problem beheben, lesen Sie den Abschnitt Überprüfen der physischen Layer-Konnektivität und den Abschnitt Überprüfen der HSRP-Router-Konfiguration dieses Dokuments. Wenn die physische Layer-Konnektivität korrekt ist, überprüfen Sie, ob die VTP-Modi nicht übereinstimmen.

Vlan8 - Group 8

Local state is Active, priority 110, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:01.168

Hot standby IP address is 10.1.2.2 configured Active router is local

Standby router is unknown expired

Standby virtual mac address is 0000.0c07.ac08 5 state changes, last state change 00:05:03

Anwenderbericht Nr. 4: HSRP-Statusänderungen und Switch-Berichte SYS-4- P2_WARN: 1/Host <mac_address> flapping zwischen Port <Port_1> und Port

<Port_2> in Syslog

Diese Fehlermeldungen können angezeigt werden:

2001 Jan 03 14:18:43 %SYS-4-P2_WARN: 1/Host 00:00:0c:14:9d:08 is flapping between port 2/4 and port 2/3

In der Softwareversion 5.5.2 und höher für Catalyst 4500/4000 und 2948G meldet der Switch eine Host-MAC-Adresse, die sich bewegt, wenn die Host-MAC-Adresse innerhalb von 15 Sekunden zweimal bewegt wird. Eine häufige Ursache ist eine STP-Schleife. Der Switch verwirft etwa 15 Sekunden lang Pakete von diesem Host, um die Auswirkungen einer STP-Schleife zu minimieren.

Wenn die MAC-Adresse zwischen zwei Ports verschoben wird, die als virtuelle HSRP-MAC- Adresse angegeben werden, ist das Problem höchstwahrscheinlich ein Problem, bei dem beide HSRP-Router in den aktiven Zustand wechseln.

Wenn die gemeldete MAC-Adresse nicht die virtuelle HSRP-MAC-Adresse ist, kann das Problem die Schleife, die Duplizierung oder die Reflektion von Paketen im Netzwerk anzeigen. Diese Art von Bedingungen kann zu HSRP-Problemen beitragen. Die häufigsten Ursachen für die

Verschiebung von MAC-Adressen sind Spanning Tree-Probleme oder Probleme mit physischen Ebenen.

Gehen Sie wie folgt vor, wenn Sie die Fehlerbehebung durchführen:

(15)

Hinweis: Führen Sie außerdem die Schritte im Abschnitt HSRP-Fehlerbehebungsmodule für CatOS-Switches aus.

Bestimmen Sie die korrekte Quelle (den Port) der MAC-Adresse, die die Fehlermeldung meldet.

1.

Trennen Sie den Port, der die MAC-Adresse des Hosts nicht ausgeben darf, und überprüfen Sie die HSRP-Stabilität.

2.

Dokumentieren Sie die STP-Topologie für jedes VLAN, und prüfen Sie, ob STP-Fehler vorliegen.

3.

Überprüfen der Port-Channel-KonfigurationEine falsche Port-Channel-Konfiguration kann zu Flapping-Fehlermeldungen durch die MAC-Adresse des Hosts führen. Grund hierfür ist der Lastenausgleichscharakter der Port-Channeling.

4.

Anwenderbericht Nr. 5: HSRP-Statusänderungen und Switch-Berichte RTD-1- ADDR_FLAP in Syslog

Diese Fehlermeldungen können angezeigt werden:

*Mar 9 14:51:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 21 addrs per min

*Mar 9 14:52:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 22 addrs per min

*Mar 9 14:53:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 20 addrs per min

*Mar 9 14:54:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 20 addrs per min

*Mar 9 14:55:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 21 addrs per min

*Mar 9 14:56:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 22 addrs per min

*Mar 9 14:57:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 21 addrs per min

Diese Fehlermeldung bedeutet, dass eine MAC-Adresse sich konsistent zwischen verschiedenen Ports bewegt. Diese Fehlermeldungen gelten nur für die Catalyst Switches der Serien 2900XL und 3500XL. Die Meldungen können darauf hinweisen, dass mindestens zwei HSRP-Router aktiv

sind. Die Meldungen können die Quelle einer STP-Schleife, duplizierter Frames oder reflektierter Pakete angeben.

Um weitere Informationen zu den Fehlermeldungen zu sammeln, führen Sie den folgenden debug- Befehl aus:

switch#debug ethernet-controller address

Ethernet Controller Addresses debugging is on l

*Mar 9 08:06:06: Add address 0000.0c07.ac02, on port 35 vlan 2

*Mar 9 08:06:06: 0000.0c07.ac02 has moved from port 6 to port 35 in vlan 2

*Mar 9 08:06:07: Add address 0000.0c07.ac02, on port 6 vlan 2

*Mar 9 08:06:07: 0000.0c07.ac02 has moved from port 35 to port 6 in vlan 2

*Mar 9 08:06:08: Add address 0000.0c07.ac02, on port 35 vlan 2

*Mar 9 08:06:08: 0000.0c07.ac02 has moved from port 6 to port 35 in vlan 2

*Mar 9 08:06:10: Add address 0000.0c07.ac02, on port 6 vlan 2

*Mar 9 08:06:10: 0000.0c07.ac02 has moved from port 35 to port 6 in vlan 2

(16)

*Mar 9 08:06:11: Add address 0000.0c07.ac02, on port 35 vlan 2

*Mar 9 08:06:11: 0000.0c07.ac02 has moved from port 6 to port 35 in vlan 2

*Mar 9 08:06:12: %RTD-1-ADDR_FLAP: Fast Ethernet 0/7 relearning 20 addrs per min

*Mar 9 08:06:13: Add address 0000.0c07.ac02, on port 6 vlan 2

*Mar 9 08:06:13: 0000.0c07.ac02 has moved from port 35 to port 6 in vlan 2

Die Ports, auf die der debug-Befehl verweist, sind von einem Port deaktiviert. Beispiel: Port 0 ist Fast Ethernet 0/1. Die Fehlermeldungen weisen auf die Klappe einer MAC-Adresse zwischen den Ports 5 und 34 am entsprechenden Switch hin.

Hinweis: Die Meldung RTD-1-ADDR_FLAP kann falsch sein. Lesen Sie die folgenden Cisco Bug- IDs, um diese Möglichkeit auszuschließen:

- CSCdp81680 (nur registrierte Kunden) —Falsche RTD-1-ADDR_FLAP-Nachricht

- CSCds27100 (nur registrierte Kunden) und CSCdr30113 (nur registrierte Kunden) —Fast EtherChannel-Probleme verursachen RTD-1-ADDR_FLAP

  

Die häufigsten Ursachen für die Verschiebung von MAC-Adressen sind Spanning Tree-Probleme oder Probleme mit physischen Ebenen.

Gehen Sie wie folgt vor, wenn Sie die Fehlerbehebung durchführen: 

Hinweis: Führen Sie außerdem die Schritte im Abschnitt HSRP-Fehlerbehebungsmodule für CatOS-Switches aus.

Bestimmen Sie die korrekte Quelle (den Port) der MAC-Adresse des Hosts.

1.

Trennen Sie die Verbindung zum Port, der die MAC-Adresse des Hosts nicht ausgeben soll.

2.

Dokumentieren Sie die STP-Topologie auf VLAN-Basis und überprüfen Sie den STP-Ausfall.

3.

Überprüfen der Port-Channeling-KonfigurationEine falsche Port-Channel-Konfiguration kann zu Flapping-Fehlermeldungen durch die MAC-Adresse des Hosts führen. Grund hierfür ist der Lastenausgleichscharakter der Port-Channeling.

4.

Anwenderbericht Nr. 6: HSRP-Statusänderungen und Switch-Berichte MLS-4- MOVEOVERFLOW:Zu viele Verschiebungen, Stoppen von MLS für 5 Sek.

(2000000) in Syslog

Diese Fehlermeldungen können angezeigt werden:

05/13/2000,08:55:10:MLS-4-MOVEOVERFLOW:Too many moves, stop MLS for 5 sec(20000000) 05/13/2000,08:55:15:MLS-4:Resume MLS after detecting too many moves

Diese Meldungen weisen darauf hin, dass der Switch dieselbe MAC-Adresse auf zwei

verschiedenen Ports erfasst. Diese Meldung wird nur für Catalyst 5500/5000-Switches angezeigt.

Führen Sie die folgenden Befehle aus, um zusätzliche Informationen zum Problem zu sammeln:

Hinweis: Die in diesem Abschnitt erwähnten Befehle sind nicht dokumentiert. Sie müssen sie vollständig eingeben. Der Befehl show mls notification stellt einen Wert für die

Tabellenadresse (TA) bereit. Der Befehl show looktable TA-value gibt eine mögliche MAC- Adresse zurück, die Sie bis zum Ursprung des Problems zurückverfolgen können.

(17)

Switch (enable) show mls notification

1: (0004e8e6-000202ce) Noti Chg TA e8e6 OI 2ce (12/15) V 1

!--- This is the mod/port and VLAN. The MAC address is !--- seen on this module 12, port 15 in VLAN 1. 2: (0004e8e6-000202cd) Noti Chg TA e8e6 OI 2cd (12/14) V 1 !--- This is the mod/port and VLAN. The next is seen on !--- module 12, port 14 in VLAN 1.

Notieren Sie sich die vierstellige Kombination aus Buchstaben und Zahlen, die nach Chg TA in dieser Befehlsausgabe angezeigt wird. Der Befehl show looktable gibt die MAC-Adresse an, die die MLS TOO VIY MOVES-Fehlermeldung verursacht:

150S_CR(S2)> (enable) show looktable e8e6 Table address: 0xe8e6, Hash: 0x1d1c, Page: 6

Entry Data[3-0]: 0x000002cd 0x00800108 0x0008c790 0x215d0005, Entry Map [00]

Router-Xtag QOS SwGrp3 Port-Index 0 0 0x0 0x2cd

Fab AgeByte C-Mask L-Mask Static SwSc HwSc EnSc AL Trap R-Mac 0 0x01 0x0000 0x0000 0 0 0 0 0 0 0

MacAge Pri-In Modify Notify IPX-Sw IPX-Hw IPX-En Valid SwGrp2 Parity2 0 0 1 0 0 0 0 1 0x0 0

Entry-Mac-Address FID SwGrp1 Parity1 00-08-c7-90-21-5d 1 0x0 1

Der Eintrag MAC address 00-08-c7-90-21-5d ist die MAC-Adresse, die zwischen den Ports hin- und herspringt. Sie müssen die MAC-Adresse kennen, um das fehlerhafte Gerät zu finden. Wenn die MAC-Adresse des Eintrags die virtuelle HSRP-MAC-Adresse ist, kann das Problem sein, dass beide HSRP-Router in den aktiven Zustand gewechselt sind.

Die häufigsten Ursachen für die Verschiebung von MAC-Adressen sind Spanning Tree-Probleme oder Probleme mit physischen Ebenen.

Gehen Sie wie folgt vor, wenn Sie die Fehlerbehebung durchführen: 

Hinweis: Führen Sie außerdem die Schritte im Abschnitt HSRP-Fehlerbehebungsmodule für CatOS-Switches aus.

Bestimmen Sie die korrekte Quelle (den Port) der MAC-Adresse des Hosts.

1.

Trennen Sie die Verbindung zum Port, der die MAC-Adresse des Hosts nicht ausgeben soll.

2.

Dokumentieren Sie die STP-Topologie auf VLAN-Basis und überprüfen Sie den STP-Ausfall.

3.

Überprüfen der Port-Channeling-KonfigurationEine falsche Port-Channel-Konfiguration kann zu Flapping-Fehlermeldungen durch die MAC-Adresse des Hosts führen. Grund hierfür ist der Lastenausgleichscharakter der Port-Channeling.

4.

Deaktivieren Sie PortFast auf allen Ports, die mit anderen Geräten als einem PC oder IP- Telefon verbunden sind, um Überbrückungsschleifen zu vermeiden.

5.

Anwenderbericht Nr. 7: HSRP - Änderungen des temporären Zustands im Multicast- Stub-Netzwerk

Für einen HSRP-Router, der Teil eines Multicast-Stub-Netzwerks ist, gibt es eine häufige Ursache

(18)

für ungewöhnliche HSRP-Statusänderungen. Diese häufige Ursache behandelt den RPF-Verkehr (Reverse Path Forwarding), den der nicht designierte Router (DR) erkennt. Dieser Router leitet den Multicast-Datenverkehrsstream nicht weiter.

IP-Multicast verwendet einen Router, um Daten in redundanten Topologien in ein LAN

weiterzuleiten. Wenn mehrere Router über Schnittstellen zu einem LAN oder VLAN verfügen, leitet nur ein Router die Daten weiter. Es gibt keinen Lastenausgleich für Multicast-Datenverkehr in LANs. Der gesamte Multicast-Datenverkehr ist für jeden Router in einem LAN immer sichtbar.

Dies ist auch der Fall, wenn Cisco Group Management Protocol (CGMP)- oder Internet Group Management Protocol (IGMP)-Snooping konfiguriert ist. Beide Router müssen den Multicast- Datenverkehr sehen, um eine Weiterleitungsentscheidung treffen zu können.

Dieses Diagramm zeigt ein Beispiel. Die roten Linien zeigen Multicast-Feed an.

Der redundante Router, der den Multicast-Datenverkehrsstrom nicht weiterleitet, erkennt diese Daten an der ausgehenden Schnittstelle für das LAN. Der redundante Router muss diesen

Datenverkehr verwerfen, da der Datenverkehr an der falschen Schnittstelle eingeht und daher die RPF-Prüfung nicht erfolgreich verläuft. Dieser Datenverkehr wird als Nicht-RPF-Datenverkehr bezeichnet, da er gegenüber dem Quelldatenfluss rückwärts reflektiert wird. Bei diesem Nicht- RPF-Datenverkehr gibt es in der Regel keinen Zustand (*,G) oder (S,G) im redundanten Router.

Aus diesem Grund können keine Hardware- oder Software-Verknüpfungen erstellt werden, um das Paket zu verwerfen. Der Prozessor muss jedes Multicast-Paket einzeln prüfen. Diese Anforderung kann dazu führen, dass die CPU auf diesen Routern mit einer sehr hohen

Verarbeitungsrate Spitzenwerte erreicht oder ausgeführt wird. Häufig führt eine hohe Rate von Multicast-Verkehr auf dem redundanten Router dazu, dass HSRP Hello-Pakete von seinem Peer verliert und den Status ändert.

Aktivieren Sie deshalb Hardware-Zugriffslisten auf Catalyst 6500- und 8500-Routern, die Nicht- RPF-Datenverkehr standardmäßig nicht effizient verarbeiten. Die Zugriffslisten verhindern, dass die CPU den Nicht-RPF-Datenverkehr verarbeitet.

Hinweis: Versuchen Sie nicht, dieses Problem zu beheben, indem Sie das IP Protocol

(19)

Independent Multicast (PIM) an den redundanten Routerschnittstellen deaktivieren. Diese Konfiguration kann unerwünschte Auswirkungen auf den redundanten Router haben.

Auf den 6500-/8500-Routern gibt es eine Zugriffslisten-Engine, die eine Filterung mit

Leitungsgeschwindigkeit ermöglicht. Sie können diese Funktion verwenden, um Datenverkehr ohne RPF für Sparse-Mode-Gruppen effizient zu behandeln.

In Softwareversionen 6.2.1 und höher aktiviert die Systemsoftware automatisch das Filtern, sodass der Nicht-DR-Datenverkehr nicht automatisch von der RPF-Komponente stammt. In

früheren Softwareversionen müssen Sie die Zugriffslisten manuell konfigurieren. Um diese Lösung für Softwareversionen zu implementieren, die älter als 6.2.1 sind, platzieren Sie eine Zugriffsliste auf der eingehenden Schnittstelle des Stub-Netzwerks. Die Zugriffsliste filtert Multicast-

Datenverkehr, der nicht vom Stub-Netzwerk stammt. Die Zugriffsliste wird auf die Hardware im Switch heruntergefahren. Diese Zugriffsliste stellt sicher, dass die CPU das Paket nie sieht und dass die Hardware den Nicht-RPF-Datenverkehr verwirft.

Nehmen Sie beispielsweise an, dass Sie über zwei Router mit zwei VLANs verfügen. Sie können diese Anzahl von VLANs nach Bedarf auf so viele VLANs erweitern. Router A ist primäres HSRP für VLAN 1 und sekundäres VLAN 2. Router B ist sekundär für VLAN 1 und primär für VLAN 2.

Geben Sie entweder Router A oder Router B eine höhere IP-Adresse an, um diesen Router zur DR zu machen. Stellen Sie sicher, dass nur ein Router der DR für alle Segmente ist, wie im folgenden Beispiel gezeigt:

Router A

VLAN1 Physical IP Address A.B.C.3

Router B

VLAN1 Physical IP Address A.B.C.2

VLAN1 HSRP Address A.B.C.1

Router A

VLAN2 Physical IP Address A.B.D.3

Router B

VLAN2 Physical IP Address A.B.D.2

VLAN2 HSRP Address A.B.D.1

Stellen Sie diese Zugriffsliste auf dem Nicht-DR-Router auf:

access-list 100 permit ip A.B.C.0 0.0.0.255 any access-list 100 permit ip A.B.D.0 0.0.0.255 any access-list 100 permit ip any 224.0.0.0 0.0.0.255 access-list 100 permit ip any 224.0.1.0 0.0.0.255 access-list 100 deny ip any 224.0.0.0 15.255.255.255

Sie sollten über eine Genehmigung für jedes Subnetz verfügen, das von den beiden Routern gemeinsam genutzt wird. Andere Genehmigungen ermöglichen den ordnungsgemäßen Betrieb eines Auto-Rendezvous Point (RP) und reservierter Gruppen.

Führen Sie diese zusätzlichen Befehle aus, um die Zugriffskontrolllisten (ACLs) auf jede VLAN-

(20)

Schnittstelle auf der Nicht-DR-Schnittstelle anzuwenden.

ip access-group 100 in

keine IP-Umleitungen

no ip unreachables

Hinweis: Sie müssen die Catalyst-Software ab Version 5.4(3) ausführen, damit die ACLs in der hybriden Konfiguration funktionieren.

Hinweis: Die in diesem Dokument behandelten redundanten Router-Designs sind extern redundant, d. h. es gibt zwei physische 6500-Router. Verwenden Sie diese

Problemumgehung nicht für die interne Redundanz, bei der zwei Routingprozessoren in einem Gerät angeordnet sind.

Anwenderbericht Nr. 8: Asymmetric Routing und HSRP (übermäßige Flooding des Unicast-Datenverkehrs im Netzwerk mit Routern, die HSRP ausführen)

Beim asymmetrischen Routing folgen Übertragungs- und Empfangspakete unterschiedlichen Pfaden zwischen einem Host und dem Peer, mit dem er kommuniziert. Dieser Paketfluss ist das Ergebnis der Konfiguration des Lastenausgleichs zwischen HSRP-Routern, basierend auf der HSRP-Priorität, die das HSRP auf Aktiv oder Standby festlegt. Diese Art von Paketfluss in einer Switching-Umgebung kann zu übermäßiger Unicast-Flooding führen. Außerdem können MLS- Einträge (Multilayer Switching) fehlen. Unbekannte Unicast-Flooding tritt auf, wenn der Switch ein Unicast-Paket von allen Ports überflutet. Der Switch überflutet das Paket, da es keinen Eintrag für die MAC-Zieladresse gibt. Dieses Verhalten unterbricht die Verbindung nicht, da Pakete noch weitergeleitet werden. Das Verhalten berücksichtigt jedoch die Flut zusätzlicher Pakete auf Host- Ports. In diesem Fall werden das Verhalten des asymmetrischen Routings und die Ergebnisse von Unicast-Flooding untersucht.

Symptome des asymmetrischen Routings sind:

Übermäßige Unicast-Paketflutung

Fehlender MLS-Eintrag für Flows

Sniffer-Ablaufverfolgung, die anzeigt, dass Pakete auf dem Host-Port nicht für den Host bestimmt sind

Höhere Netzwerklatenz durch L2-basierte Paket-Rewrite-Engines wie Server Load Balancer, Web-Cache-Geräte und NetzwerkeinheitenBeispiele sind Cisco LocalDirector und Cisco Cache Engine.

Verworfene Pakete auf angeschlossenen Hosts und Workstations, die die zusätzliche Unicast-Flooding-Datenverkehrslast nicht bewältigen können

Hinweis: Die Standardzeit für das Altern des ARP-Cache auf einem Router beträgt vier Stunden. Die standardmäßige Alterungszeit des CAM-Eintrags (Content-Addressable Memory) des Switches beträgt fünf Minuten. Die ARP-Alterungszeit der Host-Workstations ist in diesem Gespräch nicht von Bedeutung. Im Beispiel wird die ARP-Alterungszeit jedoch auf vier Stunden festgelegt.

Dieses Diagramm veranschaulicht dieses Problem. In diesem Topologiebeispiel wird der Catalyst 6500 mit Multilayer Switch Feature Cards (MSFCs) in jedem Switch vorgestellt. Obwohl in diesem Beispiel MSFCs verwendet werden, können Sie anstelle der MSFC einen beliebigen Router

(21)

verwenden. Beispiele für Router, die Sie verwenden können, sind das Route Switch Module (RSM), der Gigabit Switch Router (GSR) und der Cisco 7500. Die Hosts sind direkt mit Ports am Switch verbunden. Die Switches sind über einen Trunk verbunden, der den Datenverkehr für VLAN 1 und VLAN 2 überträgt.

Diese Ausgaben sind Auszüge aus der show standby-Befehlskonfiguration jedes MSF.

MSFC1

interface Vlan 1

mac-address 0003.6bf1.2a01

ip address 10.1.1.2 255.255.255.0 no ip redirects

standby 1 ip 10.1.1.1 standby 1 priority 110 interface Vlan 2

mac-address 0003.6bf1.2a01

ip address 10.1.2.2 255.255.255.0 no ip redirects

standby 2 ip 10.1.2.1 MSFC1#show standby

Vlan1 - Group 1

Local state is Active, priority 110 Hellotime 3 holdtime 10

Next hello sent in 00:00:00.696

Hot standby IP address is 10.1.1.1 configured Active router is local

Standby router is 10.1.1.3 expires in 00:00:07 Standby virtual mac address is 0000.0c07.ac01 2 state changes, last state change 00:20:40 Vlan2 - Group 2

Local state is Standby, priority 100 Hellotime 3 holdtime 10

Next hello sent in 00:00:00.776

Hot standby IP address is 10.1.2.1 configured

Active router is 10.1.2.3 expires in 00:00:09, priority 110

(22)

Standby router is local

4 state changes, last state change 00:00:51 MSFC1#exit

Console> (enable)

MSFC2

interface Vlan 1

mac-address 0003.6bf1.2a02

ip address 10.1.1.3 255.255.255.0 no ip redirects

standby 1 ip 10.1.1.1 interface Vlan 2

mac-address 0003.6bf1.2a02

ip address 10.1.2.3 255.255.255.0 no ip redirects

standby 2 ip 10.1.2.1 standby 2 priority 110 MSFC2#show standby

Vlan1 - Group 1

Local state is Standby, priority 100 Hellotime 3 holdtime 10

Next hello sent in 00:00:01.242

Hot standby IP address is 10.1.1.1 configured

Active router is 10.1.1.2 expires in 00:00:09, priority 110 Standby router is local

7 state changes, last state change 00:01:17 Vlan2 - Group 2

Local state is Active, priority 110 Hellotime 3 holdtime 10

Next hello sent in 00:00:00.924

Hot standby IP address is 10.1.2.1 configured Active router is local

Standby router is 10.1.2.2 expires in 00:00:09 Standby virtual mac address is 0000.0c07.ac02 2 state changes, last state change 00:40:08 MSFC2#exit

Hinweis: Auf MSFC1 befindet sich VLAN 1 im aktiven HSRP-Zustand, und VLAN 2 befindet sich im Standby-HSRP-Zustand. Auf MSFC2 befindet sich VLAN 2 im aktiven HSRP-Zustand, und VLAN 1 befindet sich im HSRP-Standby-Zustand. Das Standard-Gateway jedes Hosts ist die jeweilige Standby-IP-Adresse.

Zunächst sind alle Caches leer. Host A verwendet MSFC1 als Standard-Gateway. Host B verwendet MSFC2.ARP- und MAC-Adresstabellen vor Ping-Initiierung Hinweis: Aus Gründen der Kürze sind die Switch 1-MAC-Adresse für die HSRP- und MAC-Adresse des Routers nicht in den anderen Tabellen in diesem Abschnitt enthalten.

1.

Host A pings Host B, d. h. Host A sendet ein ICMP-Echo-Paket. Da sich jeder Host in einem separaten VLAN befindet, leitet Host A seine für Host B bestimmten Pakete an sein

Standard-Gateway weiter. Damit dieser Prozess stattfinden kann, muss Host A ein ARP senden, um die MAC-Adresse des Standard-Gateways 10.1.1.1 aufzulösen.ARP- und MAC- Adresstabellen nach Senden von ARP für das Standard-Gateway durch Host A

2.

MSFC1 empfängt das Paket, schreibt das Paket neu und leitet es an Host B weiter. Um das Paket neu zu schreiben, sendet MSFC1 eine ARP-Anfrage für Host B, da sich der Host von 3.

(23)

einer direkt verbundenen Schnittstelle befindet. MSFC2 hat in diesem Fluss noch keine Pakete empfangen. Wenn MSFC1 die ARP-Antwort von Host B erhält, erhalten beide

Switches den Quellport, der Host B zugeordnet ist.ARP- und MAC-Adresstabellen nach dem Senden von Paket an Standard-Gateway durch Host A und MSFC1 sendet ARP für Host B Host B empfängt das Echo-Paket von Host A über MSFC1. Host B muss jetzt eine

Echoantwort an Host A senden. Da sich Host A in einem anderen VLAN befindet, leitet Host B die Antwort über sein Standard-Gateway MSFC2 weiter. Um das Paket über MSFC2 weiterzuleiten, muss Host B eine ARP für seine Standard-Gateway-IP-Adresse 10.1.2.1 senden.ARP- und MAC-Adresstabellen, nachdem Host B ARP für sein Standard-Gateway sendet

4.

Host B leitet das Echo-Antwortpaket jetzt an MSFC2 weiter. MSFC2 sendet eine ARP- Anfrage für Host A, da diese direkt mit VLAN 1 verbunden ist. Switch 2 füllt die MAC- Adresstabelle mit der MAC-Adresse von Host B aus.ARP- und MAC-Adresstabellen nach Empfang des Echo-Pakets durch Host A

5.

Die Echo-Antwort erreicht Host A, und der Fluss ist abgeschlossen.

6.

Folgen von asymmetrischem Routing

Man denke an den Continuous Ping von Host B nach Host A. Denken Sie daran, dass Host A das Echo-Paket an MSFC1 sendet, und Host B die Echo-Antwort an MSFC2 sendet, das sich in einem asymmetrischen Routing-Zustand befindet. Switch 1 ruft die Quell-MAC von Host B nur dann ab, wenn Host B auf eine ARP-Anfrage von MSFC1 antwortet. Der Grund hierfür ist, dass Host B MSFC2 als Standard-Gateway verwendet und keine Pakete an MSFC1 und folglich Switch 1 sendet. Da das ARP-Timeout standardmäßig vier Stunden beträgt, wird in Switch 1

standardmäßig nach fünf Minuten die MAC-Adresse von Host B eingegeben. Switch 2 Altersstufen Host A nach fünf Minuten. Daher muss Switch 1 jedes Paket mit einer MAC-Zieladresse von Host B als unbekanntes Unicast behandeln. Der Switch überflutet das Paket von Host A und ist für Host B an allen Ports bestimmt. Da es in Switch 1 keinen MAC-Adresseneintrag-Host B gibt, gibt es auch keinen MLS-Eintrag.

ARP- und MAC-Adresstabellen nach 5 Minuten kontinuierlichem Ping von Host B durch Host A ARP-Tabelle

hosten

Switch 1 MAC- Adresstabelle MAC-VLAN-Port

MSFC1 ARP- Tabelle

Tabelle mit MSFC2-ARP

Switch 2 MAC- Adresstabelle MAC-VLAN-Port

Host B ARP- Tabelle 10.1.1.1:

0000.0c07.ac01

0000,0c00,0001 1 2/1

10.1.1.10:

0000,0c00,0001

10.1.2.10 000.0c00.0002

0000,0c00,0002 2/1

10.1.2.2:

0003,6bf1,2a01 10.1.1.3:

0003.6bf1.2a0   10.1.2.10:

0000,0c00,0001

10.1.1.10

000.0c00.0001  10.1.2.1:

0000.0c07.ac01 Bei den Echo-Antwortpaketen von Host B tritt dasselbe Problem auf, nachdem der MAC-

Adresseneintrag für Host A auf Switch 2 altert. Host B leitet die Echoantwort an MSFC2 weiter, das wiederum das Paket weiterleitet und es in VLAN 1 sendet. Der Switch verfügt in der MAC- Adresstabelle nicht über einen Einstiegs-Host A und muss das Paket über alle Ports in VLAN 1 freischalten.

Asymmetrisches Routing beeinträchtigt die Verbindung nicht. Das asymmetrische Routing kann jedoch zu übermäßiger Unicast-Flooding und fehlenden MLS-Einträgen führen. Diese Situation kann durch drei Konfigurationsänderungen behoben werden:

Stellen Sie die MAC-Alterungszeit auf den entsprechenden Switches auf 14.400 Sekunden

(24)

(vier Stunden) oder länger ein.

Ändern Sie die ARP-Zeitüberschreitung auf den Routern auf fünf Minuten (300 Sekunden).

Ändern Sie die MAC-Alterungszeit und die ARP-Zeitüberschreitung auf den gleichen Zeitüberschreitungswert.

Die bevorzugte Methode besteht darin, die MAC-Alterungszeit auf 14.400 Sekunden zu ändern.

Dies sind die Konfigurationsrichtlinien:

CatOS:Cam Agingtime vlan_aging_time_in_msec

Cisco IOS Software/2900XL/3500XL:MAC-Adresstabelle, Alterungszeit-Sekunden [vlan vlan_id]

Anwenderbericht Nr. 9: Virtuelle HSRP-IP-Adresse wird als andere IP-Adresse gemeldet

Die Fehlermeldung STANDBY-3-DIFFVIP1 tritt auf, wenn Inter-VLAN-Lecks aufgrund von Bridging Loops im Switch auftreten.

Wenn Sie diese Fehlermeldung erhalten und aufgrund von Bridging-Loops im Switch ein

InterVLAN-Leckage vorliegt, führen Sie die folgenden Schritte aus, um den Fehler zu beheben:

Identifizieren Sie den Pfad, über den die Pakete zwischen den Endknoten übertragen werden sollen.Wenn sich auf diesem Pfad ein Router befindet, gehen Sie wie folgt

vor:Fehlerbehebung für den Pfad vom ersten Switch zum RouterFehlerbehebung für den Pfad vom Router zum zweiten Switch

1.

Stellen Sie eine Verbindung zu jedem Switch im Pfad her, und überprüfen Sie den Status der Ports, die auf dem Pfad zwischen den Endknoten verwendet werden. 

2.

Anwenderbericht Nr. 10: HSRP führt zu MAC-Verletzungen an einem sicheren Port

Wenn die Port-Sicherheit auf den Switch-Ports konfiguriert wird, die mit den HSRP-fähigen

Routern verbunden sind, wird eine MAC-Verletzung ausgelöst, da Sie nicht dieselbe sichere MAC- Adresse auf mehr als einer Schnittstelle haben können. In einer der folgenden Situationen tritt eine Sicherheitsverletzung auf einem sicheren Port auf:

Die maximale Anzahl sicherer MAC-Adressen wird der Adresstabelle hinzugefügt, und eine Station, deren MAC-Adresse nicht in der Adresstabelle ist, versucht, auf die Schnittstelle zuzugreifen.

Eine Adresse, die auf einer sicheren Schnittstelle erfasst oder konfiguriert wird, wird auf einer anderen sicheren Schnittstelle im gleichen VLAN angezeigt.

Standardmäßig wird bei einer Verletzung der Port-Sicherheit die Switch-Schnittstelle fehlerhaft deaktiviert und sofort deaktiviert, wodurch die HSRP-Statusmeldungen zwischen den Routern blockiert werden.

Problemumgehung

Geben Sie den Befehl standby use-bia auf den Routern ein. Dadurch müssen die Router eine integrierte Adresse für HSRP anstelle der virtuellen MAC-Adresse verwenden.

Deaktivieren Sie die Port-Sicherheit an den Switch-Ports, die mit den HSRP-fähigen Routern verbunden sind.

(25)

Anwenderbericht Nr. 11: %Schnittstellenhardware unterstützt nicht mehrere Gruppen

Wenn mehrere HSRP-Gruppen auf der Schnittstelle erstellt werden, wird folgende Fehlermeldung ausgegeben:

%Interface hardware cannot support multiple groups

Diese Fehlermeldung wird aufgrund der Hardware-Einschränkung auf einigen Routern oder Switches angezeigt. Es ist nicht möglich, die Beschränkung durch Software-Methoden zu

überwinden. Das Problem besteht darin, dass jede HSRP-Gruppe eine zusätzliche MAC-Adresse für die Schnittstelle verwendet. Daher muss der Ethernet-MAC-Chip mehrere programmierbare MAC-Adressen unterstützen, um mehrere HSRP-Gruppen zu aktivieren.

Die Problemumgehung besteht darin, den Befehl Standby-Schnittstellenkonfiguration zu

verwenden, bei dem anstelle der vorab zugewiesenen MAC-Adresse die Burned-In-Adresse (BIA) der Schnittstelle als virtuelle MAC-Adresse verwendet wird.

HSRP-Fehlerbehebungsmodule für CatOS-Switches

Antwort: Überprüfen der HSRP-Routerkonfiguration

1. Verifizieren der IP-Adresse der eindeutigen Router-Schnittstelle

Überprüfen Sie, ob jeder HSRP-Router für jedes Subnetz eine eindeutige IP-Adresse auf

Schnittstellenbasis hat. Überprüfen Sie außerdem, ob für jede Schnittstelle das Leitungsprotokoll

aktiviert ist. Führen Sie den Befehl show ip interface brief aus, um den aktuellen Status jeder Schnittstelle schnell zu überprüfen. Hier ein Beispiel:

Router_1#show ip interface brief

Interface IP-Address OK? Method Status Protocol Vlan1 192.168.1.1 YES manual up up Vlan10 192.168.10.1 YES manual up up Vlan11 192.168.11.1 YES manual up up Router_2#show ip interface brief

Interface IP-Address OK? Method Status Protocol Vlan1 192.168.1.2 YES manual up up Vlan10 192.168.10.2 YES manual up up Vlan11 192.168.11.2 YES manual up up

2. Verifizieren von Standby-IP-Adressen (HSRP) und Standby-Gruppennummern

Überprüfen Sie, ob die konfigurierten Standby-IP-Adressen (HSRP) und die Standby-Gruppen- Nummern mit allen am HSRP teilnehmenden Routern übereinstimmen. Eine

Nichtübereinstimmung von Standby-Gruppen oder HSRP-Standby-Adressen kann HSRP-

Probleme verursachen. Der Befehl show standby gibt die Konfiguration der Standby-Gruppe und der Standby-IP-Adresse für jede Schnittstelle an. Hier ein Beispiel:

Router_1#show standby Vlan10 - Group 10

(26)

Local state is Active, priority 110, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:00.216

Hot standby IP address is 192.168.10.100 configured Active router is local

Standby router is 192.168.10.2 expires in 00:00:08 Standby virtual mac address is 0000.0c07.ac0a 8 state changes, last state change 00:18:04 Vlan11 - Group 11

Local state is Active, priority 110, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:01.848

Hot standby IP address is 192.168.11.100 configured Active router is local

Standby router is 192.168.11.2 expires in 00:00:08 Standby virtual mac address is 0000.0c07.ac0b 2 state changes, last state change 00:04:45

Router_2#show standby Vlan10 - Group 10

Local state is Standby, priority 109, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:01.710

Hot standby IP address is 192.168.10.100 configured

Active router is 192.168.10.1 expires in 00:00:09, priority 110 Standby router is local

Standby virtual mac address is 0000.0c07.ac0a 9 state changes, last state change 00:20:22 Vlan11 - Group 11

Local state is Standby, priority 109, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:02.506

Hot standby IP address is 192.168.11.100 configured

Active router is 192.168.11.1 expires in 00:00:09, priority 110 Standby router is local

Standby virtual mac address is 0000.0c07.ac0b 4 state changes, last state change 00:07:07

3. Überprüfen Sie, ob die Standby-IP-Adresse (HSRP) je Schnittstelle unterschiedlich ist.

Überprüfen Sie, ob die Standby-IP-Adresse (HSRP) von der konfigurierten IP-Adresse der einzelnen Schnittstellen eindeutig ist. Der Befehl show standby dient als Kurzreferenz, um diese Informationen anzuzeigen. Hier ein Beispiel:

Router_1#show standby Vlan10 - Group 10

Local state is Active, priority 110, may preempt Hellotime 3 holdtime 10

Next hello sent in 00:00:00.216

Hot standby IP address is 192.168.10.100 configured Active router is local

Standby router is 192.168.10.2 expires in 00:00:08 Standby virtual mac address is 0000.0c07.ac0a 8 state changes, last state change 00:18:04 Vlan11 - Group 11

Local state is Active, priority 110, may preempt Hellotime 3 holdtime 10

Referenzen

ÄHNLICHE DOKUMENTE

Auf dem Catalyst Switch der Serie 6500 werden die Felder für diesen Hash mit dem Befehl show etherchannel load-balance (Lastenausgleich anzeigen) ausgefüllt.. PFC-3B#show

Switch(config)# aaa authentication dot1x default group radius awitch(Config)# aaa authorization network default group radius Switch(Config)# aaa accounting dot1x default

Hinweis: Laden Sie den Router vor dem Erfassen der oben genannten Informationen nicht manuell neu oder starten Sie ihn nur, wenn Sie zur Fehlerbehebung bei einem Line Card-Crash auf

• Beschädigung oder Ausfall durch Nichtbeachten der Sicherheitsanweisungen oder der Bedienungs- anleitung, höhere Gewalt, Unfall, fehlerhafte oder außergewöhnliche

Weitere Informationen zu diesem Problem finden Sie unter Fehlerbehebung für Fabric Ping-Timeouts und -Fehler auf dem Cisco Internet Router der Serie

Wenn eine Schnittstelle als Trunk konfiguriert ist, stellen Sie sicher, dass sie den richtigen Status hat und dass die entsprechenden VLANs Spanning Tree Forwarding sind und nicht

Isolated VLANs - Ports innerhalb eines isolierten VLAN können auf Layer-2-Ebene nicht direkt miteinander

Wenn eine übereinstimmende IP-Adresse und ein übereinstimmender Hostname gefunden werden, aber kein übereinstimmender Fingerabdruck vorhanden ist, wird die Suche fortgesetzt.. Wenn