المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء قفل خدمات البنية (CFS) من Cisco وإصلاحها على محول Nexus 5000 Series Switch.
معلومات أساسية
يوفر CFS بنية أساسية مشتركة لمزامنة التهيئة التلقائية في البنية. فهي توفر وظيفة النقل بالإضافة إلى مجموعة ثرية من الخدمات المشتركة للتطبيقات. يمكن ل CFS اكتشاف المحولات ذات إمكانية CFS في البنية بالإضافة إلى قدرات التطبيقات الخاصة بها. بعض التطبيقات التي يمكن مزامنتها باستخدام CFS على محول Nexus 5000 تتضمن:
- ARP
- كالوهوم
- اسم مستعار للجهاز
- dhcp_snoop
- dpvm
- eth_port_sec
- أمان المنفذ الذي يعمل عبر القنوات الليفية
- fcdomain
- فاكتيمر
- FSCM
- فوم
- ICMPv6
- IGMP
- ماكيختير
- msp
- نtp
- rscn
- session-mgr
- STP
- سيلكولد
- تطبيق
- vem_mgr
- فيم
- نظام VMS
- VPC
عندما تقوم بتكوين تطبيق يستخدم البنية الأساسية CFS، فإن تلك الميزة تبدأ جلسة CFS وتقفل البنية. عند تأمين بنية، لا يسمح برنامج Nexus بأي تغييرات في التكوين من محول، بخلاف المحول الذي يحمل القفل. كما يصدر برنامج Nexus رسالة خطأ تنص على فشل العملية. البنية مؤمنة بالفعل.
إذا بدأت جلسة CFS تتطلب تأمين بناء لكنها تنسى إنهاء الجلسة، يمكن للمسؤول مسح الجلسة. إذا قمت بتأمين بنية في أي وقت، سيتم تذكر اسم المستخدم الخاص بك عبر المحولات و المعاد تشغيلها. إذا حاول مستخدم آخر (على نفس الجهاز) تنفيذ مهام التكوين، يتم رفض محاولات ذلك المستخدم وتظهر رسالة خطأ "جلسة العمل التي يمتلكها حاليا مستخدم مختلف".
المشكلة
يتعذر على المستخدم إجراء أي تغيير متعلق بالتكوين للتطبيق المتوافق، والذي يكون فيه قفل CFS عالقا أو غير قادر على إجراء ترقية البرنامج أثناء الخدمة (ISSU) إذا كان CFS مؤمنا ل session-mgr.
تعرض هذه القائمة بعض رسائل الخطأ الشائعة الناتجة عن تأمين CFS:
- فشلت العملية. البنية مؤمنة بالفعل
- جلسة العمل التي يمتلكها حاليا مستخدم مختلف
- قامت الخدمة "cfs" بإرجاع الخطأ: فشلت العملية. البنية مؤمنة بالفعل (0x40b30029)
الحل
هناك طريقتان يمكنك إستخدامهما لمسح تأمين CFS:
- دخلت ال clear <application> جلسة أمر.
- التعرف على SAP-ID للتطبيق وإلغاء تأمين النسيج للتطبيق باستخدام الأمر CFS الداخلي لإلغاء تأمين <sap-id>. SAP-ID هو المعرف الرقمي المعين بشكل فريد لكل عملية.
يتضمن هذا الإجراء الطريقتين التاليتين:
- تحقق مما إذا كان CFS مؤمنا وحدد التطبيق المتأثر.
يوضح إخراج المثال هذا أن CFS مؤمن حاليا لقناة المنفذ الظاهري (VPC):
cisco-N5k# show cfs lock
Application: vpc
Scope : Physical-eth
--------------------------------------------------------------
Switch WWN IP Address User Name User Type
--------------------------------------------------------------
20:00:00:2a:6a:6d:03:c0 0.0.0.0 CLI/SNMP v3
Total number of entries = 1
Cisco-N5k# show cfs lock name vpc
Scope : Physical-eth
--------------------------------------------------------------
Switch WWN IP Address User Name User Type
--------------------------------------------------------------
20:00:00:2a:6a:6d:03:c0 0.0.0.0 CLI/SNMP v3
Total number of entries = 1
cisco-N5k#
cisco-N5k# show system internal csm info trace
Thu Feb 19 13:20:40.856718 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Thu Feb 19 11:21:11.106929 Unlocking DB, Lock Owner Details:Client:2 ID:-1
Thu Feb 19 11:21:11.104247 DB Lock Successful by Client:2 ID:-1
Mon Feb 16 20:45:16.320494 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Mon Feb 16 20:45:14.223875 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Mon Feb 16 20:44:59.40095 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
يمكنك أيضا إدخال أمر إظهار تطبيق cfs لترى التطبيقات التي تستخدم CFS حاليا:
cisco-N5k# show cfs application
----------------------------------------------
Application Enabled Scope
----------------------------------------------
arp Yes Physical-eth
fwm Yes Physical-eth
ntp No Physical-fc-ip
stp Yes Physical-eth
vpc Yes Physical-eth
fscm Yes Physical-fc
igmp Yes Physical-eth
role No Physical-fc-ip
rscn No Logical
icmpv6 Yes Physical-eth
radius No Physical-fc-ip
fctimer No Physical-fc
syslogd No Physical-fc-ip
fcdomain No Logical
session-mgr Yes Physical-ip
device-alias Yes Physical-fc
Total number of entries = 16
- مسح قفل CFS. أختر إحدى الطريقتين الواردتين في هذه الخطوة:
الطريقة 1: أدخل الأمر clear <application> session لمسح التأمين.
يتم مسح قفل CFS لتطبيق NTP في هذا المثال:
cisco-N5k#clear ntp session
ملاحظة: لا ينطبق هذا الأمر على جميع التطبيقات. على سبيل المثال، التطبيقات التي تقع ضمن النطاق "الفعلي" مثل بروتوكول تحليل العنوان (ARP) ومدير إعادة التوجيه (FWM) وبروتوكول الشجرة المتفرعة (STP) وبروتوكول VPC وبروتوكول إدارة مجموعات الإنترنت (IGMP) وبروتوكول رسائل التحكم في الإنترنت (ICMP6). يجب أن تستخدم الأمر المخفي في الأسلوب 2 لإلغاء تأمين الجلسة.
الطريقة 2: التعرف على معرف تطبيق sap وإلغاء تأمين البنية باستخدام الأمر CFS المخفي إلغاء التأمين الداخلي <sap-id>.
cisco-N5k# show system internal sysmgr service all
Name UUID PID SAP state Start count Tag Plugin ID
---------------- ------- ---- ----- ----- ---------- ----- ---------
aaa 0x000000B5 3221 111 s0009 1 N/A 0
cert_enroll 0x0000012B 3220 169 s0009 1 N/A 0
Flexlink 0x00000434 [NA] [NA] s0075 None N/A 0
psshelper_gsvc 0x0000021A 3159 398 s0009 1 N/A 0
radius 0x000000B7 3380 113 s0009 1 N/A 0
securityd 0x0000002A 3219 55 s0009 1 N/A 0
tacacs 0x000000B6 [NA] [NA] s0075 None N/A 0
eigrp 0x41000130 [NA] [NA] s0075 None N/A 0
isis_fabricpath0x41000243 3876 436 s0009 1 N/A 0
vpc 0x00000251 3900 450 s0009 1 N/A 0 < <
vsan 0x00000029 3817 15 s0009 1 N/A 2
vshd 0x00000028 3149 37 s0009 1 N/A 0
vtp 0x00000281 3902 478 s0009 1 N/A 0
تعرف على معرف SAP من الإخراج وقم بإلغاء تأمين البنية كما يوضح هذا المثال:
cisco-N5k# cfs internal unlock 450
Application Unlocked
cisco-N5k#
ملاحظة: إن أمر إلغاء التأمين الداخلي ل CFS هو أمر Nexus OS مخفي يستخدم لإلغاء تأمين CFS وهو آمن للتشغيل في الإنتاج.
- أصدرت هذا عرض أمر in order to دققت الحل:
cisco-N5k# show cfs lock name vpc
cisco-N5k#
cisco-N5k# show cfs internal session-history name vpc
--------------------------------------------------------
Time Stamp Source WWN Event
User Name Session ID
---------------------------------------------------------
Tue May 26 23:35:51 2015 20:00:00:05:73:d0:c0:00 LOCK_OBTAINED
admin 147513262
Tue May 26 23:53:52 2015 20:00:00:05:73:d0:c0:00 LOCK_CLEAR
admin 147513262
---------------------------------------------------------
مشكلات معروفة
هذه بعض عيوب البرامج المعروفة المتعلقة ب CFS:
- معرف الأخطاء من Cisco CSCtj40756 - فشل ISSU - "CFS" المرجع خطأ:البنية مؤمنة بالفعل (0x40B30029)
- معرف تصحيح الأخطاء من Cisco CSCue03528 - تأمين قاعدة بيانات الجلسة / Config Sync / CFS على جانب واحد دون التزام
التعليقات