Resolución de Problemas de Descarte de Paquetes en FP2100 Causado por la Interfaz Física en el Modo Semidúplex
Opciones de descarga
-
ePub (92.9 KB)
Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone -
Mobi (Kindle) (84.4 KB)
Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Lenguaje no discriminatorio
El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Acerca de esta traducción
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Contenido
Introducción
Este documento describe las condiciones, los síntomas, el disparador y las opciones de mitigación de Cisco bug ID CSCwa7915 para recuperar el dispositivo.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Firepower eXtensible Operating System (FXOS)
- Dispositivo de seguridad adaptable (ASA)
- LInux NAtively (LINA)
- Firepower Threat Defense (FTD)
Componentes Utilizados
La información de este documento se basa en este modelo de hardware y versión de software:
- Firepower 2110
- FTD 6.6.5 (incluido con FXOS versión 2.8.1.165)
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Condiciones conocidas de susceptibilidad
Condiciones conocidas actuales relacionadas con Cisco bug ID CSCwa79915 incluir:
1. Dispositivo Firepower serie 2100.
2. Uno o más puertos de chasis dirigidos externos que se ejecutan en el modo dúplex medio (ya sea intencional o como resultado de discordancia dúplex).
3. Configurado con cualquier versión afectada de software Adaptive Security Appliance (ASA) o Firepower Threat Defence (FTD).
Síntomas de bug
1. Los paquetes obtenidos por ASA/LINA (FTD) nunca abandonan el dispositivo.
La observación más clásica/común de este estado es que todas las interfaces de datos muestran muy poco tráfico de sus interfaces.
Cuando una captura se coloca en esta condición, revela que las solicitudes de protocolo de resolución de direcciones (ARP) son enviadas por otros hosts en la misma subred y se recibe una consulta para la dirección de capa 2 de la dirección IP de LINAnux NAtively (LINA) y la captura de LINA muestra una respuesta. Sin embargo, no se ve que esas respuestas ARP salgan del chasis, como se revela cuando se ejecuta un analizador de puerto conmutado (SPAN) en el switch externo en el que están conectadas las interfaces de chasis respectivas asignadas a LINA.
Por ejemplo:
firepower# show capture arp 4 packets captured 1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2 2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f 3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2 4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
Donde 10.255.255.2 es la dirección IP de un host externo que envía consultas ARP a 10.255.255.1, que pertenece a una de las interfaces de datos LINA.
Las respuestas ARP que se consideran transmitidas por LINA en su captura nunca se ven realmente para salir del puerto del chasis físico respectivo.
2. Los contadores de interfaz FXOS para paquetes TX no aumentan.
De manera similar al síntoma de que los hosts externos nunca reciben paquetes del dispositivo afectado, como lo demuestran todos los paquetes enviados por LINA que no salen del chasis, tenemos el síntoma de que los contadores de puertos externos para los paquetes transmitidos (TX) no se incrementan.
En este ejemplo, la interfaz afectada es Ethernet1/12. Una comprobación de los contadores de interfaz del sistema operativo extensible (FXOS) de Firepower para paquetes TX mostró que los contadores nunca aumentaron, a pesar de la indicación de LINA de que esos paquetes se transmitieron al switch de chasis interno.
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0 firepower/eth-uplink/fabric/interface # show stat ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen) Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0
3. Caídas en la interfaz interna de datos/placa posterior entre el switch de chasis interno y ASA/LINA.
La interfaz Internal1/3 se utiliza como una interfaz de backplane/uplink entre el switch en el dispositivo lógico que se ejecuta en el chasis.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
Nota: Para un entorno de tráfico en vivo, la verificación del contador de la interfaz puede ser difícil debido al ruido, así que primero verifique y corrija el modo semidúplex.
Desencadenante de síntomas
Una verificación del estado de las interfaces activas muestra que una de las interfaces de datos activas/UP está en modo dúplex medio, lo que es inusual en general.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
Esta tabla proporciona la asignación de la interfaz del chasis físico al número de puerto del switch interno. Esta asignación es necesaria para comprender el resultado de show portmanager switch status. Según la tabla, podemos ver que para el ID 0/6 del puerto del switch interno (visto en el resultado anterior de show portmanager switch status), el puerto del chasis físico asociado es Ethernet1/8.
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
Opciones para mitigar el disparador y recuperar el dispositivo
La corrección de cualquier discordancia dúplex es la única manera de prevenir el efecto secundario visto en la interfaz de la placa de interconexiones, y esto se puede hacer mediante uno de estos métodos y una recarga del dispositivo.
1. Si el dispositivo par no está configurado con Duplex Auto, cámbielo a Auto (método preferido).
2. Si no hay acceso de administración al dispositivo par:
2.1. Para el FTD gestionado por Firepower Management Center (FMC), desactive la opción Negociación automática en Editar interfaz física en FMC.
2.2. Para el FTD administrado por Firepower Device Manager (FDM), cambie la opción Dúplex de Automático a Completo en Opciones avanzadas de interfaz.
2.3. Para ASA, inhabilite la negociación automática dúplex desde el nivel de chasis de la siguiente manera:
firepower /eth-uplink # scope firepower /eth-uplink # scope fabric a firepower /eth-uplink/fabric # scope interface 1 1 firepower /eth-uplink/fabric/interface # set auto-negotiation no No yes Yes firepower /eth-uplink/fabric/interface # set auto-negotiation no firepower /eth-uplink/fabric/interface* # commit-buffer firepower /eth-uplink/fabric/interface #
Nota: Los métodos enumerados en el paso 2 son opciones teóricas que pueden funcionar en condiciones normales.
3. Conecte la interfaz Firepower en modo semidúplex a un switch diferente que admita la negociación automática de la configuración dúplex o configure el puerto del switch para habilitar la negociación automática de la configuración dúplex.
Nota: Una recarga de todo el dispositivo sigue siendo necesaria después de la ejecución de cualquiera de los pasos, para recuperar la interfaz de backplane de su estado fallido.
Información de ID de bug Cisco
Este bug fue provocado para rastrear una resolución de software del síntoma en el cual la interfaz Internal1/3 del backplane no puede procesar ningún tráfico recibido de LINA después de algún tiempo.
El ID de bug de Cisco CSCwa7915 Puerto físico en semidúplex hace que todos los paquetes de LINA sean descartados por el chasis.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
30-Aug-2022 |
Versión inicial |
Con la colaboración de ingenieros de Cisco
- Daniel MartinezCisco Technical Consulting Engineer
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)