Konfiguration und Überprüfung von Port-Channel auf FirePOWER-Appliances
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie Sie den Port-Channel von FirePOWER-Appliances konfigurieren, überprüfen und Fehler beheben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Firepower Management Center (FMC)
- Firepower Chassis Manager (FCM)
- Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Hinweis: In diesem Dokument werden die Begriffe EtherChannel und Port-Channel (PC) synonym verwendet.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- 2 x FPR4120 auf FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 x FPR4110 auf FXOS 2.1(0.159), FTD 6.1.0.330
- 1 x FPR2110 auf FTD 6.2.1 (Build 341)
- 1 x FPR1150 auf FTD 6.5.0
- WS-C3750X-24 am 15.2(4)E5
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Dieses Dokument beschreibt die Konfiguration, Verifizierung und Fehlerbehebung eines Port-Channels auf Firepower-Appliances (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). Die Konfigurationsbeispiele des Dokuments basieren auf Firepower Threat Defense (FTD), aber viele Konzepte (z. B. die Verifizierung und Fehlerbehebung) sind auch für die Adaptive Security Appliance (ASA) vollständig anwendbar.
Konfigurieren
Port-Channel auf FPR4100/FPR9300
Netzwerkdiagramm
Konfigurieren eines Port-Channels über die FXOS-Benutzeroberfläche (FPR4100/FPR9300)
FTD Port-Channel auf Firepower-Appliances wird durch den FXOS-Code verwaltet. Auf FPR4100/FPR9300 erfolgt die Konfiguration über den Firepower Chassis Manager:
Der Port-Channel ist inaktiv (Zustand Failed), bis er einem logischen Gerät zugewiesen wird:
So weisen Sie den Port-Channel dem logischen Gerät zu:
Ergebnis:
Wichtigste Punkte
- Vor FXOS-Version 2.4.x unterstützt der FPR4100/FPR9300 nur LACP (kein Modus EIN oder PAGP). Seit FXOS 2.4.1.101 wird der Modus EIN für Daten- und Datenfreigabe-Etherchannels unterstützt.
- Stellen Sie sicher, dass die im Port-Channel hinzuzufügenden Schnittstellen nicht bereits dem logischen Gerät hinzugefügt wurden. Wenn dies der Fall ist, werden sie beim Hinzufügen des Port-Channels nicht in der Schnittstelle angezeigt.
- Sie können nicht einzelne Port-Channel-Mitglieder aktivieren/deaktivieren, sondern nur den Port-Channel selbst.
- Sie können keinen Port-Channel löschen, der von einem logischen Gerät (z. B. ASA oder FTD) verwendet wird. Sie müssen die Zuordnung zuerst aufheben.
- Der Port-Channel wird erst aktiviert, wenn Sie ihn einem logischen Gerät zuweisen. Wenn der EtherChannel aus dem logischen Gerät entfernt oder das logische Gerät gelöscht wird, kehrt der Port-Channel in den Status Suspended (Ausgesetzt) zurück.
- Stellen Sie die Switch-Ports, die eine Verbindung mit dem aktiven Modus herstellen, für optimale Kompatibilität ein.
Switch-Konfiguration
Wenn Sie den Switch konfigurieren, wird zur Vermeidung von Port-Channel-Instabilitäten Folgendes empfohlen:
- Führen Sie den Befehl „interface range“ aus.
- Fahren Sie die Port-Channel-Schnittstellenmember herunter, bevor Sie Änderungen vornehmen, die sich auf den Port-Channel-Betrieb auswirken (z. B. wenn der Port-Channel-Modus geändert wird).
Beispiel
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Hinweis: Weitere Informationen finden Sie im Abschnitt "Konfigurationsanleitung für das Switch-Modell".
Konfigurieren eines Port-Channels über die FXOS-CLI (FPR4100/FPR9300)
Schritt 1: Überprüfen der Schnittstellen, die dem logischen FTD-Gerät bereits zugewiesen sind.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Schritt 2: Überprüfen der Chassis-Schnittstellen.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Schritt 3: Erstellen des Port-Channels.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Schritt 4: Zuweisen der Schnittstelle zum logischen FTD-Gerät:
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Verifizierung
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
Löschen Sie den Port-Channel aus der FXOS-CLI (FPR4100/FPR9300).
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Port-Channel auf FPR21xx/FPR1xxx
Netzwerkdiagramm
Der FTD-Port-Channel auf FPR21xx/FPR1xxx-Appliances wird durch den FXOS-Code verwaltet, aber die Konfiguration erfolgt über das FMC, da der FTD- und FXOS-Code in einem Software-Bundle integriert sind:
Modus (LACP Active oder ON) werden auf der Registerkarte Advanced (Erweitert) konfiguriert:
Duplex- und Geschwindigkeitseinstellungen werden auf der Registerkarte Hardware Configuration (Hardwarekonfiguration) konfiguriert:
Hinweis: Auf FPR2100 können Sie einen Port-Channel nur von der FXOS-CLI aus erstellen, wenn Sie eine ASA als logisches Gerät verwenden. Nach ASA 9.13.x ist dies nur noch im Plattformmodus der Fall. Im Appliance-Modus (11xx/21xx) gibt es keinen FCM und die gesamte Schnittstellenkonfiguration wird direkt in der ASA-CLI durchgeführt.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
Wenn eine physische Schnittstelle ausgefallen ist und Sie sie aktivieren möchten, gehen Sie wie folgt vor:
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
FDM-Konfiguration
Betrachten Sie diese Topologie:
Sie können EtherChannel-Schnittstellen, die FDM verwenden, ab der Softwareversion 6.5 konfigurieren. Navigieren Sie zu Device > Interfaces > EtherChannels (Gerät > Schnittstellen > EtherChannels) und fügen Sie einen EtherChannel hinzu. Da der EtherChannel in diesem Fall ein Trunk ist, geben Sie die EtherChannel-ID an, aktivieren Sie sie (Status) und fügen Sie die Mitglieder hinzu. Der EtherChannel unterstützt LACP Active und den Modus EIN (kein LACP). In diesem Fall wird der LACP Active-Modus konfiguriert.
Subschnittstellen hinzufügen:
Ergebnis:
Bereitstellen der erwarteten Änderungen
Überprüfung
Port-Channel auf FPR4100/FPR9300 verifizieren
Netzwerkdiagramm
FTD (oder der ASA) sind die einzelnen Port-Channel-Mitglieder nicht bekannt. Logische Schnittstellen (Subschnittstellen) werden im FMC konfiguriert:
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Um den Status des Port-Channels und seiner Mitglieder zu überprüfen, navigieren Sie zum FXOS-Modus:
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
So können Sie den Status der Port-Channels zusammen mit dem letzten Statusverlauf anzeigen:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
So können Sie die Traffic-Verteilung zwischen den Port-Channel-Schnittstellenmitgliedern überprüfen:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
LACP-Nachbarverifizierung
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 = Der Switch wird mit der Port-Channel-ID 5 konfiguriert.
Auf dem Switch:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Hinweis: Auf dem benachbarten Switch wird der Partner-Operationsschlüssel als 0xE (14) angezeigt, obwohl FXOS mit der Port-Channel-ID 15 konfiguriert ist.
LACP-Paketerfassung in Wireshark:
| Partner-Status |
||||||||
| Status |
Abgelaufen |
Ausgefallen |
Verteilt |
Erfasst |
Synchronisierung |
Aggregation |
LACP-Timeout |
LACP-Aktivität |
| Wert |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hexa |
3 |
f |
||||||
Port-Channel auf FPR21xx/FPR1xxx verifizieren
Netzwerkdiagramm
Grundlegende Port-Channel-Verifizierung
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Zusätzliche Verifizierung:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Verifizierung der Port-Channel-Details:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Verifizierung der Details des Port-Channel-Mitglieds:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Details zum Mitglieds-Port:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
LACP-Verifizierung
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Hinweis: Auf FPR21xx/FPR1xxx ist die LACP-Standardrate langsam und kann nicht geändert werden.
LACP-Zähler
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
FPR2100-Schnittstellenverifizierung
Zuordnung der physischen Schnittstellen zum internen FPR2100-Switch:
| Schnittstelle |
Interner Switch bei FPR2110/FPR2120 |
Interner Switch bei FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Überprüfen Sie den Status der physischen Schnittstelle:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Zähler der physischen Schnittstelle:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
MAC-Tabelle des internen Switches FPR2100.
Hinweis: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Die Ports e1/1 und e1/2 entsprechen 0/0 und 0/1 am internen Switch:
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Fehlerbehebung
LACP-Übersicht
LACP-Fakten:
- LACP (Link Aggregation Control Protocol) gemäß IEEE-Standard (802.3ad) ist ein L2-Protokoll, das für die Port-Channel-Aushandlung verwendet wird.
- LACP verwendet die Ziel-MAC-Adresse 0180.c200.0002 und den Ethernet-Typ 0x8809.
- LACP und Modus ON (kein LACP) sind die einzigen Modi, die auf Firepower-Appliances unterstützt werden (Modus ON wurde auf FP4100/FP9300 in FXOS-Version 2.4.x hinzugefügt).
- LACP kann in einem der 2 Modi (aktiv oder passiv) konfiguriert werden. FXOS verwendet immer einen aktiven Modus.
- Das Hauptziel von LACP ist der Schutz vor Port-Channel-Fehlkonfigurationen.
- Damit ein LACP-PC gestartet werden kann, müssen in den Port-Channel-Schnittstellenelementen die gleichen Geschwindigkeits-/Duplexeinstellungen verwendet werden. Unter FXOS stellen Sie die Geschwindigkeit auf Port-Channel-Ebene ein.
- LACP Actor = das lokale Gerät
- LACP Partner = das Remote-Gerät
- Jedes Gerät hat eine LACP-System-ID, die in der Regel die MAC-Adresse des Gehäuses ist. Die LACP-System-ID wird in jedem LACP-Paket gesendet.
- Jedes LACP-Paket hat eine Größe von ~ 110 Byte.
- LACP kann mit Fast Rate oder Slow (Normal) Rate (langsam/normal) arbeiten. Für FXOS ist der Standardwert Fast Rate (außer 1xxx/21xx, dort ist es immer Slow), er kann aber auch als Slow konfiguriert werden. Der LACP-Modus auf der Switch-Seite hängt vom verwendeten Switch-Modell und der verwendeten Software ab. Beispiel: Ein Cat3750 unterstützt ab 15.2(4)E sowohl Slow als auch Fast. Weitere Informationen finden Sie im Konfigurationsleitfaden des Switches.
- Während des LACP-Erkennungszeitraums werden die LACPs alle 1 Sekunde gesendet, unabhängig von der LACP-Geschwindigkeit. Die LACP-Rate wirkt sich nur auf das LACP-Keepalive-Intervall aus, sobald die Schnittstelle aktiv ist.
Vorteile von LACP Keepalive
Der LACP-Keepalive ist in Szenarien hilfreich, in denen die Remote-Schnittstelle nicht mehr funktioniert, aber immer noch aktiv ist (es wurde kein direkter Fehler erkannt). Dies kann der Fall eines Treiber-/L2-Problems sein, oder wenn sich im Pfad ein Gerät (z. B. IPS) befindet, das die Erkennung von Remote-Verbindungsausfällen nicht zulässt. Das Timeout von LACP Keepalive entspricht dem 3-Fachen der Peer-Rate. Wenn der Remote-Peer beispielsweise 1x pro Sekunde sendet, deklariert das lokale Gerät den Remote-Peer als inaktiv, wenn innerhalb von 3 Sekunden kein LACP-Paket empfangen wird. Im Falle der Slow Rate erfolgt dies nach 90 Sekunden.
Alle Felder eines LACP-Pakets, wie sie in Wireshark angezeigt werden:
Hinweis: Wenn ein Port-Channel auf dem FTD terminiert wird, zeigt die FXOS-Erfassung keine LACP-Pakete (Eingang oder Ausgang) an.
LACP Fast Rate vs. Slow Rate
Im Allgemeinen wird empfohlen, auf beiden Seiten Fast Rate zu verwenden (FXOS auf 4100/9300 verwendet standardmäßig Fast Rate, auf FPR2100 ist die Standard-LACP-Übertragungsrate Slow). Die LACP Fast Rate kann die Port-Channel-Bündelungsgeschwindigkeit erhöhen.
| FXOS-Konfiguration Slow |
FXOS-Konfiguration Fast |
|
| Switch-Konfiguration Slow |
Switch fordert Slow FXOS fordert Slow Switch sendet 1 LACP/30 Sek FXOS sendet 1 LACP/30 Sek |
Switch fordert Slow FXOS fordert Fast Switch sendet 1 LACP/Sek FXOS sendet 1 LACP/30 Sek |
| Switch-Konfiguration Fast |
Switch fordert Fast FXOS fordert Slow Switch sendet 1 LACP/30 Sek FXOS sendet 1 LACP/Sek |
Switch fordert Fast FXOS fordert Fast Switch sendet 1 LACP/Sek FXOS sendet 1 LACP/Sek |
So konfigurieren Sie den LACP-Modus auf FXOS (41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
Fehlerbehebung bei Port-Channel auf FPR4100/FPR9300
Netzwerkdiagramm
Die Chassis FPR4100 und FPR9300 enthalten einen internen Switch, an dem der Port-Channel endet. Da der interne Switch einem Nexus 5K ähnelt und FXOS nur LACP unterstützt, ähnelt die Fehlerbehebung dem Vorgehen beim Nexus 5K.
Überprüfen 1: Überprüfen Sie den Port-Channel-Status.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Verifizieren des Status der FXOS-Schnittstelle:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Überprüfung 2: Überprüfen Sie, ob der FXOS LACPs sendet und empfängt (führen Sie den Befehl einige Male aus).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Gleiche Prüfung auf dem Switch:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Verifizierung der LACP-Details einer einzelnen FXOS-Schnittstelle:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
Überprüfen 3: Überprüfen Sie die LACP-IDs des lokalen und des Remote-Geräts.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
4 prüfen (optional) - Diese Ausgabe wird erfasst (kann vom Cisco TAC verwendet werden).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Test 5: LACP-FSM-Übergang für den spezifischen Port überprüfen, der das Problem aufweist. Die Meldungen werden mit der ältesten am oberen Rand der Ausgabe angezeigt.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Überprüfen 6: Sammeln Sie den Port-Channel-Ereignisverlauf (kann vom Cisco TAC verwendet werden).
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
Fehlerbehebung bei Port-Channel auf FPR21xx/FPR1xxx
Netzwerkdiagramm
Test 1: Falls LACP verwendet wird, überprüfen Sie die LACP-Zähler.
Sie sehen, wie beide Seiten (Switch und FXOS) senden und empfangen:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Eine andere Möglichkeit, dies zu überprüfen:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Test 2: Überprüfen Sie den Status des Upstream-Switches.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
Hinweis: Wenn "Collected" und "Distributed" nicht "Yes" und "Default" nicht "No" sind, wird LACP nicht konvergiert.
Test 3: Vergewissern Sie sich, dass die lokale LACP-System-ID nicht 0 ist.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Zusätzliche Fehlerbehebung (gilt für alle Plattformen)
Test 1
Stellen Sie sicher, dass beide Seiten (Firewall und Switch) über übereinstimmende Einstellungen verfügen (z. B. Geschwindigkeit ist gleich, Port-Channel-Modus ist gleich).
Test 2
Überprüfen Sie auf FXOS-Fehler. Sie können diese Prüfung über die Benutzeroberfläche des Chassis oder die CLI durchführen, die diesen Befehl verwendet:
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
Die Fehler werden in chronologischer Reihenfolge angezeigt. „Severity“ (Schweregrad) spiegelt die Wichtigkeit des Fehlers wider, während „Description“ (Beschreibung) einen kurzen Überblick bietet. Der Schwerpunkt liegt hauptsächlich auf dem Schweregrad, dem Zeitstempel und der Beschreibung. Die Reihenfolge der Schweregrade des Fehlers vom schwerwiegendsten zum am wenigsten schwerwiegenden ist:
- Critical (Kritisch)
- Major (Schwerwiegend)
- Geringfügig
- Warnung
- Info/Condition (Info/Zustand)
- Cleared (Gelöscht)
Detaillierte Informationen zu den einzelnen Fehlerprüfungen finden Sie im Leitfaden zu FXOS-Fehlern und -Fehlermeldungen: FXOS-Fehler- und Systemmeldungen
Test 3
Wenn Sie kürzlich Änderungen an der Port-Channel-Konfiguration auf FMC vorgenommen haben, stellen Sie sicher, dass die Richtlinie von FMC auf FTD angewendet wurde.
Test 4
Wenn sich der Port-Channel im Status "Failed" (Ausgefallen) befindet und das Gerät zu einem Cluster gehört, stellen Sie sicher, dass der Cluster auf dem Gerät aktiviert ist. Ein Gerät, das vom Cluster gestartet wird, befindet sich normalerweise im Status "Fehlgeschlagen".
Test 5
Wenn die Konfiguration korrekt ist, die Schnittstelle jedoch nicht aktiviert wird, überprüfen und ersetzen Sie das Kabel und/oder den SFP-Transceiver (Small Form-Factor Pluggable).
Test 6
Überprüfen Sie die Firepower-Versionshinweise auf bekannte Probleme im Zusammenhang mit Port-Channels. Wenn Sie beispielsweise FXOS-Version 2.6.1.169 und FTD 6.4.0.6 ausführen, überprüfen Sie folgende Abschnitte:
Lesen Sie außerdem die zugehörigen FMC-/FTD-Versionshinweise. Da in diesem Beispiel FTD 6.4.0.5 ausgeführt wird, müssen Sie die Versionshinweise für 6.4.x überprüfen:
Häufige Probleme
Fall 1: EtherChannel-Modus stimmt nicht überein
Betrachten Sie diese Topologie:
Problemsymptome
Bei Firepower ist der Port-Channel ausgefallen und das Verhandlungsprotokoll ist LACP:
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
Unter FXOS werden die gesendeten LACP-Zähler alle 30 Sekunden erhöht, die Empfangszähler führen jedoch keine folgenden Schritte aus:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
Ursache
Der Port-Channel auf dem Switch ist AKTIV, aber das Verhandlungsprotokoll fehlt:
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
Die Switch-Port-Konfiguration bestätigt dies:
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Lösung
Da es sich um eine FPR21xx-Appliance handelt, gibt es zwei Lösungsmöglichkeiten:
- Ändern Sie den Port-Channel-Modus auf der Switch-Seite von EIN auf LACP (aktiv oder passiv).
- Ändern Sie den Port-Channel-Modus auf der FTD-Seite von LACP auf ON.
In diesem Szenario wurde die zweite Lösung gewählt (FTD Port-Channel auf Modus EIN einstellen):
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
Die LACP-Zähler werden nicht mehr angezeigt:
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Fall 2: Falsches Port-Channel-Design
Problemsymptome
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
FXOS LACP-Zähler steigen in beide Richtungen:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
Ursache
Die Ausgabe von show lacp neighbor zeigt auf jedem Port eine andere Partnersystem-ID an:
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Dies kann wie folgt visualisiert werden:
Lösung
- Im Fall von 2960 müssen Sie das Stacking (FlexStack) konfigurieren.
- Bei 3750-X/3850 usw. müssen Sie Stacking konfigurieren (StackWise Plus).
- Bei den Switches der Serien 4500, 6500 und 6800 müssen Sie Virtual Switching System (VSS) verwenden.
- Bei Nexus 5000, 7000 oder 9000 müssen Sie Virtual Port-Channel (vPC) verwenden.
- In anderen Fällen müssen Sie das FXOS mit demselben physischen Switch verbinden.
Fall 3: FXOS Port-Channel nicht zugewiesen
Netzwerkdiagramm
Problemsymptome
Auf FXOS-Seite werden die Port-Channel-Mitglieder gesperrt:
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
Dasselbe auf Switch-Seite:
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
Die FXOS-LACP-Zähler zeigen gesendete und empfangene Pakete an:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
Auf der Switch-Seite zeigen die LACP-Zähler auch Pakete an, die gesendet, aber nicht empfangen werden:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
Ursache
Das Problem in diesem Fall ist, dass der FXOS Port-Channel nicht dem logischen Gerät (FTD-Anwendung) zugewiesen ist:
Lösung
Weisen Sie den Port-Channel dem logischen Gerät zu.
Fall 4: Statusbenachrichtigungen über Port-Channel erhalten keine Pakete
Das Gerät (FTD) sendet alle 5 Minuten Informationen über den Traffic, der auf jeder Schnittstelle empfangen wird, die einen konfigurierten Namen hat und aktiv ist. Wenn im letzten Intervall keine Pakete empfangen wurden, werden auf der FMC-Benutzeroberfläche Nachrichten wie diese angezeigt:
Empfohlene Aktion
Überprüfen Sie über die FTD-CLI die Ausgabe von Show Traffic (Datenverkehr anzeigen), und konzentrieren Sie sich auf die Eingaberate von 5 Minuten. Beispiele,
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Fall 5: Statusmeldung auf FMC: Port-Channel getrennt oder Schnittstelle hinzugefügt
In der Integritätswarnung wird Folgendes angezeigt: "Schnittstelle mit physischem Namen: "Port-Channel" nicht zugeordnet." oder ""Schnittstelle mit physischem Namen: \"name_if\" hinzugefügt."
Empfohlene Aktion
Dies ist ein bekanntes kosmetisches Problem, das von der Cisco Bug-ID CSCvb15074 verfolgt wird.
Überlegungen zu Port-Channels
Überlegungen zum Netzwerkdesign
Fall 1: FTD/ASA-Blade mit Hochverfügbarkeit
Dieses Setup wird nicht unterstützt. Der Grund hierfür ist, dass die Port-Channel-Konfiguration auf der Switch-Seite falsch ist und zu einer Datenverkehrsblockierung auf dem Standby-Gerät führt. Ein solches Design wird nur unterstützt, wenn Sie ASA oder FTD im Cluster-übergreifenden Modus konfigurieren.
Warnung: Dieses Szenario ist in Failover (hohe Verfügbarkeit) nicht korrekt.
Das richtige Port-Channel-Design für Hochverfügbarkeit ist:
Zugehörige Informationen
- Verbinden mit einem EtherChannel auf einem anderen Gerät
- EtherChannels für Clustering zwischen Chassis
Fall 2: FTD/ASA in Cluster
Jeder Port-Channel der Firewall-Datenschnittstelle verwendet den Spanned-Modus (dies ist der einzige auf Firepower-Plattformen unterstützte Modus). Vom Design her gesehen gehören die Switchports für eine einzelne Datenschnittstelle auf der Switch-Seite zu einem einzigen Port-Channel.
Beispiel: Bei FP9300 (2 Chassis, 6 Blades) können die Daten-Ports wie folgt konfiguriert werden:
Andererseits nutzt der Cluster Control Link (CCL) den individuellen Port-Channel-Modus. Entsprechend der Best Practices muss die Bandbreite der maximalen Kapazität jedes Mitglieds entsprechen. Darüber hinaus gehört bei Nexus jeder Port-Channel zu einem anderen vPC.
Ähnliches gilt für FP41xx:
Und den CCL:
Fall 3: Port-Channel endet auf FXOS
Port-Channel endet am FXOS-Chassis. Hier ein Beispiel für dieses Design:
Fall 4: Port-Channel durchläuft FXOS
Der Port-Channel durchläuft das FXOS-Chassis. Hier ein Beispiel für dieses Design:
Hinweis: Im zweiten Szenario ist auf der FirePOWER-Appliance kein Port-Channel konfiguriert.
Port-Channel endet auf FXOS vs. Port-Channel durchläuft FXOS
| Funktion |
Kommentare |
| Port-Channel endet am FXOS-Chassis (MIO) |
Funktioniert ab FXOS 2.1.1 |
| Port-Channel durchläuft FXOS-Chassis (MIO) |
|
Zusätzliche Überlegungen
LACP Graceful Convergence
Bei einer Cluster-Konfiguration (ASA oder FTD) wird empfohlen, LACP Graceful Convergence auf Nexus zu aktivieren.
Häufig gestellte Fragen
Frage: Ist die SSP-Port-Channel-Hash-Verteilung fest oder anpassungsfähig?
FXOS verwendet eine ausfallsichere Hash-Verteilung. Dies scheint dem in der Online-Dokumentation zu Nexus 7000/9k beschriebenen festen Hash-Verteilungsmodus zu entsprechen. Beim ausfallsicheren Hashing werden bei einem Verbindungsausfall die der ausgefallenen Verbindung zugewiesenen Datenflüsse gleichmäßig auf die aktiven Verbindungen verteilt. Die aktuellen Datenflüsse über die aktiven Verbindungen werden nicht neu aufbereitet, und die Pakete werden nicht in ungeordneter Reihenfolge zugestellt. Wenn ein Link zum Port-Channel oder zur ECMP-Gruppe hinzugefügt wird, werden einige der Flows, die auf die aktuellen Links gehasht werden, auf den neuen Link neu gehasht, jedoch nicht auf alle aktuellen Links.
F. Was geschieht, wenn die mit dem Port-Channel verbundenen Switch-Ports ausfallen? Überwacht FTD die physische Verbindung oder den Port-Channel?
Wenn alle Port-Channel-Schnittstellenmitglieder ausfallen, fällt auch der Port-Channel aus. Der Betriebszustand des Port-Channels wird als failed (fehlgeschlagen) angezeigt. Aus FTD-Sicht wird der Port-Channel als down (ausgefallen) angezeigt. Andererseits gibt es in dieser Regel eine Ausnahme: Wenn die Switches Stacking verwenden. Bei LACP verwendet die System-ID die Stack-MAC-Adresse des aktiven Switches. Wenn sich der aktive Switch ändert, kann sich die LACP-System-ID ändern. Wenn sich die LACP-System-ID ändert, flappt der gesamte EtherChannel, und es kommt zur STP-Rekonvergenz. Mit dem Befehl stack-mac persistent timer können Sie steuern, ob sich die Stack-MAC-Adresse nach einem aktiven Switch-Failover ändert.
Frage: Soll der Befehl "port-channel min-bundle 2" verwendet werden, damit bei Ausfall eines Links im Port-Channel der Port-Channel ausfällt und die Firewall ein Failover durchführt?
Diese Option ist auf FXOS-Chassis nicht möglich. Um dieses Problem zu umgehen, konfigurieren Sie nach Möglichkeit den Befehl lacp min-links auf den Peer-Switches.
Frage: Wie werden LACP-Pakete erfasst?
Fall 1: Port-Channel endet auf der logischen Appliance (FTD/ASA)
- Der Port-Channel endet tatsächlich auf Chassis-Ebene (FXOS).
- Sie können weder auf Chassis- (FXOS) noch auf Anwendungsebene (FTD/ASA) LACP-Pakete (ein- oder ausgehend) erfassen.
Fall 2: Port-Channel über FTD - FTD-Schnittstelle als Inline-Set bereitgestellt:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Fall 3: Port-Channel durchläuft FTD – FTD-Schnittstelle als bridge-group-Modus bereitgestellt:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
Frage: Wie migriert man von einem einzelnen Port zu einem Port-Channel?
Diese Änderung erfordert ein Wartungsfenster (MW) und greift tief ins System ein. Sobald Sie von einer einzelnen Schnittstelle zu Port-Channel migriert haben, wird die gesamte Konfiguration für die einzelne Schnittstelle von dieser getrennt. Nach dem Erstellen des Port-Channels muss dieselbe Konfiguration erneut dem neu konfigurierten Port-Channel zugeordnet werden, z. B. NAT, Routing, VPN usw. Für FTD enthält dieses Dokument einen Hinweis:
Konfigurieren eines EtherChannel
Für ein ASA-Gerät wird das Verfahren in diesem Dokument beschrieben:
Umwandlung von in Gebrauch befindlichen Schnittstellen in eine redundante oder EtherChannel-Schnittstelle
Frage: Wie ändere ich die Hochverfügbarkeits-FTD-Verbindung zu Port-Channel?
Diese Änderung erfordert ein Wartungsfenster (MW) und greift tief ins System ein. Sie müssen die Hochverfügbarkeit beenden und neu konfigurieren. Geben Sie im neuen Hochverfügbarkeits-Paar den Port-Channel als Hochverfügbarkeitsverbindung an. Zugehöriges Dokument:
Konfigurieren von FTD-Hochverfügbarkeit auf Firepower-Appliances
F. Firepower mit ASA zeigt Port-Channel-Aktivierung, physischen Schnittstellenstatus deaktiviert
Dies bezieht sich auf die Cisco Bug-ID CSCvp03354.
Frage: Spielt es eine Rolle, was für die Port-Channel-ID auf dem FMC ausgewählt werden soll? Muss die Switching-Lösung mit einer anderen Lösung auf dem Switch übereinstimmen?
Nein, dies spielt keine Rolle. Sie können jede beliebige Port-Channel-ID verwenden.
Frage: Müssen Sie auf der Registerkarte "Port-Channel Advanced" (Port-Channel-Erweitert) etwas für die aktive/Standby-MAC-Adresse tun?
Wenn Sie den Port-Channel im Zugriffsmodus (ohne Trunk) verwenden und die HA-Konfiguration (High Availability) verwenden möchten, wird die Konfiguration von Active/Standby-MAC dringend empfohlen. Diese Empfehlung ist nicht Port-Channel-spezifisch, sondern gilt für jedes Setup mit Hochverfügbarkeit.
Frage: Ist es möglich, Beschreibungen für Schnittstellenmember eines Port-Channels zu konfigurieren?
Derzeit (FXOS 2.13.x) wird es nicht unterstützt. Weitere Details finden Sie im aktuellen FXOS-Konfigurationsleitfaden.
Frage: Es ist möglich, den FXOS-Algorithmus für den Port-Channel-Lastenausgleich zu ändern?
Derzeit (FXOS 2.13.x) wird es nicht unterstützt. Weitere Details finden Sie im aktuellen FXOS-Konfigurationsleitfaden.
Frage: Ist es möglich, die minimale Anzahl (Min-Links) von Mitgliedsschnittstellen in einem Port-Channel zu konfigurieren, um den Port-Channel in den gebündelten Zustand zu versetzen?
Derzeit (FXOS 2.13.x) wird es nicht unterstützt. Weitere Details finden Sie im aktuellen FXOS-Konfigurationsleitfaden.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
4.0 |
11-Apr-2024 |
Aktualisierte Stilanforderungen und Formatierung. |
3.0 |
15-May-2023 |
Aktualisierte Formatierung und Sprache |
1.0 |
26-Mar-2020 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)