Dans ce tutoriel, destiné aux admin réseau en particulier mais aussi à tous ceux qui manipulent des switchs Cisco. Voici quelques problèmes courants sur les switchs Cisco et comment les résoudre. D’ailleurs n’hésiter pas à m’envoyer vos problèmes d’administrations sur les switchs Cisco et comment les résoudre. Je ne manquerai pas des les rajouter ici.
Comment faire un reset factory sur un switch Cisco.
Le but de cette manœuvre est de disposer d’un switch vierge pour tester d’autres configurations par exemple ou le renvoyer en cas de panne.
Connectez-vous au switch via le câble console. Exemple sur un switch de bureau Catalyst 3560-CG Series PD.
La première étape consiste à supprimer le fichier vlan.dat qui contient tous les vlans.
# delete flash :vlan.dat
Généralement le fichier vlan.dat se trouve sur la flash. Vous pouvez visualiser le contenu des différentes partitions à l’aide de la commande dir. Par exemple :
# dir flash :
La deuxième étape consiste à supprimer la configuration du switch. Pour cela vous devez utiliser la commande suivante :
# erase startup-config
La troisième étape consiste à redémarrer le switch avec la commande reload :
# reload
Si vous êtes invité à enregistrer quoi que ce soit avant de redémarrer, toujours répondre NON. Au redémarrage vous retrouver une configuration usine de votre switch.
Comment remplacer une carte supervisor sur un switch Cisco.
Sur les switchs Cisco 4500, on peut utiliser 2 cartes superviseurs afin d’améliorer la haute disponibilité d’un châssis. Voici à quoi ressemble une carte supervisor (ou sup pour les intimes) d’un châssis Cisco :
Suite à une coupure électrique, une des cartes sup d’un de nos châssis a flanché et malgré un reboot de la carte de backup impossible de recréer le cluster et de synchroniser les cartes. Nous avions ce message d’erreur (qui initialement ne peut être résolu qu’en redémarrant le châssis entièrement) :
Oct 15 05:47:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started. Oct 15 06:17:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started. Oct 15 06:47:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started. Oct 15 07:17:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started. Oct 15 07:47:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started. Oct 15 08:17:24: %C4K_REDUNDANCY-2-HANDSHAKE_TIMEOUT_ACTIVE: The handshake messaging between active and standby has not yet started.
Dans ce tutoriel nous allons voir la procédure pour remplacer une carte superviseur dans un châssis Cisco dans un contexte de haute disponibilité.
Le but de la manœuvre est de faire un reset usine de la carte supervisor.
Insérer la carte « défaillante » dans le châssis de test et laisser la démarrer. La carte doit être seule dans le châssis. Vous pouvez avoir des messages d’erreurs lors du boot, surtout si vous n’avez pas le même nombre de modules. Laissez-les s’afficher ce n’est pas grave. Une fois la carte prête, il faut utiliser la commande suivante :
# erase /all non-default
Cette commande supprimera sur votre carte toute trace de configuration, y compris les IOS, le fichier vlan.dat, … .
Une fois cette commande exécutée, il faut copier le firmware sur la carte (par exemple ici depuis une clé USB). Malheureusement une fois la configuration effacée, la clé USB n’est pas reconnue.
Il faut utiliser la commande reload pour faire rebooter la carte. Vu qu’il n’y a aucun IOS de disponible, elle va booter en ROMMON (une sorte de mode sans échec de Cisco).
# reload
Ensuite à partir de votre clé USB, bootez sur l’IOS qui va bien (vous devriez toujours avoir une clé USB avec vos configurations et vos IOS dessus au cas où). Théoriquement tous vos switchs de votre réseau devraient avoir le même IOS. Utilisez la commande suivante par exemple pour booter le switch depuis votre clé USB en mode ROMMON :
# rommon 1 >boot usb0:cat4500e-universalk9.SPA.03.04.03.SG.151-2.SG3.bin
Une fois que vous avez la main sur votre switch, copier le firmware sur votre carte supervisor fraichement remise à zéro avec la commande :
# copy usb0: cat4500e-universalk9.SPA.03.04.03.SG.151-2.SG3.bin bootflash : cat4500e-universalk9.SPA.03.04.03.SG.151-2.SG3.bin Destination filename [cat4500e-universal.SPA.03.04.03.SG.151-2.SG3.bin]? =>ENTER
Avant d’enlever votre carte du châssis de test, vérifier si l’IOS a bien était copié dans la bootflash avec la commande :
# sh bootflash :
Ensuite vous pouvez enlever la carte et l’insérer dans un autre châssis. Elle devrait se synchroniser sans problème.
Pour savoir si tout se passe bien, surveiller les logs de votre châssis lors du démarrage de la carte (vous pouvez le faire en branchant un câble console directement sur la carte supervisor de votre chassis). Voici la séquence que vous devriez avoir en cas de succès de synchronisation :
*Oct 27 09:57:55.264: %C4K_IOSSYS-6-IMAGELEVEL: Supervisor booting in image level 'ipbase' *Oct 27 09:57:55.291: %C4K_REDUNDANCY-6-INIT: Initializing as ACTIVE supervisor *Oct 27 09:58:04.482: %C4K_REDUNDANCY-6-DUPLEX_MODE: The peer Supervisor has been detected *Oct 27 09:59:20.154: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan *Oct 27 09:59:21.750: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 1 (WS-X4648-RJ45V+E S/N: JAE17510FU0 Hw: 3.1) is online *Oct 27 09:59:21.750: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 2 (WS-X4648-RJ45V+E S/N: JAE17510FVZ Hw: 3.1) is online *Oct 27 09:59:21.750: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 3 (WS-X45-SUP7L-E S/N: CAT1748L7F9 Hw: 3.0) is online *Oct 27 09:59:21.750: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 5 (WS-X4648-RJ45V+E S/N: JAE181306ND Hw: 3.1) is online *Oct 27 09:59:21.750: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 6 (WS-X4648-RJ45V+E S/N: JAE181306RB Hw: 3.1) is online *Oct 27 09:59:21.751: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 7 (WS-X4648-RJ45V+E S/N: JAE181306RX Hw: 3.1) is online *Oct 27 10:59:22: %SYS-6-CLOCKUPDATE: System clock has been updated from 09:59:22 UTC Mon Oct 27 2014 to 10:59:22 UTC Mon Oct 27 2014, configured from console by console. *Oct 27 10:59:22: %SYS-6-CLOCKUPDATE: System clock has been updated from 10:59:22 UTC Mon Oct 27 2014 to 10:59:22 UTC Mon Oct 27 2014, configured from console by console. *Oct 27 10:59:26: %SYS-5-CONFIG_I: Configured from memory by console *Oct 27 10:59:26: %SYS-5-RESTART: System restarted -- Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSALK9-M), Version 03.04.03.SG RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2013 by Cisco Systems, Inc. Compiled Thu 19-Dec-13 14:08 by prod_rel_team *Oct 27 10:59:26: %SSH-5-ENABLED: SSH 1.99 has been enabled *Oct 27 10:59:26: %SYS-6-LOGGINGHOST_STARTSTOP: Logging to host 192.168.2.39 port 514 started - CLI initiated *Oct 27 10:59:27: %SNMP-5-COLDSTART: SNMP agent on host R445 is undergoing a cold start *Oct 27 10:59:34: %EC-5-BUNDLE: Interface Te3/1 joined port-channel Po1 *Oct 27 10:59:35: %C4K_IOSMODPORTMAN-6-MODULEONLINE: Module 4 (WS-X45-SUP7L-E S/N: CAT1745L3AL Hw: 3.0) is online *Oct 27 10:59:35: %C4K_REDUNDANCY-6-MODE: ACTIVE supervisor initializing for sso mode *Oct 27 10:59:35: %C4K_REDUNDANCY-3-COMMUNICATION: Communication with the peer Supervisor has been established *Oct 27 10:59:36: %C4K_REDUNDANCY-6-MODE: ACTIVE supervisor initializing for sso mode *Oct 27 10:59:46: %C4K_REDUNDANCY-5-CONFIGSYNC: The bootvar has been successfully synchronized to the standby supervisor *Oct 27 10:59:46: %C4K_REDUNDANCY-5-CONFIGSYNC: The config-reg has been successfully synchronized to the standby supervisor *Oct 27 10:59:46: %C4K_REDUNDANCY-5-CALENDAR: The calendar has been successfully synchronized to the standby supervisor for the first time *Oct 27 10:59:46: %C4K_REDUNDANCY-5-CONFIGSYNC: The startup-config has been successfully synchronized to the standby supervisor *Oct 27 10:59:48: %C4K_REDUNDANCY-5-CONFIGSYNC: The private-config has been successfully synchronized to the standby supervisor *Oct 27 10:59:50: %C4K_REDUNDANCY-5-CONFIGSYNC_RATELIMIT: The vlan database has been successfully synchronized to the standby supervisor *Oct 27 10:54:29: %HA_CONFIG_SYNC-6-BULK_CFGSYNC_SUCCEED: Bulk Sync succeeded *Oct 27 10:54:29: %RF-5-RF_TERMINAL_STATE: Terminal state reached for (SSO)
La ligne en gras est très importante et vous signale que le cluster a fini sans synchronisation et qu’il est maintenant opérationnel. A titre d’information voici quelques commandes utiles, pour vérifier l’état du cluster d’un switch Cisco en mode SSO :
# show redundancy
Cette commande permet de voir le statut du cluster de votre switch Cisco. Il faut que la communication soit UP et surtout que la carte de backup (Peer processor Information) soit dans l’état STANDBY HOT.
# redundancy force-switchover
Cette commande vous permet de basculer sur l’autre carte sup du cluster, sans coupure pour vos utilisateurs.
Résoudre le problème Config Mode Locked sur un switch Cisco.
La gamme des commutateurs 4500 permet d’avoir des cartes de supervision redondantes pour prendre le relais en cas de dysfonctionnement de la carte de supervision active. Si pour une raison ou une autre votre châssis se coupe électriquement lors du redémarrage, votre carte de supervision peut se bloquer et il sera impossible de modifier la configuration du chassis.
Vous aurez le message d’erreur suivant : Config mode locked out until standy initializes.
Avant de contacter le support Cisco, pour effectuer le remplacement de la carte (ce qui fut le cas pour moi), nous allons faire quelques tests pour essayer de faire redémarrer la carte normalement.
Premièrement vous devez toujours avoir accès en SSH sur le commutateur, car vous utilisez une double sup (= carte de supervision). Taper la commande suivante pour voir le statut de la redondance des cartes.
#show redundancy status
Le message ci-dessus vous montre une capture en cas de problème avec une carte sup. Vous pouvez voir la ligne communication Down.
Voici maintenant une capture (ci-dessous) avec un fonctionnement normal du dual-sup.
Ensuite taper la commande :
#show module
Vous voyez ici que le module 3 (qui correspond à notre carte sup) n’est pas détecté.
Si vous utilisez le logiciel Cisco Network Assistant , vous avez une représentation graphique de votre châssis, vous pouvez voir que la carte n’est pas reconnue (Unknown).
Avant de retourner la carte, essayer de la redémarrer via la commande suivante :
# hw-module module Numero_module reset
En parallèle, je vous conseille de vous brancher en console sur la carte sup pour voir les informations de reboot de la carte. En ce qui me concerne ce jour-là la carte était bloquée à ce niveau :
Dernière solution, essayer d’enlever et de remettre physiquement la carte dans le châssis. Si cela ne fonctionne toujours pas, vous êtes bon pour appeler le support Cisco pour remplacer la carte.
Supprimer définitivement des fichiers sur la bootflash d’un Cisco 6500.
J’utilise depuis peu, un plugin Centreon pour surveiller la création de fichiers crashinfo sur les switchs Cisco. Le fichier Crashinfo est créé lors d’une erreur grave, soit matériel, soit logiciel sur les switchs. Et malgré la suppression de celui-ci, le plugin me dit qu’il est toujours actif. Bizarre!!!
J’avais un fichier crashinfo sur la bootflash d’un de mes modules. Pour voir le contenu de la flash sur un module, on utilise la commande suivante :
# dir sw1-slot10-dfc-bootflash :
- Sw1 : nom du switch dans un contexte VSS (sw1 et sw2).
- Slot : indique le numéro du module à vérifier.
- Bootflash : carte flash du module ou sont stockés les fichiers de log, d’erreur, …
Pour supprimer un fichier il faut utiliser la commande suivante :
# delete sw1-slot10-dfc-bootflash : crashinfo_20130902-140922-GMT1
Lorsque j’ai effectué cette commande, mon plugin Centreon m’indiquait toujours une erreur concernant le fichier Crashinfo. Alors lorsque je refais un dir de la bootflash, je ne vois aucun fichier. Bizarre.
Après quelques recherches sur le web, j’ai compris que la commande Delete ne supprime pas le fichier, mais lui affecte un flag « D » pour Delete. Mais le fichier, lui, est toujours présent sur la bootflash et peut être vu avec la commande :
#dir /all sw1-slot10-dfc-bootflash:
Le fichier peut être récupéré avec la commande Undelete.
# undelete 1 sw1-slot10-dfc-bootflash :
Pourquoi 1, tout simplement lorsque vous faites un dir /all, vous récupérer le numéro d’index du fichier à restaurer, ici 1.
Ensuite pour vérifier si votre fichier est bien restauré, faites un Dir sur le module.
# dir sw1-slot10-dfc-bootflash :
Si vous avez un navigateur de MIB comme MIB Browser, charger la MIB CISCO-FLASH-MIB et afficher le tableau de l’OID CiscoFlashFileTable.
Vous avez une colonne CiscoFlashFileStatus (4ème en partant de la gauche), qui indique le statut du fichier Deleted, InvalidChecksum, Valid. Ici nous pouvons voir que le fichier à le flag Delete.
Alors comment supprimer définitivement un fichier qui ne vous sert plus à rien.
Suivez cette procédure :
- Etape 1 : Supprimer le fichier avec la commande Delete.
# delete sw1-slot10-dfc-bootflash : crashinfo_20130902-140922-GMT1
- Etape2 : utiliser la commande Squeeze pour supprimer définitivement tous les fichiers marqués comme delete sur la bootflash en question.
# squeeze sw1-slot10-dfc-bootflash:
Tous les fichiers marqués comme Delete ou en Erreur seront supprimés définitivement et il sera impossible de les récupérer.
Refaites une vérification avec le plugin et vous verrez à ce moment que du vert. Le fichier crashinfo ayant était définitivement supprimé.
Voici un petit retour d’expérience sympa sur l’utilisation des switchs Cisco.
Résoudre l’erreur UNSUPPORTED_TRANSCEIVER sur un switch Cisco.
Cette erreur intervient généralement lorsque vous utilisez des GBIC non-Cisco. Cela à pour effet de bloquer le port. Nous allons voir dans ce tutoriel une commande « magique » non documentée de Cisco, qui permet d’utiliser un GBIC d’une autre marque.
Pour être certain de l’erreur, faites un :
#show log
Vous devriez avoir une erreur similaire à celle-ci-dessous :
Jun 3 09:55:10: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/15 has bad crc Jun 3 09:55:10: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/15 Jun 3 09:55:10: %PHY-5-TRANSCEIVERINSERTED: Slot=1 Port=15: Transceiver has been inserted Jun 3 09:55:10: %GBIC_SECURITY_CRYPT-4-VN_DATA_CRC_ERROR: GBIC in port Gi0/16 has bad crc Jun 3 09:55:10: %PHY-4-UNSUPPORTED_TRANSCEIVER: Unsupported transceiver found in Gi0/16
Si vous faites un :
#show inventory
Vous allez voir que vos GBIC sont Unsupported et qu’il n’y aura aucune description dans l’inventaire.
Pour que votre switch accepte les GBIC autre que Cisco, vous devez utiliser la commande cachée et non documentée suivante :
(config)#service unsupported-transceiver
Un message d’avertissement s’affiche vous indiquant que le support n’est pas assuré en cas de problème.
Si vous utilisez la fonctionnalité ERRDISABLE, votre port a dû passer en ERRDISABLE. Pour vérifier le statut du port vous devez utiliser la commande :
#show interface status err-disabled
Notez les éventuels ports en erreur puis faites un shut no shut sur le port pour le réactiver.
Ensuite vous devez passer la commande suivante (toujours dans le cas de l’utilisation de la fonctionnalité ERRDISABLE).
(config)# no errdisable detect cause gbic-invalid
Si vous ne passez pas cette commande, au prochain reboot ou insertion d’un Gbic le port sera bloqué.
Pour vérifier si cette surveillance des ports a bien été désactivée, vous pouvez utiliser la commande suivante :
#show errdisable detect
Cette commande liste toutes les vérifications faites sur les ports par la fonction ERRDISABLE. Normalement la ligne gbic-invalid doit être à Disabled.
Votre GBIC doit maintenant être reconnu par le switch et le port doit monté correctement.
# show interface gigabitEthernet 0/15
Vous remarquez que la ligne Media Type est à Unsupported, vous indiquant que vous utilisez un GBIC non supporté par Cisco.
Dans cette capture avec un GBIC Cisco, vous pouvez voir le type de GBIC utilisé.
That’s All