Configurazione e verifica del port-channel sulle appliance Firepower
Sommario
Introduzione
In questo documento viene descritto come configurare, verificare e risolvere i problemi di port-channel sulle appliance Firepower.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Firepower Management Center (FMC)
- Firepower Chassis Manager (FCM)
- Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Nota: in questo documento, i termini EtherChannel e Port-Channel (PC) sono usati in modo intercambiabile.
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- 2 x FPR4120 su FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 x FPR4110 su FXOS 2.1(0.159), FTD 6.1.0.330
- 1 x FPR2110 su FTD 6.2.1 (build 341)
- 1 x FPR1150 su FTD 6.5.0
- WS-C3750X-24 su 15.2(4)E5
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
In questo documento viene spiegato come configurare, verificare e risolvere i problemi di un port-channel sulle appliance Firepower (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). Gli esempi di configurazione dei documenti sono basati su Firepower Threat Defense (FTD), ma molti concetti (ad esempio, la verifica e la risoluzione dei problemi) sono pienamente applicabili anche ad Adaptive Security Appliance (ASA).
Configurazione
Port-channel sulle appliance FPR4100/FPR9300
Esempio di rete
Configurazione di un port-channel dall'interfaccia utente di FXOS (FPR4100/FPR9300)
Il port-channel FTD sulle appliance Firepower è gestito dal software FXOS. Sulle appliance FPR4100/FPR9300 la configurazione viene effettuata da Firepower Chassis Manager:
Il port-channel è inattivo, stato failed (errore), finché non è assegnato a un dispositivo logico:
Per assegnare il port-channel al dispositivo logico:
Il risultato:
Considerazioni principali
- Nelle release FXOS precedenti alla 2.4.x, le appliance FPR4100/FPR9300 supportano solo LACP (non supportano la modalità ON o PAGP). A partire da FXOS release 2.4.1.101, la modalità ON è supportata per gli EtherChannel dati e di condivisione di dati.
- Verificare che le interfacce da aggiungere nel canale della porta non siano già state aggiunte al dispositivo logico. In caso affermativo, non vengono visualizzati nell'interfaccia quando si aggiunge il Port-Channel.
- Non è possibile abilitare o disabilitare i singoli membri del port-channel, ma solo il port-channel stesso.
- Non è possibile eliminare un Port-Channel utilizzato da un dispositivo logico (ad esempio, ASA o FTD). È necessario prima dissociarlo.
- Il port-channel non è attivo finché non viene assegnato a un dispositivo logico. Se l'EtherChannel è rimosso dal dispositivo logico o il dispositivo logico viene eliminato, il port-channel torna allo stato Suspended (Sospeso).
- Impostare le porte dello switch che si connettono alla modalità attiva per la migliore compatibilità.
Configurazione degli switch
Quando si configura lo switch, per evitare instabilità del port-channel, si consiglia di:
- Usare il comando interface range.
- Chiudere i membri dell'interfaccia Port-Channel prima di apportare modifiche che influiscono sul funzionamento di Port-Channel (ad esempio, se viene modificata la modalità Port-Channel).
Esempio
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Nota: per ulteriori informazioni, consultare sempre la sezione della guida alla configurazione del modello di switch.
Configurazione di un port-channel dalla CLI di FXOS (FPR4100/FPR9300)
Passaggio 1. Verificare le interfacce già assegnate alla periferica logica FTD.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Passaggio 2. Verificare le interfacce dello chassis.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Passaggio 3. Creare il Port-Channel.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Passaggio 4. Assegnare l'interfaccia al dispositivo logico FTD:
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Verifica
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
Eliminare il Port-Channel dalla CLI di FXOS (FPR4100/FPR9300).
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Port-channel sulle appliance FPR21xx/FPR1xxx
Esempio di rete
Il port-channel FTD sulle appliance FPR21xx/FPR1xxx è gestito dal software FXOS, ma la configurazione viene eseguita dall'FMC poiché i software di FTD e FXOS sono integrati in un unico pacchetto:
La modalità, LACP Active (LACP attivo) o ON, è configurata sulla scheda Advanced (Avanzate):
Le impostazioni Duplex e Speed (Velocità) vengono configurate sulla scheda Hardware Configuration (Configurazione hardware):
Nota: sull'FPR2100, non è possibile creare un canale porta dalla CLI di FXOS a meno che non si utilizzi un'ASA come dispositivo logico. Dopo ASA 9.13.x, questa condizione si verifica solo in modalità piattaforma. In modalità appliance (11xx/21xx), FCM non viene usato e tutta la configurazione dell'interfaccia viene effettuata dalla CLI dell'ASA.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
Nel caso in cui un'interfaccia fisica sia inattiva e si desideri abilitarla, procedere come segue:
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
Configurazione di FDM
Supponiamo di avere questa topologia:
È possibile configurare le interfacce EtherChannel che utilizzano FDM dalla versione software 6.5. Andare a Device > Interfaces > EtherChannels (Dispositivo > Interfacce > EtherChannel) e aggiungere un EtherChannel. Poiché in questo caso EtherChannel è un trunk, specificarne l'ID, abilitarlo (Status) e aggiungere i membri. EtherChannel supporta le modalità LACP Active (LACP attivo) e On (no LACP). In questo caso, viene configurata la modalità LACP attivo.
Aggiungere le sottointerfacce:
Il risultato:
Distribuire le modifiche previste.
Verifica
Verifica del port-channel sulle appliance FPR4100/FPR9300
Esempio di rete
L'FTD (o ASA) non conosce i singoli membri del port-channel. Le interfacce logiche (sottointerfacce) sono configurate su FMC:
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Per controllare lo stato di Port-Channel e dei relativi membri, passare alla modalità FXOS:
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
Per visualizzare lo stato dei port-channel e lo storico degli stati più recenti:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
Per controllare la distribuzione del traffico tra i membri dell'interfaccia port-channel:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
Verifica del nodo LACP adiacente
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 = Lo switch è configurato con Port-Channel ID 5.
Sullo switch:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Nota: sullo switch adiacente, la chiave operativa del partner è visualizzata come 0xE (14) anche se FXOS è configurato con ID porta-canale 15.
Acquisizione del pacchetto LACP in Wireshark:
| Stato/Provincia partner |
||||||||
| State |
Scaduto |
Predefinito |
Distribuito |
Raccolti |
Sincronizzazione |
Aggregazione |
Timeout LACP |
Attività LACP |
| Valore |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hex |
3 |
f |
||||||
Verifica del port-channel sulle appliance FPR21xx/FPR1xxx
Esempio di rete
Verifica di base del port-channel
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Ulteriore verifica:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Verificare i dettagli del port-channel:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Verificare i dettagli dei membri del port-channel:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Dettagli delle porte dei membri:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Verifica del protocollo LACP
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Nota: in FPR21xx/FPR1xxx, la velocità LACP predefinita è Lento e non può essere modificata.
Contatori LACP
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
Verifica dell'interfaccia FPR2100
Associazione delle interfacce fisiche allo switch interno FPR2100:
| Interfaccia |
Switch interno sulle appliance FPR2110/FPR2120 |
Switch interno sulle appliance FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Verificare lo stato dell'interfaccia fisica:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Contatori dell'interfaccia fisica:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
Tabella degli indirizzi MAC dello switch interno FPR2100.
Nota: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Le porte e1/1 ed e1/2 corrispondono a 0/0 e 0/1 sullo switch interno:
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Risoluzione dei problemi
Panoramica del protocollo LACP
Fatti LACP:
- Il Link Aggregation Control Protocol (LACP) standard IEEE (802.3ad) è un protocollo L2 usato per la negoziazione sul port-channel.
- Il protocollo LACP usa l'indirizzo MAC di destinazione 0180.c200.0002 e il tipo Ethernet 0x8809.
- Le modalità LACP e On (no LAPC) sono le uniche modalità supportate sulle appliance Firepower (la modalità On è stata aggiunta sui dispositivi FP4100/FP9300 in FXOS release 2.4.x).
- Il protocollo LACP può essere configurato in una delle 2 modalità, LACP attivo o LACP passivo. FXOS utilizza sempre la modalità LACP attivo.
- L'obiettivo principale del protocollo LACP è proteggere il port-channel da configurazioni errate.
- Affinché un port-channel con protocollo LACP si attivi, è necessario che tutti i membri del port-channel abbiano le stesse impostazioni di velocità/duplex. Su FXOS impostare la velocità a livello di port-channel.
- Protagonista LACP = dispositivo locale
- Partner LACP = dispositivo remoto
- Ogni dispositivo dispone di un ID di sistema LACP che in genere corrisponde al MAC dello chassis. L'ID di sistema LACP viene inviato all'interno di ciascun pacchetto LACP.
- Ogni pacchetto LACP ha una dimensione di ~ 110 byte.
- Il protocollo LACP può funzionare a velocità alta o bassa (normale). In FXOS, l'impostazione predefinita è la velocità alta (a eccezione dei dispositivi 1xxx/21xx dove è sempre bassa), ma può essere configurata anche sulla velocità bassa. La modalità LACP sul lato switch dipende dal modello di switch e dal software utilizzato. Ad esempio, un Cat3750 supporta sia la velocità alta sia la velocità bassa a partire dalla release 15.2(4)E. Per ulteriori dettagli, consultare la guida dello switch.
- Durante il periodo di rilevamento LACP, gli LACP vengono inviati ogni 1 secondo indipendentemente dalla frequenza LACP. La velocità del protocollo LACP influisce solo sull'intervallo di keepalive LACP quando l'interfaccia è attiva.
Vantaggi di LACP Keepalive
Il keepalive LACP è utile in molti scenari, dove l'interfaccia remota non è più funzionale, ma è ancora attiva (non si rilevano errori diretti), Ciò può verificarsi in caso di problemi relativi al driver o all'L2 o se nel percorso è presente un dispositivo (ad esempio IPS) che non consente il rilevamento di errori di collegamento remoto. Timeout della velocità peer x 3 per LACP Keepalive. Ad esempio, se il peer remoto invia ogni 1 secondo, il dispositivo locale dichiara il peer remoto inattivo se non riceve alcun pacchetto LACP entro 3 secondi. Nel caso la velocità sia impostata su bassa, il tempo diventa 90 secondi.
Tutti i campi di un pacchetto LACP visualizzati in Wireshark:
Nota: quando si termina un canale di porta sull'FTD, l'acquisizione FXOS non mostra i pacchetti LACP (in entrata o in uscita).
Differenze tra velocità bassa e velocità alta
In generale, si consiglia di usare la velocità alta su entrambi i lati (sui dispositivi 4100/9300 con FXOS la velocità predefinita è alta, sui dispositivi FPR2100 la velocità predefinita è bassa). La velocità del protocollo LACP può aumentare con la velocità aggregata del port-channel.
| FXOS configurato su velocità bassa |
FXOS configurato su velocità alta |
|
| Switch configurato su velocità bassa |
Lo switch richiede la velocità bassa FXOS richiede la velocità bassa Lo switch invia 1 pacchetto LACP ogni 30 sec FXOS invia 1 pacchetto LACP ogni 30 sec |
Lo switch richiede la velocità bassa FXOS richiede la velocità alta Lo switch invia 1 pacchetto LACP al secondo FXOS invia 1 pacchetto LACP ogni 30 sec |
| Switch configurato su velocità alta |
Lo switch richiede la velocità alta FXOS richiede la velocità bassa Lo switch invia 1 pacchetto LACP ogni 30 sec FXOS invia 1 pacchetto LACP al secondo |
Lo switch richiede la velocità alta FXOS richiede la velocità alta Lo switch invia 1 pacchetto LACP al secondo FXOS invia 1 pacchetto LACP al secondo |
Per configurare la modalità LACP su FXOS (41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
Risoluzione dei problemi del port-channel sulle appliance FPR4100/FPR9300
Esempio di rete
Gli chassis FPR4100 e FPR9300 contengono uno switch interno dove termina il port-channel. Poiché lo switch interno è simile a un Nexus 5K e FXOS supporta solo il protocollo LACP, l'approccio di risoluzione dei problemi è simile a quello dei Nexus 5K.
Controllo 1 - Verificare lo stato del canale della porta.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Verificare lo stato dell'interfaccia FXOS:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Controllo 2 - Verificare che FXOS invii e riceva LACP (eseguire il comando alcune volte).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Verificare lo stesso sullo switch:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Verificare i dettagli LACP di una singola interfaccia FXOS:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
Controllare 3 - Verificare gli ID LACP del dispositivo locale e remoto.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
Controllo 4 (facoltativo) - Raccolta dati (utilizzabile da Cisco TAC).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Controllo 5. Controllare la transizione LACP FSM per la porta specifica che presenta il problema. I messaggi vengono visualizzati con il più vecchio all'inizio dell'output.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Controllo 6 - Raccolta della cronologia degli eventi del canale della porta (utilizzabile da Cisco TAC).
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
Risoluzione dei problemi del port-channel sulle appliance FPR21xx/FPR1xxx
Esempio di rete
Controllare 1. Se viene utilizzato LACP, verificare i contatori LACP.
Entrambi i lati (switch e FXOS) inviano e ricevono:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Un altro metodo:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Controllare 2. Verificare lo stato dello switch a monte.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
Nota: se le opzioni Raccolto e Distribuito non sono impostate su Sì e Predefinito è impostato su No, LACP non converge.
Controllo 3. Verificare che l'ID sistema LACP locale non sia 0.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Controlli aggiuntivi comuni a tutte le piattaforme
Controllo 1
Accertarsi che entrambi i lati (firewall e switch) abbiano impostazioni corrispondenti (ad esempio, Speed è la stessa, Port-Channel mode è la stessa).
Controllo 2
Controllare se sono presenti errori FXOS. È possibile eseguire questo controllo dall'interfaccia utente dello chassis o dalla CLI che utilizza questo comando:
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
Gli errori vengono visualizzati in ordine cronologico. La gravità riflette l'importanza dell'errore, mentre la descrizione fornisce una breve panoramica. I parametri più importanti sono la gravità, la data e l'ora e la descrizione. I guasti sono elencati dal più grave al meno grave:
- Critico
- Importante
- Minor (Minore)
- Avviso
- Info/Condizioni
- Eliminato
Per i dettagli su ciascun errore, consultare la guida FXOS Faults and Error Messages: FXOS Error and System Messages
Controllo 3
Se sono state apportate modifiche recenti relative alla configurazione del canale della porta in FMC, verificare che il criterio sia stato distribuito da FMC a FTD.
Controllo 4
Se Port-Channel è in stato Failed e il dispositivo appartiene a un cluster, verificare che il cluster sia abilitato sul dispositivo. Un dispositivo che viene disattivato dal cluster è normale che Port-Channel si trovi in uno stato di errore.
Controllo 5
Se la configurazione è corretta, ma l'interfaccia non viene visualizzata, controllare e sostituire il cavo e/o il ricetrasmettitore SFP (Small Form-Factor Pluggable).
Controllo 6
Controllare le note sulla release di Firepower per i problemi noti relativi al port-channel. Ad esempio, se si esegue FXOS versione 2.6.1.169 e FTD 6.4.0.6, controllare le seguenti sezioni:
Inoltre, controllare le note sulla release di FMC/FTD. Poiché in questo esempio la versione dell'FTD è 6.4.0.5, è necessario controllare le Note sulla release 6.4.x:
Problemi comuni
Caso 1. Modalità EtherChannel non corrispondente
Supponiamo di avere questa topologia:
Sintomi del problema
Su Firepower il port-channel è inattivo e il protocollo di negoziazione è LACP:
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
In FXOS, i contatori LACP inviati vengono incrementati ogni 30 secondi, ma i contatori di ricezione no:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
Causa profonda
Il port-channel sullo switch è attivo, ma il protocollo di negoziazione è assente:
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
La configurazione della porta dello switch conferma questa situazione:
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Soluzione
Trattandosi di un accessorio FPR21xx, esistono due soluzioni possibili:
- Cambiare la modalità port-channel sullo switch da ON a LACP (attivo o passivo).
- Cambiare la modalità port-channel sul lato FTD da LACP a ON.
In questo scenario, è stata scelta la seconda soluzione (impostare Port-Channel FTD su mode ON):
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
I contatori LACP non vengono più visualizzati:
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Caso 2. Progettazione del canale della porta errata
Sintomi del problema
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
I contatori FXOS LACP aumentano in entrambe le direzioni:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
Causa profonda
L'output del comando show lacp neighbor mostra ID di sistema dei partner diversi su ciascuna porta:
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Ciò può essere visualizzato come:
Soluzione
- Sui modelli 2960, configurare i dispositivi in stack (FlexStack).
- Nel caso dello switch 3750-X/3850 e così via, è necessario configurare lo stack (StackWise Plus).
- Nel caso degli switch serie 4500, 6500 e 6800, è necessario utilizzare il Virtual Switching System (VSS).
- Nel caso di Nexus 5K, 7K o 9K, è necessario utilizzare Virtual Port-Channel (vPC).
- Sugli altri dispositivi, collegare FXOS allo stesso switch fisico.
Caso 3. Canale porta FXOS non assegnato
Esempio di rete
Sintomi del problema
Sul lato FXOS i membri del port-channel sono sospesi:
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
Stessa situazione sul lato switch:
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
I contatori LACP FXOS mostrano i pacchetti inviati e ricevuti:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
Sul lato switch, i contatori LACP mostrano anche i pacchetti inviati ma non ricevuti:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
Causa profonda
Il problema, in questo caso, è che il port-channel FXOS non è assegnato al dispositivo logico (applicazione FTD):
Soluzione
Assegnare Port-Channel alla periferica logica.
Caso 4. Avvisi Di Integrità Relativi Alla Porta-Canale Non Ricevono Pacchetti
Il dispositivo (FTD) invia ogni 5 minuti informazioni sul traffico ricevuto su ogni interfaccia con un nome configurato e attiva. Se non riceve pacchetti negli ultimi intervalli, sull'interfaccia utente di FMC vengono visualizzati messaggi simili a questo:
Azione consigliata
Dalla CLI di FTD, controllare l'output show traffic e concentrarsi sulla velocità di input di 5 minuti. Ad esempio,
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Caso 5. Avviso di integrità su FMC: dissociazione porta-canale o aggiunta interfaccia
L'avviso di stato indica: "Interfaccia con nome fisico: "Port-Channel" dissociata." o ""Interfaccia con nome fisico: \"nome_se\" aggiunta."
Azione consigliata
Si tratta di un problema cosmetico noto rilevato dall'ID bug Cisco CSCvb15074
Considerazioni sul port-channel
Considerazioni sulla progettazione
Caso 1. Blade FTD/ASA in HA
Questa impostazione non è supportata. Il motivo è che la configurazione del canale della porta sul lato dello switch è errata e porta al blocco del traffico sul dispositivo di standby. Tale progettazione è supportata solo quando si configura l'ASA o l'FTD in modalità Cluster Spanned.
Avviso: scenario non corretto nel failover (alta disponibilità).
Questa è la configurazione corretta del port-channel per la funzionalità High Availability:
Informazioni correlate
Caso 2. FTD/ASA in cluster
Ogni port-channel di interfaccia dati del firewall usa la modalità Spanned (l'unica modalità supportata sulle piattaforme Firepower). Dal punto di vista della progettazione, sul lato switch, le porte di una singola interfaccia dati appartengono a un port-channel.
Ad esempio, sulle appliance FP9300 (2 chassis, 6 blade) le porte dati possono essere configurate in questo modo:
D'altra parte, il collegamento di controllo del cluster (CCL) utilizza la modalità canale porta individuale e, in base alle best practice, la larghezza di banda deve corrispondere alla capacità massima di ogni membro. Inoltre, sugli switch Nexus, ogni port-channel appartiene a un vPC diverso.
Analogamente, sulle appliance FP41xx:
E il CCL:
Caso 3. Port-channel terminato su FXOS
Il port-channel termina sullo chassis FXOS. Ecco un esempio di questa configurazione:
Caso 4. Port-channel tramite FXOS
Il Port-Channel passa attraverso lo chassis FXOS. Ecco un esempio di questa configurazione:
Nota: nel secondo scenario, non è configurato alcun Port-Channel sull'accessorio Firepower.
Differenze tra port-channel terminato su FXOS e port-channel tramite FXOS
| Funzionalità |
Commenti |
| Port-channel terminato sullo chassis FXOS (MIO) |
Su FXOS release successive alla 2.1.1 |
| Port-channel passa attraverso lo chassis FXOS (MIO) |
|
Ulteriori considerazioni
Convergenza LACP di tipo graceful
In caso di configurazione cluster (ASA o FTD), si consiglia di abilitare LACP Graceful Convergence su Nexus.
Domande frequenti (FAQ)
D. La distribuzione hash del canale della porta SSP è fissa o adattiva?
FXOS utilizza la distribuzione hash resiliente, equivalente alla modalità di distribuzione hash fissa descritta nella documentazione online dei dispositivi Nexus 7000/9k. Nell'hashing resiliente, se un link fallisce, i flussi assegnati al link fallito vengono ridistribuiti uniformemente tra i link attivi. I flussi correnti attraverso i collegamenti attivi non vengono aggiornati e i relativi pacchetti non vengono consegnati in modo non corretto. Quando si aggiunge un collegamento al canale della porta o al gruppo ECMP, alcuni dei flussi con hash ai collegamenti correnti vengono reindirizzati al nuovo collegamento, ma non a tutti i collegamenti correnti.
D. Cosa succede se le porte dello switch collegate al canale della porta non sono attive? FTD controlla il collegamento fisico o il canale della porta?
Se tutti i membri dell'interfaccia port-channel diventano inattivi, anche il port-channel passa allo stato inattivo. Lo stato operativo del port-channel è failed (errore). Dal punto di vista dell'FTD, il port-channel è inattivo. D'altra parte, in questa regola, c'è un'eccezione: quando gli switch usano lo stack. Quando si usa il protocollo LACP, l'ID di sistema usa l'indirizzo MAC dello stack appreso dallo switch attivo. Se lo switch attivo cambia, anche l'ID di sistema LACP può cambiare. Se l'ID di sistema LACP cambia, l'intero canale EtherChannel diventa instabile e si verifica una nuova convergenza STP. Usare il comando stack-mac persistent timer per controllare se l'indirizzo MAC dello stack cambia o meno dopo un failover attivo dello switch.
D. Desidera utilizzare il comando "port-channel min-bundle 2" in modo che se un collegamento nel canale della porta si interrompe, il canale della porta si interrompe e il firewall esegue un failover.
Questa opzione non è possibile sullo chassis FXOS. Per risolvere temporaneamente il problema, e quando possibile, configurare il comando lacp min-links sulla coppia di switch.
D. Come catturare i pacchetti LACP?
Caso 1. Port-Channel terminato sull'appliance logica (FTD/ASA)
- Il port-channel termina effettivamente al livello di chassis (FXOS).
- Non è possibile acquisire pacchetti LACP (in entrata o in uscita) né a livello di chassis (FXOS) né a livello di applicazione (FTD/ASA).
Caso 2. Port-Channel attraverso l'interfaccia FTD - FTD distribuito come inline-set:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Caso 3. Port-Channel attraverso l'interfaccia FTD - FTD implementata come modalità bridge-group:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
D. Come eseguire la migrazione da una porta a una porta-canale?
Questa modifica deve essere eseguita durante un periodo di manutenzione perché è invasiva. Dopo aver migrato da un'interfaccia singola al port-channel, tutte le configurazioni dell'interfaccia singola vengono rimosse. Una volta creato il Port-Channel, è necessario riassociare la stessa configurazione con il Port-Channel appena configurato, ad esempio NAT, Routing, VPN e così via. Per FTD, fare riferimento a questo documento:
Configurazione di un EtherChannel
Sulle appliance ASA, la procedura è descritta in questo documento:
Conversione delle interfacce in uso in un'interfaccia ridondante o EtherChannel
D. Come modificare il collegamento FTD ad alta disponibilità (HA) su Port-Channel?
Questa modifica deve essere eseguita durante un periodo di manutenzione perché è invasiva. È necessario separare la coppia di dispositivi HA e riconfigurarla. Nella nuova coppia HA, specificare il port-channel come collegamento HA. Documenti correlati:
Configurazione della funzionalità FTD High Availability nei dispositivi Firepower
D. Firepower con ASA mostra lo stato attivo del canale della porta, lo stato inattivo dell'interfaccia fisica
Questo è relativo all'ID bug Cisco CSCvp03354
D. È importante scegliere l'ID del canale della porta sul FMC? Deve corrispondere a qualche elemento sul lato switch?
No, non è necessario. È possibile usare qualsiasi ID port-channel desiderato.
D. Nella scheda Port-Channel Advanced, è necessario fare qualcosa per l'indirizzo MAC attivo/standby?
Se si prevede di utilizzare Port-Channel in modalità di accesso (senza trunk) e si utilizza l'impostazione High Availability (HA), si consiglia di configurare l'indirizzo MAC attivo/standby. Questo consiglio non riguarda solo il port-channel ma è valido per qualsiasi configurazione HA.
D. È possibile configurare le descrizioni dei membri di interfaccia di un Port-Channel?
Attualmente (FXOS 2.13.x), non è supportato. Consultare la guida alla configurazione di FXOS più recente per ulteriori dettagli.
D. È possibile modificare l'algoritmo di bilanciamento del carico del canale della porta FXOS?
Attualmente (FXOS 2.13.x), non è supportato. Consultare la guida alla configurazione di FXOS più recente per ulteriori dettagli.
D. È possibile configurare il numero minimo (min-link) di interfacce membro in un canale porta per passare il canale porta allo stato di bundle?
Attualmente (FXOS 2.13.x), non è supportato. Consultare la guida alla configurazione di FXOS più recente per ulteriori dettagli.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
4.0 |
11-Apr-2024 |
Requisiti di stile e formattazione aggiornati. |
3.0 |
15-May-2023 |
Formattazione e lingua aggiornate |
1.0 |
26-Mar-2020 |
Versione iniziale |
Feedback