Cisco Debugging – Paketanalyse auf der CLI

Das Debugging, also das Auffinden und Beheben von Problemen und Störungen gehört zu den wichtigsten Aufgaben jedes Administrators. Systeme von Cisco Systems bieten eine sehr schöne Möglichkeit zum Debugging auf dem Command Line Interface (CLI).

Terminal Monitor

Sofern die Verbindung zwischen dem PC und dem Gerät über den seriellen Anschluss (Console) hergestellt wird, werden alle Debugging-Ausgaben auf dem PC ausgegeben. Erfolgt die Kommunikation jedoch über Telnet oder SSH, werden die Ausgaben des Debuggings nicht direkt ausgegeben. Um die Ausgabe der Meldungen auf den Terminal-Sitzung umzuleiten, wird der Befehl terminal monitor verwendet.

Router#terminal monitor

Dabei ist zu beachten, dass jeweils nur eine Sitzung die Ausgaben empfangen kann. Mehrere parallel arbeitende Administratoren können sich demnach gegenseitig behindern.

Debugging aktivieren

Um das Debugging zu starten, wie der Befehl debug im globalen Modus verwendet. Mittels debug ? kann die Liste der verfügbaren Debuggings aufgerufen werden.

Router#debug ?

Durch die umfangreiche Hierachie kann das Debugging zielführend konfiguriert werden. Die Hierachie entspricht im Wesentlichen dem zur Konfiguration eingesetzten Aufbau.

Debugging von IP-Datenverkehr

Beispielhaft wird hier der gesamte IP-Datenverkehr des Routers analysiert. Dazu sollen ale IP-Pakete analysiert und detailliert dargestellt werden.

Router#debug ip packet detail

Debugging von IP-Datenverkehr mittels ALCs

Mit dem oben vorgestellten Debugging erhält der Administrator eine Vielzahl von Informationen über den IP-Datenverkehr, der auf dem Gerät stattfindet. In der Regel führt dies jedoch nicht zum Ziel, da die Informationen ungefiltert ausgegeben werden. Um das Debugging besser steuern zu können, lassen sich Access Controll Lists (ACLs) definieren. Diese werden zunächst in die Konfiguration geschrieben, ehe sie für das Debugging verwendet werden können. Der grundsätzliche Aufbau einer ACL sieht folgenden Aufbau vor:

access-list <ID> <permit|deny> <Protokoll> <Quelladresse> <Quellnetzmaske (Wildcard)> <Zieladresse> <Zielnetzmaske (Wildcard)

Um beispielsweise den Datenverkehr von Netz 10.0.0.0/24 zum Host 10.1.1.4 zu analysieren, wird die folgende ACL in die Konfiguration des Routers geschrieben:

Router(config)#access-list 101 permit ip 10.0.0.0 0.0.0.255 host 10.1.1.4

Nach dem ACL angelegt ist, kann das Debug-Kommando um die ID der ACL ergänzt werden:

Router#debug ip packet detail 101

Nun werden lediglich die IP-Pakete analysiert, die der ACL entsprechen. So kann durch den Einsatz geeigneter Access Controll Lists die Anzahl der Pakete im Debugging drastisch reduziert werden. Dies erleichert dem Adminstrator die Analyse und vermindert die Auslastung des Systems. Die Access Controll Lists können auch über einen ACL-Generator erzeugt werden.

Debugging deaktivieren

Um das Debugging einer einzelnen Funktion zu beenden, wird der zu Aktivierung verwendet Ausdruck verwendet. Jedoch wird debug durch undebug ersetzt. Sollen alle Debugging-Vorgänge beendet werden, kann der Befehl undebug all genutzt werden.

Router#undebug ip packet detail 101