روشهای مشاهده لاگ سوئیچ سیسکو
در شبکههای امروزی، درصد قابل توجهی از مشکلات عملکردی در سوئیچها از طریق تحلیل لاگها قابل شناسایی و رفع هستند. طبق گزارش Cisco نزدیک به ۸۰٪ خطاهایی که باعث قطعی شبکه میشوند در لاگهای دستگاه از چند دقیقه قبل قابلمشاهده بودهاند؛ یعنی اگر مدیر شبکه زودتر لاگها را بررسی میکرد، اصلا اتفاق نمیافتاد. از این رو، خواندن و مشاهده لاگ سوئیچ سیسکو یکی از پایهایترین مهارتها برای هر کسی است که با سوئیچهای سیسکو کار میکند، حتی اگر مبتدی باشید نیز بهتر است این مهارت را در اولویتهای یادگیری خود قرار دهید.
در این مقاله شما یاد میگیرید که پس از خرید سوئیچ سیسکو و راهاندازی آن، چطور لاگها را باز کنید، پیامها را بخوانید، خطاها را تشخیص دهید و بفهمید چه اتفاقی در شبکه در حال رخ دادن است تا در صورت نیاز بتوانید در سریعترین زمان ممکن مشکلات پیش آمده را رفع کنید.
فهرست محتوا
روشهای مشاهده لاگ سوئیچ سیسکو
مانیتورینگ سوئیچهای سیسکو با چند روش مختلف انجام میشود. هر یک از این روشها، با توجه به مزایا، معایب و ویژگیهای خود، درجههای سختی متفاوتی دارند و برای نوع خاصی از شبکههای سازمانی مناسب هستند. این روشها عبارتند از:
مشاهده لاگها با دستور show logging
دستور show logging رایجترین و سادهترین روش برای دیدن لاگهای ذخیرهشده روی دستگاه (Log Buffer) است. با این دستور مواردی مانند پیغامهای خطا، هشدارها، اطلاعات سیستمی، وضعیت Buffer و سطح Severity پیامها را به شما نشان داده میشود. دستورات show در سوئیچ CISCO در مواد زیر به کار گرفته میشود:
- بررسی سریع آخرین خطاها
- شناسایی خطاهای مربوط به پورتها
- چک کردن پیامهای spanning-tree
- بررسی reboot یا reload دستگاه
- دیدن پیامهای مهم مثل duplex mismatch
برای استفاده از این دستور، فقط کافیست وارد مود privileged در سوئیچ شوید و کد زیر را وارد کنید:
Switch# show logging
پس از اجرای این دستور، دو بخش در گزارش نشان داده شده، اهمیت زیادی دارند. بخش اول مربوط به Message Severity است. در سوئیچهای سیسکو پیامها از ۰ تا ۷ و به شکل زیر دستهبندی میشوند که در بخش روش Log Buffer با آنها آشنا خواهید شد. این دستهبندی اهمیت زیاد دارد، برای مثال اگر لاگ با پیام %LINK-3-UPDOWN شروع شود، عدد ۳ به معنی severity level = 3 = error است.
کد زیر نمونه ای از لاگ دستورات show است که نشان میدهد پورت خاموش شده است و severity=3 نیز به این معنی است که این پیام مهم است:
LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to down
بخش دومی که در گزارش اهمیت دارد، مربوط به Log Buffer است. این بخش قسمتی از RAM است که پیامهای اخیر در آن ذخیره میشود. برای مثال اگر پیام زیر را در گزارش لاگ دیدید به این معنی است که سوئیچ فقط همین مقدار پیام آخر را نگه داشته است:
Syslog logging: enabled
Buffer size: 4096 bytes
مشاهده لاگها با terminal monitor
دومین روش برای مشاهده لاگ سوئیچ سیسکو، استفاده از terminal monitor است. این روش زمانی استفاده میشود که شما روی کنسول یا SSH وارد دستگاه شدهاید، اما پیامهای زنده (real-time) روی صفحه شما نمایش داده نمیشوند. برای مثال، اگر پورت down یا up بشود، یا خطایی رخ دهد، باید پیام بلافاصله روی ترمینال شما ظاهر شود و اگر آن را نمیبینید، به این معنی است که monitor روشن نیست. برای فعالسازی این روش، دستور زیر را در مود privileged وارد کنید:
Switch# terminal monitor
در صورتیکه میخواهید آن را غیرفعال کنید، از دستور زیر استفاده کنید:
Switch# terminal no monitor
پیغام زیر نمونهای از مشاهدهی لاگ ها پس از فعال شدن monitor است. در این حالت، پیام زنده و لحظهای روی صفحه ظاهر میشود:
%LINK-3-UPDOWN: Interface GigabitEthernet1/0/3, changed state to up
در صورتیکه میخواهید از این روش برای مشاهده لاگ سوئیچ سیسکو استفاده کنید، نکات امنیتی زیر را در نظر داشته باشید:
- روی دستگاههای بزرگ، پیامهای زیاد ممکن است ترمینال شما را شلوغ کند.
- اگر در سشن SSH هستید، بهتر است monitor را خاموش کنید تا پیامهای سیستم در حین کارتان ظاهر نشود.
- هیچوقت برای مدت طولانی debug + terminal monitor را همزمان فعال نگذارید (خطر overload).
فعالسازی و مشاهده لاگ با debug
برخلاف logging که برای نمایش پیامهای معمولی و اتفاقهای مهم به کار گرفته میشود، روش debug برای نمایش ریزترین جزئیات پروتکلها مناسب است. البته دقت داشته باشید که از آنجایی که debug سنگین است و CPU را درگیر میکند؛ اگر روی دستگاهی که در حال سرویسدهی است بدون آگاهی debug بزنید، ممکن است باعث کندی یا حتی قطع شبکه شوید. از این رو ضروریست که در ابتدا بدانید که دقیقا چه چیزی را debug میکنید. کاربردهای کلیدی debug عبارتند از:
- بررسی مشکل Spanning-tree (از طریق اجرای دستور debug spanning-tree events)
- بررسی مشکلات interface (از طریق اجرای دستور debug interface)
- مشاهده مشکلات authentication (از طریق اجرای دستور debug dot1x all)
دستور زیر، نمونه ای از مشاهده لاگ سوئیچ سیسکو با استفاده از این روش است:
Switch# debug spanning-tree events
پس از اجرای این دستور، خروجی شبیه به کد زیر خواهد بود:
STP: VLAN0001 port Gi1/0/4 TCN received
STP: VLAN0001 new root port is Gi1/0/1
این کد نشان میدهد که سوئیچ متوجه تغییر توپولوژی شده است (TCN = topology change notification).
برای خاموش کردن debug نیز تنها کافی است از دستور زیر استفاده کنید:
undebug all
مشاهده لاگ از طریق حافظه دستگاه (Log Buffer)
همانطور که گفتیم، Log Buffer بخشی از RAM سوئیچ است که آخرین لاگها در آن ذخیره میشوند و توسط دستور show logging نشان داده میشود. این روش در موقعیتهایی مانند زمانی که میخواهید حجم لاگها رو ببینید یا حافظه لاگ را پاک کنید یا اینکه دستگاه لاگ زیادی ذخیره کرده است و میخواهید این لاگ ها حذف شوند، کاربرد دارد. دستور زیر، نمونهای از اجرای این روش است که تعداد و حجم پیامها را به شما نشان میدهد:
Switch# show logging
Buffer size: 16384 bytes
Logging buffer: 70 messages logged
اگر بخواهید Buffer را نیز پاک کنید، تنها کافیست دستور زیر را اجرا کنید:
Switch# clear logging
در روش مشاهده لاگ سوئیچ سیسکو با دستور show logging گفتیم که سطوح Severity پیامها در Log Buffer از ۰ تا ۷ درجهبندی میشوند. این درجهبندی اهمیت بسیار زیادی دارد. از این رو دقت داشته باشید که اگر پیام ۳ یا ۲ را مشاهده کردید، باید وضعیت سوئیچ سریع بررسی شود:
- عدد ۰ برای Emergency (وضعیت بحرانی / سیستم کار نمیکند.)
- عدد ۱ برای Alert (مشکل شدید)
- عدد ۲ برای Critical (مشکل بحرانی)
- عدد ۳ برای Error (خطای جدید)
- عدد ۴ برای Warning (هشدار)
- عدد ۵ برای Notification (پیام مهم ولی خطرناک نیست.)
- عدد ۶ برای Informational (اطلاعات عمومی)
- عدد ۷ برای Debug (پیامهای کامل و ریز)
ارسال لاگ به Syslog Server و مشاهده کامل Log در یک مرکز
Syslog یک سرور مرکزی برای جمعآوری، ذخیره و تحلیل لاگها است. به عبارت سادهتر، به جای اینکه هر بار وارد سوئیچ شوید، همه پیامها در یک جا جمع میشوند. کشف سریع خطاها، تحلیل امنیتی، نگهداری لاگ برای بازرسی و مانیتورینگ لحظهای از جمله کاربردهای اصلی Syslog هستند. مانیتورینگ متمرکز با استفاده این روش دارای مزایای متعددی است که برخی از آن ها عبارتند از:
- مشاهده لاگ چندین سوئیچ در یک پنل
- ذخیره لاگها برای مدت طولانی
- تحلیل، فیلتر و جستجو
- گزارشگیری
- کاربرد اصلی در سازمانهایی با ۵ تا چندصد سوئیچ
برای تنظیم Syslog در سوئیچ سیسکو دستور زیر را وارد کنید:
Switch(config)# logging host 192.168.1.50
Switch(config)# logging trap informational
Switch(config)# logging on
خط اول این دستور برای معرفی IP سرور Syslog است. (به جای IP داخل دستور، IP سوئیچ خود را وارد کنید. دومی خط، سطح severity را تعیین می کنید و خط سوم نیز برای فعالسازی ارسال پیام کاربرد دارد.
دقت داشته باشید که برای شبکههای بزرگ، اغلب مانیتورینگ سوئیچهای سیسکو از طریق روش Syslog همراه با ابزارهایی مانند PRTG و SolarWinds و ManageEngine OpManager انجام میشود.
بهترین روش مانیتورینگ سوئیچهای سیسکو برای شبکههای کوچک و بزرگ
مشاهده لاگ سوئیچ سیسکو با روشهای مختلفی انجام میشود، اما این روشها از نظر کاربرد، سرعت، دقت و مناسببودن برای شبکههای کوچک و بزرگ، دارای تفاوتهای بسیار مهمی با یکدیگر هستند. در جدول زیر، میتوانید این تفاوتها را مشاهده کنید:
| روش | سطح سختی | مناسب شبکه کوچک؟ | مناسب شبکه بزرگ؟ | مزایا | معایب |
| show logging | آسان | عالی | خوب | سریع، بدون تنظیم اضافه | فقط آخرین پیامها را نشان میدهد. |
| terminal monitor | آسان | متوسط | ضعیف | نمایش پیام لحظهای | اگر پیامها زیاد شوند صفحه را شلوغ میکند. |
| debug | متوسط تا سخت | فقط هنگام تست | خطرناک روی شبکه بزرگ | بررسی دقیق مشکل | مصرف CPU زیاد، ریسک توقف شبکه |
| Log Buffer | آسان | عالی | متوسط | پیامهای اخیر ذخیره میشوند | حجم کم، پیامهای قدیمی حذف میشوند. |
| Syslog Server | متوسط | خوب | عالی (بهترین انتخاب) | ثبت دائمی، گزارشگیری، مانیتورینگ کامل | نیاز به سرور، تنظیمات بیشتر |
انتخاب اینکه کدام روش برای مانیتورینگ سوئیچهای سیسکو بهتر است، به موارد مختلفی بستگی دارد. برای مثال:
- برای شبکههای کوچک (۱ تا ۱۰ سوئیچ)، بهترین ترکیب شامل show logging + terminal monitor + log buffer است، زیرا ساده، سریع و کمهزینه است.
- برای شبکههای بزرگ (۱۰ تا ۵۰۰ سوئیچ): بهترین گزینه استفاده از Syslog Server است زیرا تمام لاگها همیشه ذخیره میشوند، امکان جستجو و گزارشگیری وجود دارد، خطاهای مهم در لحظه هشدار ارسال میشوند و مدیریت شبکه بسیار سادهتر میشود.
در نهایت، روش debug نیز بهتر است فقط برای مواقع خاص و لحظهای مانند هنگام عیبیابی دقیق یک پورت یا VLAN استفاده شود.
خطاهای رایج در لاگ سوئیچهای سیسکو و معنی آنها
بروز خطا در زمان وارد کردن دستورات سوئیچ سیسکو یکی از مشکلات شایعی است که چه برای کاربران مبتدی و چه کارشناسان حرفهای رخ میدهد. رفع این خطاها، گاهی نیاز به تخصص چندانی ندارد و میتوانید خودتان مشکل پیش آمده را حل کنید، اما گاهی نیز ممکن است حتما به کمک یک متخصص نیاز داشته باشید. شایعترین خطاهای رایج در لاگ سوئیچهای سیسکو عبارتند از:
خطای Spanning-Tree (تغییر توپولوژی)
اگر با پیامی مانند کد زیر روبرو شدید، خطای Spanning-Tree رخ داده است:
%SPANTREE-2-CHANGESTATE: VLAN0001: Interface Gi1/0/2 state changed to listening
این پیام به این معنی است که شبکه متوجه تغییر توپولوژی شده است. (برای مثال کابل جدید وصل شده، سوئیچ ریست شده یا پورت بالا آمده است.) این خطا در زمانهای کوتاه باعث Loop یا تأخیر میشود. از این رو باید با استفاده از یکی از راهکارهای زیر آن را رفع کنید:
- بررسی اینکه پورتهای Access روی حالت PortFast باشند. (از طریق اجرای دستور spanning-tree portfast)
- بررسی اینکه loop ایجاد نشده باشد.
- مانیتور کردن STP (از طریق دستور debug spanning-tree) در صورتی که شبکه بزرگ است.
خطای Duplex Mismatch
اگر با یکی از مشکلات کندی شبکه، Packet loss یا تاخیر زیاد روبرو شدید، احتمالا علت آن بروز خطای Duplex Mismatch است. به طور مثال، اگر پیغام زیر را دیدید به این معنی است که تنظیم duplex پورت دو دستگاه برابر نیست. (برای مثال یکی full-duplex و یکی half-duplex است.)
%CDP-4-DUPLEX_MISMATCH: duplex mismatch discovered on Gig1/0/3
برای رفع این خطا و برابر کردن حالت duplex در دو طرف تنها کافی است از دستور زیر استفاده کنید:
interface Gi1/0/3
duplex full
speed 1000
خطای Link Down / Link Up
گاهی ممکن است به علت مشکل کابل، loose connection، آسیب دیدن پورت، خاموش بودن دستگاه مقابل یا ناکافی بودن PoE با خطای Link Down / Link Up روبرو شوید. این خطا چیزی شبیه به پیغام زیر را به شما نشان میپدهد:
%LINK-3-UPDOWN: Interface GigabitEthernet1/0/1, changed state to down
این پیغام بیانگر این است که پورت یا کابل قطع شده است یا نوسان دارد. برای رفع این خطا کافی است از یکی از راهکارهای زیر استفاده کنید:
- تست کابل با ابزار فیزیکی
- جابجایی کابل
- بررسی وضعیت لینک از دستگاه مقابل
- چک کردن VLAN و تنظیمات پورت
خطای Port Security Violation
این خطا به دلایلی مانند وصل شدن دستگاهی جدید به سوئیچ، حمله switch spoofing یا تغییر کارت شبکه سیستم رخ میدهد. پیغام زیر نمونهای از بروز این خطا است و بیانگر این است که یک MAC آدرس غیرمجاز روی پورت دیده شده است:
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred on Gi1/0/7
برای رفع این خطا ابتدا با وارد کردن دستور show port-security پورتی را که خطا میدهد، پیدا کنید و سپس از دستور زیر استفاده کنید. دقت داشته باشید که به جای FastEthernet0/3 باید پورتی را که خطا داده است، قرار دهید:
enable
configure terminal
interface FastEthernet0/3
shutdown
no shutdown
no switchport port-security
switchport port-security
switchport port-security violation restrict
exit
end
write memory
آنچه درباره مشاهده لاگ سوئیچ سیسکو گفتیم
لاگها یکی از مهمترین ابزارهای مدیر شبکه هستند و با استفاده از آنها میتوانید اکثر مشکلات سوئیچهای سیسکو را قبل از اینکه به قطعی شبکه منجر شوند، شناسایی کنید. در این راهنما یاد گرفتید که چگونه با روشهای مختلف مشاهده لاگ سوئیچ سیسکو مانند show logging، terminal monitor، debug، log buffer و syslog server لاگها را مشاهده و تحلیل کنید. همچنین خطاهای رایج مثل duplex mismatch، link down، spanning-tree و port security را بررسی کرده و راهکارهای عملی آنها را آموزش دادیم.
با این دانش، هر کاربری با هر سطح از مهارتی که باشید میتوانید عملکرد سوئیچ را زیر نظر بگیرید و مشکلات را سریعتر و دقیقتر تشخیص دهید. چنانچه خودتان این امکان را ندارید میتوانید از خدمات سوئیچهای سیسکو در فالنیک استفاده کنید. کافیست روی لینک زیر بزنید یا با شماره 0218363 تماس و از کارشناسان ما کمک بگیرید.
