Introducción
Este documento describe cómo resolver problemas de bloqueo de Cisco Fabric Services (CFS) en un switch Nexus serie 5000.
Antecedentes
CFS proporciona una infraestructura común para la sincronización automática de la configuración en el fabric. Proporciona la función de transporte, así como un completo conjunto de servicios comunes para las aplicaciones. CFS puede descubrir switches compatibles con CFS en el fabric, así como sus capacidades de aplicación. Algunas de las aplicaciones que se pueden sincronizar con CFS en un switch Nexus 5000 son:
- arp
- callhome
- device-alias
- dhcp_snoop
- dpvm
- eth_port_sec
- fc-port-security
- fcdomain
- fctimer
- fscm
- fwm
- icmpv6
- igmp
- mcectest
- msp
- ntp
- rscn
- session-mgr
- stp
- syslogd
- tapp
- vem_mgr
- vim
- vms
- vpc
Cuando configura una aplicación que utiliza la infraestructura CFS, esa función inicia una sesión CFS y bloquea el fabric. Cuando se bloquea un fabric, el software Nexus no permite ningún cambio de configuración de un switch, excepto el switch que mantiene el bloqueo. El software Nexus también emite un mensaje de error que indica "Operación fallida. El fabric ya está bloqueado".
Si inicia una sesión CFS que requiere un bloqueo de fabric pero olvida finalizar la sesión, un administrador puede borrar la sesión. Si bloquea un fabric en cualquier momento, su nombre de usuario se recuerda en reinicios y switches. Si otro usuario (en el mismo equipo) intenta realizar tareas de configuración, se rechazan los intentos de ese usuario y aparece un mensaje de error "sesión que actualmente es propiedad de otro usuario".
Problema
Un usuario no puede realizar ningún cambio relacionado con la configuración para la aplicación correspondiente, para la que un bloqueo de CFS está atascado o no puede realizar una actualización de software en funcionamiento (ISSU) si el CFS está bloqueado para session-mgr.
Esta lista muestra algunos mensajes de error comunes causados por un bloqueo de CFS:
- Operación fallida. El fabric ya está bloqueado
- Sesión propiedad actualmente de un usuario diferente
- El servicio "cfs" devolvió un error: Operación fallida. El fabric ya está bloqueado (0x40B30029)
Solución
Hay dos métodos que puede utilizar para borrar un bloqueo de CFS:
- Ingrese el comando clear <application> session.
- Identifique la aplicación SAP-ID y desbloquee el fabric para la aplicación con el comando oculto cfs internal download <sap-id>. Sap-ID es el identificador numérico asignado de forma única para cada proceso.
Este procedimiento incluye ambos métodos:
- Valide si CFS está bloqueado e identifique la aplicación afectada.
Este ejemplo de resultado muestra que el CFS está bloqueado actualmente para el canal de puerto virtual (VPC):
cisco-N5k# show cfs lock
Application: vpc
Scope : Physical-eth
--------------------------------------------------------------
Switch WWN IP Address User Name User Type
--------------------------------------------------------------
20:00:00:2a:6a:6d:03:c0 0.0.0.0 CLI/SNMP v3
Total number of entries = 1
Cisco-N5k# show cfs lock name vpc
Scope : Physical-eth
--------------------------------------------------------------
Switch WWN IP Address User Name User Type
--------------------------------------------------------------
20:00:00:2a:6a:6d:03:c0 0.0.0.0 CLI/SNMP v3
Total number of entries = 1
cisco-N5k#
cisco-N5k# show system internal csm info trace
Thu Feb 19 13:20:40.856718 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Thu Feb 19 11:21:11.106929 Unlocking DB, Lock Owner Details:Client:2 ID:-1
Thu Feb 19 11:21:11.104247 DB Lock Successful by Client:2 ID:-1
Mon Feb 16 20:45:16.320494 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Mon Feb 16 20:45:14.223875 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
Mon Feb 16 20:44:59.40095 csm_get_locked_ssn_ctxt[515]: Lock not yet taken.
También puede ingresar el comando show cfs application para ver las aplicaciones que actualmente utilizan CFS:
cisco-N5k# show cfs application
----------------------------------------------
Application Enabled Scope
----------------------------------------------
arp Yes Physical-eth
fwm Yes Physical-eth
ntp No Physical-fc-ip
stp Yes Physical-eth
vpc Yes Physical-eth
fscm Yes Physical-fc
igmp Yes Physical-eth
role No Physical-fc-ip
rscn No Logical
icmpv6 Yes Physical-eth
radius No Physical-fc-ip
fctimer No Physical-fc
syslogd No Physical-fc-ip
fcdomain No Logical
session-mgr Yes Physical-ip
device-alias Yes Physical-fc
Total number of entries = 16
- Borre el bloqueo de CFS. Elija uno de los dos métodos proporcionados en este paso:
Método 1: Ingrese el comando clear <application> session para borrar el bloqueo.
En este ejemplo se borra un bloqueo de CFS para la aplicación NTP:
cisco-N5k#clear ntp session
Nota: Este comando no se aplica a todas las aplicaciones. Por ejemplo, las aplicaciones que entran en el ámbito "Physical-eth", como Address Resolution Protocol (ARP), Forwarding Manager (FWM), Spanning Tree Protocol (STP), VPC, Internet Group Management Protocol (IGMP) y Internet Control Message Protocol (ICMP6). Debe utilizar el comando oculto en el Método 2 para desbloquear la sesión.
Método 2: Identifique la aplicación sap-id y desbloquee el fabric con el comando oculto cfs internal download <sap-id>.
cisco-N5k# show system internal sysmgr service all
Name UUID PID SAP state Start count Tag Plugin ID
---------------- ------- ---- ----- ----- ---------- ----- ---------
aaa 0x000000B5 3221 111 s0009 1 N/A 0
cert_enroll 0x0000012B 3220 169 s0009 1 N/A 0
Flexlink 0x00000434 [NA] [NA] s0075 None N/A 0
psshelper_gsvc 0x0000021A 3159 398 s0009 1 N/A 0
radius 0x000000B7 3380 113 s0009 1 N/A 0
securityd 0x0000002A 3219 55 s0009 1 N/A 0
tacacs 0x000000B6 [NA] [NA] s0075 None N/A 0
eigrp 0x41000130 [NA] [NA] s0075 None N/A 0
isis_fabricpath0x41000243 3876 436 s0009 1 N/A 0
vpc 0x00000251 3900 450 s0009 1 N/A 0 < <
vsan 0x00000029 3817 15 s0009 1 N/A 2
vshd 0x00000028 3149 37 s0009 1 N/A 0
vtp 0x00000281 3902 478 s0009 1 N/A 0
Identifique el sap-id del resultado y desbloquee el fabric como muestra este ejemplo:
cisco-N5k# cfs internal unlock 450
Application Unlocked
cisco-N5k#
Nota: El comando cfs internal download es un comando Nexus OS oculto que se utiliza para desbloquear el CFS y es seguro ejecutarlo en producción.
- Ejecute estos comandos show para validar la solución:
cisco-N5k# show cfs lock name vpc
cisco-N5k#
cisco-N5k# show cfs internal session-history name vpc
--------------------------------------------------------
Time Stamp Source WWN Event
User Name Session ID
---------------------------------------------------------
Tue May 26 23:35:51 2015 20:00:00:05:73:d0:c0:00 LOCK_OBTAINED
admin 147513262
Tue May 26 23:53:52 2015 20:00:00:05:73:d0:c0:00 LOCK_CLEAR
admin 147513262
---------------------------------------------------------
Problemas conocidos
Estos son algunos de los defectos de software conocidos relacionados con el CFS:
- Error de Cisco bug ID CSCtj40756 - falla de ISSU -"cfs" devolvió el error:Fabric ya está bloqueado (0x40B30029)
- Id. de error de Cisco CSCue03528 - Base de datos de sesión / Config Sync / CFS bloqueado en un lado sin confirmación