IOSXE : NAT 変換にて断続的にパケットがドロップする事象について (NAT Gatekeeper)
[toc:faq] 背景 ASR1000シリーズ、ISR4000シリーズなどのIOS-XE ルータにて、NAT 変換にて断続的にパケットがドロップする事象が報告されています。 この事象は、NAT Gatekeeper キャッシュの影響で発生していて、IOS-XE NATの実装動作となっています。 NAT Gatekeeperについて NAT Gatekeeper は、IOS XE RL4 / 12.(33)XND以降のバージョンで、デフォルトでenable となっています。 Ciscoルータでは、内部から外部(IN to OUT)へのNATは、ルーティング後に NATが実行されますが、 外部から内部(OUT to IN)へのNATは、ルーティングの前にNATが実行されます。 このため、OUT to INへのNAT処理は、すべてのパケットに対し、NAT宛(NATed)、非NAT宛(non-N
Cisco Nexus 9000 シリーズ : SPAN と Ethanalyzer を併用したパケットキャプチャー
はじめに Cisco Nexus 9000 シリーズでは、特定の version より CPU を SPAN の destination port に設定可能となりました。 これを経て、本ドキュメントでは SPAN と Ethanalyzer を用いたパケットキャプチャーについて紹介いたします。 使用するトポロジ 設定方法 STEP1, SPAN を設定 今回の例では、Eth 1/53 で送受信する traffic を SPAN で CPU (sup) に出力します。 ※ source interface both としていますが、キャプチャでは入力側しか取得できません。 93180-1(config)# monitor session 1 93180-1(config-monitor)# source interface ethernet 1/53 both 93180-1(config
SDAファブリック経由の通信において問題が生じた場合の取得コマンド
SDA のソリューションにおいて、サービストラフィックの転送状況に問題がある場合に参照するCatalyst スイッチのログ取得コマンドを記載しています。 PC端末等にて、IP取得や認証が正しく行なえているにも関わらず、通信に問題がある場合に有効となります。 各Fabric node(CP/Border/Edge)にて取得ください。 *製品、S/W version により入力できないものが含まれている場合がございます。 show コマンド show ip arp show ip arp vrf <vrf> show ip route show ip route vrf <vrf> show ip cef show ip cef vrf <vrf> show mac address-table show interface show interface counter show interfa
Catalyst 9400 シリーズ StackWise Virtual で Portchannel で学習した Mac Address が Age Out しない
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
DNA Center でログレベルを変更する方法
はじめに 本ドキュメントでは、Cisco Digital Network Architecture Center (DNA Center) で取得できるログに対して、ログレベルを変更する方法を紹介します。 ログレベルの変更方法は、GUI 上で操作して変更する方法と、SSH でアクセスして CLI 上で変更する方法の 2 通りあります。 サービス毎に簡単にログレベルを変更できるため、多くの場合、GUI から変更する方法を採用してください。 CLI から変更する方法については、基本的に Cisco のサポートエンジニアからサービスリクエスト内で指示があった場合に採用してください。 GUI から変更する方法 1. DNA Center に GUI アクセスして、歯車マーク > System Settings に進みます。 2. Settings タブ > Debugging Logs に進みます
Catalyst 9500 シリーズスイッチのリンクダウン
以下の Catalyst 9500 シリーズスイッチ製品の 1G インターフェースで、対向機器側はリンクアップしているにも関わらず、リンクダウンが発生する場合があります。 C9500-32C C9500-32QC C9500-48Y4C C9500-24Y4C この問題が発生した場合、対向機器が継続して Catalyst 9500 にトラフィックを送信し、結果、通信断が発生する場合があります。
DNAC: DNA Center CLI からの snmpwalk 実行 (Version 1.3 以上)
DNA Center からの snmpwalk の実行についてsnmpwalk の実行方法参考資料 本ドキュメントでは、DNA Center (Cisco Digital Network Architecture Center) Version 1.3 以上の環境から 'snmpwalk' コマンドを実行する方法を説明します。Version 1.2.x までの環境についてはDNA Center CLI からの snmpwalk 実行 記事を参照してください。本ドキュメント作成時に確認している製品バージョンは、DNA Center Version 1.3.1.2 です。 DNA Center からの snmpwalk の実行について ディスカバリ作業で SNMP の到達性に問題がある場合のトラブルシューティングでは 'snmpwalk' コマンドによる切り分けが役に立ちます。DNA Cent
Stealthwatch 用 MIB ファイルの入手方法
はじめに SNMPを使用して監視したり SNMP Trap を扱ったりする場合に対象機器の MIB ファイルが必要となる場合があります。本ドキュメントでは Stealthwatch 用 MIB ファイルの入手方法について説明します。 MIBファイルの入手方法 MIBファイルは各アプライアンスの以下のパスに置いてあります。 /lancope/admin/snmp/Lancope-mibs.tgz scp でコピーしてご利用ください。 Stealthwatch Customer Community のアカウントをお持ちの場合、このサイト上でも MIB ファイルが入手できます。但し、全てのバージョン用のファイルが提供されていない場合がありますのでご留意ください。
Nexus 9500 シリーズ スイッチ:冗長スーパーバイザーのスイッチオーバー後に SSH 機能が disabled となる
Cisco Umbrella および Secure Access のリリースノートとアナウンスが利用可能になりました!詳細はこちら
Catalyst 3650/3850/9000 シリーズスイッチで再起動後に SVI への通信ができなくなる
Catalyst 3650/3850/9000 シリーズスイッチで再起動後に SVI で ARP パケットがドロップされる場合があります。 その結果該当 SVI への ARP 未解決の通信ができなくなります。 下記の Catalyst 9000 シリーズスイッチは影響を受けます。 ・Catalyst 9200 シリーズスイッチ ・Catalyst 9300 シリーズスイッチ ・Catalyst 9400 シリーズスイッチ ・Catalyst 9500 シリーズスイッチ
DNA Center と ISE のインテグレーションフロー
はじめに 本ドキュメントでは、Cisco Digital Network Architecture Center (DNA Center) と Cisco Identity Services Engine (ISE) のインテグレーションフローを紹介します。 DNA Center 側のログから確認できる、インテグレーション時に出力されるログメッセージも記載していますので、インテグレーションに失敗する際のトラブルシューティング資料として使用ください。 インテグレーションに必要な条件 DNA Center と ISE のインテグレーションに失敗した時は、まずインテグレーションに必要な条件が満たされているか確認してください。 ISE: pxGrid が有効になっている SSH が有効になっている ERS Read/Write が有効になっている CLI と GUI のユーザアカウントのユーザ名/
Catalyst 9800 シリーズ クライアントの接続問題の調査のためにまず取得するデバックログ
2019-10-25 08:10 PM - 最終編集日: 2021-02-05 10:33 PM 、編集者: JapanTAC_CSC // はじめに Catalyst 9800 シリーズのコントローラの利用時に、クライアント接続問題の調査のために有効な情報が得られるデバックのコマンドと出力例について紹介致します。 ※ AireOS の debug client に相当するコマンドとなります ※ 16.11.1b での動作例となります // コマンド debug wireless mac <aaaa.bbbb.cccc> show debugging << クライアントの接続問題の発生を確認 no debug wireless mac <aaaa.bbbb.cccc> copy bootflash:ra_trace_MAC_*.log ftp://username:password@
ISE 2.x - ログレベル変更したComponentの確認について
ISEのトラブルシューティングにおいて、状況によっては関連ComponentのログレベルをDEBUGレベルに変更した上で、事象再現確認をする必要があります。 しかし、ログレベルを戻した後に、実際にどのComponentをDebugにしたかどうかを確認することはできません。 Administration > System > Logging > Debug Log Configuration > [Node選択]このため、ログレベルの変更直後にどのComponentをDEBUGレベルに変更したのか確認いただくことを推奨しております。 具体的にはDebug Log Configurationの画面で、Log Levelでソートを行うと、Log Levelの高い順(もしくは低い順)にComponentを並べ替えることができますので、そこでDEBUGレベルしたComponentの一覧を確認すること
ISE - Support Bundle取得時のOptionの事後確認について
ISEのトラブルシューティングにおいて多くの場合、Support Bundleを取得しますが、Support bundle取得時に指定したOptionはSupport bundle取得後でも確認が可能です。 具体的な確認方法はSupport Bundleに含まれる(ランダム文字列)-support-argsというファイルを確認するというものになります。 $ pwd /support $ $ ls -la total 56 drwxr-xr-x@ 20 hoge staff 640 Oct 11 12:34 . drwxr-xr-x@ 9 hoge staff 288 Oct 11 12:34 .. -rwxr-xr-x@ 1 hoge staff 22780 Oct 11 12:34 README.txt drwxr-xr-x@ 3 hoge staff 96 Oct 11 12:34 a
IOS-XE 16.x AAA関連 debug 取得方法
はじめに IOS-XE 16.x ではアーキテクチャの大きな変更からdebug の取得方法が変わっています。 (例: debug radius しても何も出てこない。) 本投稿ではAAA 関連の問題のトラブルシューティングで使えそうな内容を中心に紹介します。 情報は Switch Ports Model SW Version SW Image Mode ------ ----- ----- ---------- ---------- ---- * 1 40 C9300-24T 16.9.3 CAT9K_IOSXE BUNDLE から取得しています。 AAA関連動作はSMD(Session Manager Daemon)というprocessで動作しており、以降コマンドに出てきます。 debugの状態確認 IOS/IOS-XE 15.x ではdebugになっているコンポーネントの一覧は c35
Catalyst9800 での Cisco Secure Boot Hardware Tampering Vulnerability 確認方法
下記セキュリティアドバイザリに掲載されている通り Catalyst 9800 シリーズコントローラは該当製品となっており、対処のために FPGA のアップグレードが必要になる場合があります。 Cisco Secure Boot Hardware Tampering Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-secureboot FPGA のアップグレードが必要かどうかは "show hw-programmable 0" の出力で確認できます。 Catalyst 9800-40 では、CPLD Version 19030712 以上 であれば対処の必要はありません。 Catalyst 9800-80 では、CPLD Version
Catalyst3850/Catalyst3650 のイーサチャネルにおいてパケット転送の経路選択について
はじめに 本ドキュメントは Catalyst3850/Catalyst3650 においてイーサチャネルのメンバーポートの内、実際にどの物理ポートが通信に使用されているかを確認する方法を記載します。 ** 各ソフトウェアイメージにてサポートできるコマンドのオプションに差異がある可能性はございますのでご了承ください。** イーサチャネルのロードバランス方式の確認 Catalyst3850/Catalyst3650 において下記のようなイーサチャネルのロードバランス方式をサポートします。 Switch(config)#port-channel load-balance ? dst-ip Dst IP Addr dst-mac Dst Mac Addr dst-mixed-ip-port Dst IP Addr and TCP/UDP Port dst-port Dst TCP/UDP Port
SSM サテライト:予約されている IP アドレス
はじめに 本記事では、Enhanced Edition にてあらかじめ予約されている IP アドレスについて説明します。 投稿時に確認している製品バージョンは、Enhanced Edition 6.3.0 です。 予約されている IP アドレス SSM サテライト Enhanced Edition においては、以下の IP アドレスがあらかじめ予約されています。 CLI から ip route コマンドで確認できます。 atlantis0: 172.16.2.1/24 docker0: 172.17.0.1/16 ご利用のネットワークが上記のレンジと重なる場合は、管理者権限にて以下のファイルを編集する必要がありますので、恐れ入りますが、CX Center (Japan-TAC) までご連絡ください。 /home/deployer/atlantis/docker-compose-up.yml
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Submit Form
https://community.cisco.com/t5/%E3%83%AF%E3%82%A4%E3%83%A4%E3%83%AC%E3%82%B9-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/catalyst-9800-%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-wlc-%E3%81%AE%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E3%82%A2%E3%83%83%E3%83%97%E3%83%87%E3%83%BC%E3%83%88%E6%89%8B%E9%A0%86/ta-p/3938545