تكوين قناة المنفذ والتحقق منها على أجهزة Firepower
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين قناة المنفذ على أجهزة FirePower والتحقق منها واستكشاف أخطائها وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- مركز إدارة Firepower (FMC)
- مدير هيكل Firepower المعدني (FCM)
- نظام التشغيل Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- قناة EtherChannel (EC)
ملاحظة: في هذا وثيقة، استعملت العبارة EtherChannel و Port-Channel (PC) بالتبادل.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- منفذا FPR4120 على نظام التشغيل FXOS الإصدار 2.2(2.17) و FTD 6.2.0.2.51
- فتحة واحدة FPR4110 على FXOS 2.1(0.159) و FTD 6.1.0.330
- منفذ FPR2110 واحد في FTD 6.2.1 (بنية 341)
- 1 × FPR1150 على FTD 6.5.0
- WS-C3750X-24 on15.2(4)E5
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يصف هذا المستند عمليات التكوين والتحقق واستكشاف الأخطاء وإصلاحها لقناة منفذ على أجهزة Firepower (FPR1xxx وFPR21xx وFPR41xx وFPR93xx). تستند أمثلة تكوين المستند إلى "الدفاع عن تهديد الطاقة النارية (FTD)"، ولكن العديد من المفاهيم (على سبيل المثال، التحقق واستكشاف الأخطاء وإصلاحها) تنطبق بالكامل على أجهزة الأمان المعدلة (ASA) أيضا.
التكوين
قناة المنفذ على FPR4100/FPR9300
الرسم التخطيطي للشبكة
تكوين قناة منفذ من واجهة مستخدم FXOS (FPR4100/FPR9300)
تتم إدارة قناة منفذ FTD على أجهزة FirePower بواسطة رمز FXOS. في FPR4100/FPR9300 يتم التكوين من "مدير هيكل Firepower القاعدي":
تكون قناة المنفذ معطلة (بحالة فاشلة) حتى يتم تعيينها لجهاز منطقي:
لتعيين قناة المنفذ للجهاز المنطقي:
النتيجة:
النقاط الأساسية
- قبل إصدار FXOS 2.4.x، يدعم FPR4100/FPR9300 بروتوكول LACP فقط (من دون وضع تشغيل أو PAGP). نظرًا لأن وضع التشغيل في FXOS 2.4.1.101 مدعوم لقنوات Etherchannel للبيانات ومشاركة البيانات.
- يرجى التأكد من أن الواجهة (الواجهات) التي ستتم إضافتها في Port-Channel لم تتم إضافتها بالفعل إلى الجهاز المنطقي. إن يكون، لا يظهر هم في القارن عندما ال port-channel يكون أضفت.
- لا يمكنك تمكين/تعطيل أعضاء قناة المنفذ الفرديين، ولكن يمكنك ذلك فقط لقناة المنفذ نفسها.
- أنت يستطيع لا يمحو ميناء قناة أن يكون استعملت ب أداة منطقي (مثلا، ASA أو FTD). يجب عليك إلغاء إقرانه أولاً.
- لا تظهر قناة المنفذ حتى تقوم بتعيينها لجهاز منطقي. إذا تمت إزالة قناة EtherChannel من الجهاز المنطقي أو تم حذف الجهاز المنطقي، فستعود قناة المنفذ إلى الحالة معلّقة.
- ثبتت المفتاح ميناء أن يربط إلى أسلوب نشط ل أفضل توافق.
تكوين المبدّل
عند تكوين المُبدّل، ولتجنب حالات عدم استقرار قناة المنفذ، يوصى بما يلي:
- استخدم أمر نطاق الواجهة.
- إيقاف تشغيل أعضاء واجهة قناة المنفذ قبل إجراء التغييرات التي تؤثر على عملية قناة المنفذ (على سبيل المثال، إذا تم تغيير وضع قناة المنفذ).
مثال
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
ملاحظة: ارجع دائما إلى قسم دليل تكوين نموذج المحول للحصول على تفاصيل إضافية.
تكوين قناة منفذ من واجهة سطر أوامر FXOS (FPR4100/FPR9300)
الخطوة 1. تحقق من الواجهات التي تم تعيينها بالفعل للجهاز المنطقي ل FTD.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
الخطوة 2. تحقق من واجهات الهيكل.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
الخطوة 3. قم بإنشاء قناة المنفذ.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
الخطوة 4. قم بتخصيص الواجهة للجهاز المنطقي FTD:
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
التحقق
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
احذف قناة المنفذ من FXOS CLI (FPR4100/FPR9300).
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
قناة المنفذ على FPR21xx/FPR1xxx
الرسم التخطيطي للشبكة
تتم إدارة قناة منفذ FTD على أجهزة FPR21xx/FPR1xxx بواسطة رمز FXOS، ولكن يتم إجراء التكوين من FMC نظرًا لأن كود FTD وFXOS مدمجان في حزمة برامج واحدة:
يتم تكوين الوضع (LACP النشط أو التشغيل) من علامة التبويب متقدمة:
يتم تكوين إعدادات الإرسال المزدوج والسرعة من علامة التبويب تكوين الأجهزة:
ملاحظة: على FPR2100، لا يمكنك إنشاء قناة منفذ من واجهة سطر الأوامر (CLI) لنظام التشغيل FXOS ما لم تستخدم ASA كجهاز منطقي. بعد ASA 9.13.x، هذه هي الحالة فقط في وضع النظام الأساسي. في وضع الجهاز (11xx/21xx)، لا يوجد FCM ويتم تنفيذ كل تكوين الواجهة مباشرة في واجهة سطر أوامر ASA.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
في حالة تعطل واجهة مادية وكنت ترغب في تمكينها، قم بما يلي:
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
تكوين FDM
خذ بعين الاعتبار هذا الهيكل:
أنت يستطيع شكلت EtherChannel قارن أن يستعمل FDM as من 6،5 برمجية إطلاق. انتقل إلى الجهاز > الواجهات > EtherChannel وأضف قناة EtherChannel. نظرًا لأن EtherChannel في هذه الحالة عبارة عن قناة اتصال، فعليك تحديد معرّف EtherChannel وتمكينها (Status) وإضافة الأعضاء. تدعم قناة EtherChannel بروتوكول LACP النشط ووضع التشغيل (من دون بروتوكول LACP). وفي هذه الحالة، يتم تكوين وضع "LACP النشط".
قم بإضافة الواجهات الفرعية:
النتيجة:
نشر التغييرات المتوقعة.
التحقق من الصحة
التحقق من قناة المنفذ على FPR4100/FPR9300
الرسم التخطيطي للشبكة
لا يكون FTD (أو ASA) على دراية بأعضاء قناة المنفذ الفرديين. يتم تكوين الواجهات المنطقية (الواجهات الفرعية) على FMC:
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
للتحقق من حالة قناة المنفذ وأعضائه، انتقل إلى وضع FXOS:
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
للاطلاع على حالة قنوات المنفذ مع تاريخ آخر حالة:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
للتحقق من توزيع حركة المرور بين أعضاء واجهة قناة المنفذ:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
التحقق من جوار LACP
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner OPER Key 0x5 = تكوين المحول باستخدام معرف قناة المنفذ 5.
على المُبدّل:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
ملاحظة: على المحول المجاور، يتم عرض مفتاح Partner Oper على أنه 0xE (14) بالرغم من تكوين FXOS باستخدام معرف قناة المنفذ 15.
التقاط حزمة LACP في Wireshark:
| حالة الشريك |
||||||||
| الحالة |
منتهية الصلاحية |
افتراضية |
مُوزعة |
إستقى |
التزامن |
التجميع |
مهلة LACP |
نشاط LACP |
| القيمة |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| سداسي |
3 |
و |
||||||
التحقق من قناة المنفذ على FPR21xx/FPR1xxx
الرسم التخطيطي للشبكة
التحقق الأساسي من قناة المنفذ
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
تحقق إضافي:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
تحقق من تفاصيل قناة المنفذ:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
تحقق من تفاصيل عضو قناة المنفذ:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
تفاصيل المنفذ العضو:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
التحقق من LACP
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
ملاحظة: في FPR21xx/FPR1xxx، يكون معدل LACP الافتراضي بطيئا ولا يمكن تغييره.
عدادات LACP
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
التحقق من واجهة FPR2100
كيفية تعيين الواجهات المادية للمُبدّل الداخلي FPR2100:
| الواجهة |
المبّدل الداخلي على FPR2110/FPR2120 |
المُبدل الداخلي على FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
تحقق من حالة الواجهة المادية:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
عدادات الواجهة المادية:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
جدول MAC لمبدل FPR2100 الداخلي.
ملاحظة: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
يتوافق المنفذان e1/1 وe1/2 مع 0/0 و0/1 على المُبدّل الداخلي:
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
استكشاف الأخطاء وإصلاحها
نظرة عامة على بروتوكول LACP
حقائق بروتوكول LACP:
- معيار IEEE (802.3ad) بروتوكول التحكم في تجميع الروابط (LACP) هو بروتوكول L2 يُستخدم لمفاوضات قناة المنفذ.
- يستخدم بروتوكول LACP الوجهة MAC 0180.c200.0002 ونوع Ethernet 0x8809.
- LACP ووضع التشغيل (من دون LACP) هما الوضعان الوحيدان المدعومان على أجهزة Firepower (تمت إضافة وضع التشغيل على FP4100/FP9300 في إصدار FXOS 2.4.x).
- يمكن تكوين بروتوكول LACP في أحد الوضعين (نشط أو خامل). يستخدم FXOS دائمًا الوضع النشط.
- الهدف الرئيسي لـ LACP هو الحماية من تكوينات قناة المنفذ الخاطئة.
- لكي يظهر كمبيوتر شخصي يعمل ببروتوكول LACP، تكون هناك حاجة لوجود نفس إعدادات السرعة/الإرسال المزدوج في أعضاء واجهة قناة المنفذ. في FXOS، تقوم بضبط السرعة على مستوى قناة المنفذ.
- منفّذ LACP = الجهاز المحلي
- شريك LACP = الجهاز البعيد
- يحتوي كل جهاز على معرف نظام LACP الذي يكون عادة هو ماك الهيكل. يتم إرسال معرف نظام LACP داخل كل حزمة LACP.
- يبلغ حجم كل حزمة LACP حوالي 110 بايت.
- يمكن أن يعمل بروتوكول LACP بمعدل سريع أو معدل بطيء (عادي). بالنسبة إلى FXOS، يكون المعدل السريع هو المعدل الافتراضي، ولكن يمكن أيضًا تكوينه على المعدل البطيء (باستثناء 1xxx/21xx حيث يكون المعدل الافتراضي هو المعدل البطيء دائمًا). يعتمد وضع LACP على جانب المُبدّل على طراز المُبدّل وSW المستخدم. على سبيل المثال، يدعم طراز Cat3750 كلاً من المعدلين البطيء والسريع بدءًا من 15.2(4)E. تحقق من دليل تأكيد المُبدّل لمزيد من التفاصيل.
- في فترة اكتشاف بروتوكول LACP، يتم إرسال حزم LACP كل ثانية بغض النظر عن معدل LACP. لا يؤثر معدل LACP إلا على فترة استمرار نشاط LACP عندما تكون الواجهة قيد التشغيل.
فوائد بروتوكول LACP Keepalive
يُعد استمرار نشاط LACP مفيدًا في السيناريوهات التي لا تعمل فيها الواجهة البعيدة بعد الآن، ولكنها لا تزال قيد التشغيل (لم يتم اكتشاف فشل مباشر). قد يكون هذا هو حالة مشكلة برنامج التشغيل/L2 أو إذا كان هناك جهاز ما في المسار (على سبيل المثال، IPS) لا يسمح باكتشاف حالات فشل الارتباط عن بعد. يحتوي LACP Keepalive على مهلة لمعدل النظير x 3. على سبيل المثال، إذا قام النظير البعيد بإرسال كل 1 ثانية، فعندئذ يقوم الجهاز المحلي بإعلان انخفاض النظير البعيد إذا لم يتم تلقي حزمة LACP خلال 3 ثوان. في حالة المعدل البطيء، يحدث هذا بعد 90 ثانية.
جميع حقول حزمة LACP كما تظهر في Wireshark:
ملاحظة: عند إنهاء قناة منفذ على FTD، لا يعرض التقاط FXOS حزم LACP (مدخل أو مخرج).
المعدل السريع مقابل المعدل البطيء لبروتكول LACP
بوجه عام، يُوصى باستخدام المعدل السريع على كلا الجانبين (FXOS على 4100/9300 يستخدم المعدل السريع افتراضيًا، وعلى FPR2100 يكون معدل إرسال LACP الافتراضي هو المعدل البطيء). يمكن أن يزيد المعدل السريع لبروتوكول LACP من سرعة تجميع قناة المنفذ.
| تم تكوين FXOS بالمعدل البطيء |
تم تكوين FXOS بالمعدل السريع |
|
| تم تكوين المبدّل بالمعدل البطيء |
طلبات التبديل بطيئة طلبات FXOS بطيئة يرسل المُبدّل LACP واحدًا كل 30 ثانية يرسل FXOS بروتوكول LACP واحدًا كل 30 ثانية |
طلبات التبديل بطيئة طلبات FXOS سريعة يرسل المبدل LACP واحدًا كل ثانية يرسل FXOS بروتوكول LACP واحدًا كل 30 ثانية |
| تم تكوين المبدّل بالمعدل السريع |
طلبات التبديل سريعة طلبات FXOS بطيئة يرسل المُبدّل LACP واحدًا كل 30 ثانية ترسل FXOS بروتوكول LACP واحدًا في الثانية |
طلبات التبديل سريعة طلبات FXOS سريعة يرسل المبدل LACP واحدًا كل ثانية ترسل FXOS بروتوكول LACP واحدًا في الثانية |
لتكوين وضع بروتوكول LACP على FXOS (41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
استكشاف أخطاء قناة المنفذ وإصلاحها على FPR4100/FPR9300
الرسم التخطيطي للشبكة
يحتوي الهيكل المعدني لـ FPR4100 وFPR9300 على مبدل داخلي يتم فيه إنهاء قناة المنفذ. نظرًا لأن المبدل الداخلي يشبه Nexus 5K ولأن FXOS لا يدعم إلا LACP، فإن نهج استكشاف الأخطاء وإصلاحها يشبه لحاله لـ Nexus 5K.
تحقق من 1 - التحقق من حالة قناة المنفذ.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
تحقق من حالة واجهة FXOS:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
تدقيق 2 - التحقق من أن FXOS يرسل ويستلم LACPs (يركض الأمر عدة مرات).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
تحقق من الشيء نفسه على المبدل:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
تحقق من تفاصيل LACP لواجهة FXOS فردية:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
تحقق من 3 - التحقق من معرفات LACP الخاصة بالجهاز المحلي والبعيد.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
تدقيق 4 (إختياري) - يجمع هذا إنتاج (يستطيع كنت استعملت ب cisco TAC).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
الفحص رقم 5 - تحقق من انتقال LACP FSM للمنفذ المحدد صاحب المشكلة. يتم عرض الرسائل مع الأقدم في أعلى الإخراج.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
تدقيق 6 - يجمع ال port-channel حدث محفوظات (يستطيع كنت استعملت ب cisco TAC).
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
استكشاف أخطاء قناة المنفذ وإصلاحها على FPR21xx/FPR1xxx
الرسم التخطيطي للشبكة
تحقق من 1. في حالة إستخدام LACP، تحقق من عدادات LACP.
ترى كلا الجانبين (المبدل و FXOS) يرسلان ويستقبلان:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
هناك طريقة أخرى للتحقق من الأمر نفسه:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
تحقق من 2. تحقق من حالة محول الخادم.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
ملاحظة: إذا لم يتم التجميع والتوزيع بنعم وكان الافتراضي هو لا، فلا يتم تجميع LACP.
تحقق من 3. تحقق من أن معرف نظام LACP المحلي ليس 0.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
استكشاف الأخطاء الإضافية وإصلاحها (مشترك في جميع المنصات)
الفحص رقم 1
ضمنت أن كلا جانب (جدار الحماية والمحول) يتلقى إعدادات مطابقة (على سبيل المثال، السرعة هي نفسها، وضع قناة الميناء هو نفسه).
الفحص رقم 2
تحقق من أعطال FXOS. أنت يستطيع أنجزت هذا تدقيق من الهيكل مستعمل قارن (UI) أو من ال CLI أن يستعمل هذا أمر:
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
تظهر الأخطاء بترتيب زمني. تعكس "درجة الخطورة" أهمية الخطأ، بينما يوفر الوصف نظرة عامة موجزة. ينصب التركيز بشكل أساسي على درجة الخطورة والطابع الزمني والوصف. ويكون ترتيب درجة خطورة الخطأ من الأكثر خطورة إلى الأقل خطورة كالتالي:
- حرج
- كبير
- طفيف
- تحذير
- معلومات/الحالة
- تم مسحه
للحصول على تفاصيل حول كل خطأ تحقق من دليل أخطاء FXOS ورسائل الخطأ: خطأ FXOS ورسائل النظام
الفحص رقم 3
إذا قمت ببعض التغييرات الأخيرة المتعلقة بتكوين قناة المنفذ على FMC، فتأكد من نشر السياسة من FMC إلى FTD.
الفحص رقم 4
إذا كانت Port-Channel في حالة فشل، وكان الجهاز ينتمي إلى نظام مجموعة، فتأكد من تمكين نظام المجموعة على الجهاز. من الطبيعي أن تكون قناة المنفذ الخاصة بالجهاز الذي يتم بدء تشغيله من المجموعة في حالة فشل.
الفحص رقم 5
إذا كان التكوين صحيحا، ولكن الواجهة لا تظهر افحص الكبل و/أو جهاز الإرسال والاستقبال الصغير القابل للتوصيل (SFP) واستبدله.
الفحص رقم 6
تحقق من ملاحظات إصدار Firepower بحثًا عن المشكلات المعروفة المتعلقة بقناة المنفذ. على سبيل المثال، إذا قمت بتشغيل الإصدار 2.6.1.169 من FXOS والإصدار 6.4.0.6 من FTD، فتحقق من الأقسام التالية:
إضافة إلى ذلك، تحقق من ملاحظات إصدار FMC/FTD ذات الصلة. نظرًا لأن FTD في هذا المثال يعمل بإصدار 6.4.0.5، فهناك حاجة إلى التحقق من ملاحظات الإصدار 6.4.x:
المشكلات الشائعة
الحالة 1. EtherChannel أسلوب غير متطابق
خذ بعين الاعتبار هذا الهيكل:
أعراض المشكلة
على FirePower، تكون قناة المنفذ معطلة وبروتوكول التفاوض هو LACP:
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
في FXOS، يتم زيادة عدادات LACP المرسلة كل 30 ثانية، ولكن عدادات التلقي لا:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
السبب الجذري
تكون قناة المنفذ على المبدل قيد التشغيل، ولكن لاحظ غياب بروتوكول التفاوض:
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
يؤكد تكوين منفذ المبدل على هذا الأمر:
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
الحل
بما أن هذا جهاز FPR21xx، فهناك حلان محتملان:
- تغيير وضع قناة المنفذ على جانب المبدل من وضع التشغيل إلى LACP (نشط أو خامل).
- تغيير وضع قناة المبدل على جانب FTD من LACP إلى وضع التشغيل.
في هذا السيناريو، تم إختيار الحل الثاني (تعيين FTD Port-Channel على الوضع ON):
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
لم تعد عدادات LACP معروضة:
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
الحالة 2. تصميم قناة منفذ غير صحيح
أعراض المشكلة
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
تزيد عدادات FXOS LACP في كلا الاتجاهين:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
السبب الجذري
يعرض إخراج الأمر show lacp neighbor معرف نظام الشريك المختلف على كل منفذ:
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
ويمكن تمثيل ذلك على النحو التالي:
الحل
- في حالة 2960، يتعين عليك تكوين التكديس (FlexStack).
- في حالة 3750-X/3850 وما إلى ذلك، تحتاج إلى تكوين التجميع (StackWise Plus).
- في حالات 4500 و 6500 و 6800، يلزمك إستخدام نظام التحويل الظاهري (VSS).
- في حالة Nexus 5K أو 7K أو 9K، يلزمك إستخدام Virtual Port-Channel (vPC).
- في حالة مختلفة، يتعين عليك توصيل FXOS بالمبدل المادي نفسه.
الحالة 3. لم يتم تعيين FXOS Port-Channel
الرسم التخطيطي للشبكة
أعراض المشكلة
من جانب FXOS، تكون حالة أعضاء قناة المنفذ "معلقة":
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
الأمر نفسه من جانب المبدل:
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
تعرض عدادات FXOS LACP الحزم التي يتم إرسالها واستقبالها:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
على جانب المحول، تظهر عدادات LACP أيضا الحزم التي يتم إرسالها، ولكن لا يتم استقبالها:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
السبب الجذري
وتكمن المشكلة، في هذه الحالة، في أن قناة منفذ FXOS لم يتم تعيينها للجهاز المنطقي (تطبيق FTD):
الحل
تعيين قناة المنفذ للجهاز المنطقي.
الحالة 4. لا يستلم تنبيهات الصحة حول Port-channel أي ربط
يرسل الجهاز (FTD) معلومات كل 5 دقائق حول حركة مرور الواجهة المستلمة على كل واجهة تم تكوين اسم لها وهي قيد التشغيل. إذا لم تكن هناك حزم مستلَمة في رسائل الفاصل الزمني الأخيرة تظهر مثل هذه الرسالة على واجهة مستخدم FMC:
الإجراء الموصى به
من واجهة سطر أوامر (CLI) برنامج FTD، تحقق من إخراج حركة مرور العرض وركز على معدل الإدخال الذي يبلغ 5 دقائق. على سبيل المثال,
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
الحالة 5. تنبيه الصحة على FMC: تم قطع اتصال قناة المنفذ أو إضافة واجهة
يشير تنبيه الصحة إلى: "الواجهة ذات الاسم المادي: "Port-Channel" غير مقترنة." أو " واجهة ذات الاسم المادي: \"name_if\" مضافة."
الإجراء الموصى به
هذه معروفة، مستحضرات تجميل إصدار يتتبع ب cisco بق id CSCvb15074
اعتبارات قناة المنفذ
اعتبارات التصميم
الحالة 1. FTD/ASA Blade في HA
هذا الإعداد غير مدعوم. السبب هو أن تكوين قناة المنفذ على جانب المحول غير صحيح ويؤدي إلى كتلة حركة مرور البيانات على الجهاز الاحتياطي. ذلك التصميم يكون مدعومًا فقط عند تكوين ASA أو FTD في الوضع "الممتدة" للمجموعة.
تحذير: هذا السيناريو غير صحيح في تجاوز الفشل (توفر عال).
هذا هو تصميم قناة المنفذ المناسب للتوفر العالي:
معلومات ذات صلة
الحالة 2. FTD/ASA في نظام المجموعة
تستخدم قناة المنفذ الخاصة بواجهة بيانات جدار الحماية الوضع "الممتد" (وهذا هو الوضع الوحيد المدعوم على منصات FirePower). من منظور التصميم، من جانب المبدل، تنتمي منافذ المبدل لواجهة بيانات واحدة إلى قناة منفذ واحدة.
على سبيل المثال، في حالة FP9300 (هيكلان قاعديان، 6 أنصال)، يمكن تكوين منافذ البيانات على النحو التالي:
من ناحية أخرى، يستخدم إرتباط التحكم في المجموعة (CCL) وضع قناة منفذ فردي ولكل أفضل الممارسات، يجب أن يتطابق النطاق الترددي مع السعة القصوى لكل عضو. بالإضافة إلى ذلك، في حالة Nexus، تنتمي كل قناة منفذ إلى vPC مختلفة.
وبالمثل، في حالة FP41xx:
وCCL:
الحالة 3. Port-Channel Terminated على FXOS
تم إنهاء قناة المنفذ على هيكل FXOS. فيما يلي مثال على هذا التصميم:
الحالة 4. قناة المنفذ من خلال FXOS
تمر قناة المنفذ من خلال هيكل FXOS. فيما يلي مثال على هذا التصميم:
ملاحظة: في السيناريو الثاني، لا توجد قناة منفذ تم تكوينها على جهاز أمان FirePOWER.
تم إنهاء قناة المنفذ على FXOS مقابل قناة المنفذ من خلال FXOS
| الميزة |
التعليقات |
| تم إنهاء قناة المنفذ على هيكل FXOS القاعدي (MIO) |
يعمل بدءًا من الإصدار FXOS 2.1.1 |
| تعمل قناة المنفذ عبر هيكل FXOS (MIO) |
|
اعتبارات إضافية
اندماج LACP الخفيف
في حالة إعداد نظام المجموعة (ASA أو FTD)، تكون التوصية هي تمكين تقارب LACP الرائع على Nexus.
الأسئلة المتداولة (FAQ)
س. هل توزيع تجزئة قناة SSP المنفذ ثابت أم قابل للتكيف؟
يستخدم FXOS توزيعًا مرنًا للتجزئة. يبدو هذا مكافئًا لوضع توزيع التجزئة الثابت الموضّح في وثائق Nexus 7000/9k عبر الإنترنت. في حالة فشل إرتباط ما، تتم إعادة توزيع التدفقات المعينة إلى الارتباط الفاشل بشكل موحد بين الارتباطات النشطة. لا يتم إعادة تجزئة التدفقات الحالية عبر الارتباطات النشطة ولا يتم تسليم الحزم الخاصة بها خارج الأمر. عند إضافة إرتباط إلى قناة المنفذ أو مجموعة ECMP، يتم إعادة تقسيم بعض التدفقات التي تم نسخها إلى الارتباطات الحالية إلى الارتباط الجديد، ولكن ليس عبر جميع الارتباطات الحالية.
س. ماذا يحدث إذا تعطلت المحولات المتصلة بالمنفذ-القناة؟ هل يقوم FTD بمراقبة الارتباط المادي، أو قناة المنفذ؟
في حال تعطل جميع أعضاء واجهة قناة المنفذ، تتعطل قناة المنفذ أيضًا. تظهر حالة تشغيل قناة المنفذ على أنها فاشلة. من وجهة نظر FTD، تظهر قناة المنفذ على أنها معطَّلة. من جهة أخرى، في هذه القاعدة، هناك إستثناء: عند إستخدام المحولات للتكديس. باستخدام LACP، يستخدم معرّف النظام عنوان MAC للمكدس من المبدّل النشط، وإذا تغير المبدّل النشط، فيمكن تغيير معرّف نظام LACP. إذا تغير معرّف نظام LACP، تخفق قناة EtherChannel بأكملها وتحدث إعادة اندماج لـ STP. أستخدم أمر المؤقت المستمر للمكدس-mac للتحكم في ما إذا كان عنوان MAC للمكدس يتغير أم لا بعد تجاوز فشل محول نشط.
Q. يريد أن يستعمل الأمر "port-channel min-bundle 2" لذلك إن واحد خطوة في الأيسر-channel سقطت بعد ذلك ال port-channel سقطت وجدار الحماية يتم التغلب على فشل.
هذا الخيار غير ممكن على هيكل FXOS القاعدي. كحل بديل، كوّن الأمر lacp min-links على المبدّلات النظيرة كلما أمكن ذلك.
س. كيف يمكن التقاط حزم LACP؟
الحالة 1. يتم إنهاء قناة المنفذ على الجهاز المنطقي (FTD/ASA)
- يتم بالفعل إنهاء قناة المنفذ عند مستوى الهيكل القاعدي (FXOS).
- لا يمكنك التقاط حِزم LACP (الدخول والخروج) لا على مستوى الهيكل القاعدي (FXOS) ولا على مستوى التطبيق (FTD/ASA).
الحالة 2. قناة المنفذ من خلال FTD - واجهة FTD التي يتم نشرها كمجموعة داخلية:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
الحالة 3. قناة المنفذ من خلال FTD - واجهة FTD يتم نشرها كوضع مجموعة الجسر:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
س. كيفية الترحيل من منفذ واحد إلى قناة منفذ؟
يتطلب هذا التغيير نافذة صيانة (MW) وهو تغيير تدخلي. بمجرد أن تقوم بالترحيل من واجهة واحدة إلى قناة المنفذ، يتم إلغاء اقتران جميع التكوينات المرتبطة بالواجهة الفردية. ما إن يخلق أنت الميناء-channel هناك حاجة أن يعيد ال نفسه تشكيل مع ال يشكل حديثا Port-Channel، مثلا، NAT، تحشد، VPN، وهكذا. بالنسبة لبرنامج FTD، توجد ملاحظة في هذا المستند:
تكوين قناة EtherChannel
بالنسبة لجهاز ASA، يتم توضيح الإجراء في المستند التالي:
تحويل الواجهات قيد الاستخدام إلى واجهة متكررة أو واجهة قناة EtherChannel
س. كيف يمكن تغيير إرتباط التوفر العالي (HA) في برنامج الإرسال فائق السرعة (FTD) إلى قناة المنفذ؟
يتطلب هذا التغيير نافذة صيانة (MW) وهو تغيير تدخلي. يجب عليك كسر التوافر العالي (HA) وإعادة تكوينه. في زوج HA الجديد، حدّد قناة المنفذ كرابط HA. مستند ذو صلة:
تكوين برنامج FTD عالي التوافر على أجهزة Firepower
Q. FirePOWER مع ASA يعرض قناة port-up، حالة الواجهة المادية معطلة
هذا مرتبط ب cisco بق id CSCvp03354
س. هل يهم ماذا تختار لمعرف قناة المنفذ على FMC؟ هل يجب أن يتطابق مع أي شيء من جانب المبدّل؟
كلا، لا يهم. يمكنك استخدام أي معرّف قناة منفذ تريده.
س. تحت علامة التبويب خيارات متقدمة خاصة بقناة المنفذ، هل هناك حاجة لعمل أي شيء ل MAC النشط/الاحتياطي؟
إذا كنت تخطط لاستخدام قناة المنفذ في وضع الوصول (بدون خط اتصال) وتستخدم إعداد التوفر العالي (HA)، فينصح بشدة بتكوين MAC النشط/الاحتياطي. هذه التوصية ليست خاصة بقناة المنفذ ولكنها قابلة للتطبيق على أي إعداد عالي التوافر.
س. هل من الممكن تكوين أوصاف أعضاء واجهة منفذ-channel؟
حاليا (FXOS 2.13.x)، هو غير مدعوم. راجع أحدث دليل لتكوين FXOS للحصول على تفاصيل إضافية.
س. من الممكن تغيير خوارزمية موازنة الأحمال في قناة FXOS؟
حاليا (FXOS 2.13.x)، هو غير مدعوم. راجع أحدث دليل لتكوين FXOS للحصول على تفاصيل إضافية.
س. هل من الممكن تكوين الحد الأدنى لعدد (الحد الأدنى للروابط) من واجهات الأعضاء في قناة الميناء لنقل قناة الميناء إلى الدولة المجمعة؟
حاليا (FXOS 2.13.x)، هو غير مدعوم. راجع أحدث دليل لتكوين FXOS للحصول على تفاصيل إضافية.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
4.0 |
11-Apr-2024 |
تم تحديث متطلبات النمط والتنسيق. |
3.0 |
15-May-2023 |
تنسيق ولغة محدثان |
1.0 |
26-Mar-2020 |
الإصدار الأولي |
التعليقات