소개
이 문서에서는 어플라이언스를 복구하기 위한 Cisco 버그 ID CSCwa79915 조건, 증상, 트리거 및 완화 옵션에 대해 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- FXOS(Firepower eXtensible Operating System)
- ASA(Adaptive Security Appliance)
- 리눅스 네이처(리나)
- FTD(Firepower Threat Defense)
사용되는 구성 요소
이 문서의 정보는 다음 하드웨어 모델 및 소프트웨어 버전을 기반으로 합니다.
- Firepower 2110
- FTD 6.6.5(FXOS 버전 2.8.1.165와 함께 번들로 제공)
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
알려진 감수성 조건
현재 알려진 관련 조건 Cisco bug ID CSCwa79915 포함:
1. Firepower 2100 Series 어플라이언스.
2. 하프 듀플렉스(half-duplex) 모드에서 실행되는 하나 이상의 외부 지향 섀시 포트(의도적이든, 듀플렉스 불일치 결과이든).
3. 영향을 받는 ASA(Adaptive Security Appliance) 또는 FTD(Firepower Threat Defense) 소프트웨어 릴리스로 구성됩니다.
버그 증상
1. ASA/LINA(FTD)에서 소싱된 패킷은 어플라이언스를 벗어나지 않습니다.
이 상태의 가장 일반적인/가장 일반적인 관찰은 모든 데이터 인터페이스가 해당 인터페이스의 트래픽을 거의 표시하지 않는다는 것입니다.
캡처가 이 조건에 배치되면 ARP(Address Resolution Protocol) 요청이 동일한 서브넷의 다른 호스트에서 전송되며 LINA(LInux NAitally) IP 주소의 레이어 2 주소에 대한 쿼리가 수신되며 LINA 캡처에서 응답이 표시됨을 나타냅니다. 그러나 이러한 ARP 회신은 LINA에 할당된 각 섀시 인터페이스가 연결된 외부 스위치에서 SPAN(Switched Port Analyzer)을 수행할 때 나타나는 것처럼 섀시에서 나가는 것으로 표시되지 않습니다.
예를 들면 다음과 같습니다.
firepower# show capture arp
4 packets captured
1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2
2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2
4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
여기서 10.255.255.2는 LINA 데이터 인터페이스 중 하나에 속하는 10.255.255.1에 ARP 쿼리를 보내는 외부 호스트의 IP 주소입니다.
캡처에서 LINA가 전송한 것으로 보이는 ARP 회신은 실제로 해당 물리적 섀시 포트를 떠나는 것으로 보이지 않습니다.
2. TX 패킷에 대한 FXOS 인터페이스 카운터가 증가하지 않습니다.
LINA에서 전송한 모든 패킷이 섀시를 벗어나지 않는다는 점에서 알 수 있듯이 외부 호스트가 영향을 받는 어플라이언스에서 패킷을 수신하지 않는 것과 마찬가지로, 전송(TX) 패킷에 대한 외부 포트 카운터가 증가하지 않는 증상이 있습니다.
이 예에서 영향을 받는 인터페이스는 Ethernet1/12입니다. TX 패킷에 대한 FXOS(Firepower eXtensible Operating System) 인터페이스 카운터를 검사한 결과, 해당 패킷이 내부 섀시 스위치로 전송되었다는 LINA의 표시에도 불구하고 카운터가 증가하지 않은 것으로 나타났습니다.
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
firepower/eth-uplink/fabric/interface # show stat ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen)
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
3. 내부 섀시 스위치와 ASA/LINA 사이의 내부 데이터/백플레인 인터페이스에 드롭합니다.
Interface Internal1/3은 섀시에서 실행되는 논리적 디바이스의 스위치 간 백플레인/업링크 인터페이스로 사용됩니다.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
참고: 라이브 트래픽 환경의 경우 노이즈로 인해 인터페이스 카운터 검증이 어려울 수 있으므로 우선 반이중 모드를 확인하고 수정하십시오.
증상 트리거
활성 인터페이스 상태를 확인하면 활성/UP 데이터 인터페이스 중 하나가 반이중 모드에 있음을 알 수 있습니다. 일반적으로 이 모드는 예외입니다.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
이 표에서는 내부 스위치 포트 번호에 대한 물리적 섀시 인터페이스의 매핑을 제공합니다. 이 매핑은 show portmanager switch status의 출력을 파악하기 위해 필요합니다. 표에 따르면 내부 스위치 포트 ID 0/6(show portmanager switch status의 이전 출력에 표시됨)의 경우 연결된 물리적 섀시 포트가 Ethernet1/8임을 알 수 있습니다.
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
트리거를 완화하고 어플라이언스를 복구하는 옵션
듀플렉스 불일치를 수정하는 것은 백플레인 인터페이스에 나타나는 부작용을 방지하는 유일한 방법이며, 이러한 방법 중 하나와 어플라이언스의 다시 로드를 통해 해결할 수 있습니다.
1. 피어 장치가 이중 자동을 사용하여 구성되지 않은 경우 자동(기본 방법)으로 변경합니다.
2. 피어 장치에 대한 관리 액세스가 없는 경우:
2.1. FMC(Firepower Management Center)에서 관리하는 FTD의 경우 FMC의 물리적 인터페이스 편집에서 옵션 자동 협상을 비활성화합니다.
2.2. Firepower Device Manager(FDM)에서 관리하는 FTD의 경우, Interface Advanced Options(인터페이스 고급 옵션) 아래에서 Duplex(듀플렉스) 옵션을 Auto(자동)에서 Full(전체)로 변경합니다.
2.3. ASA의 경우 다음과 같이 섀시 레벨에서 이중 자동 협상을 비활성화합니다.
firepower /eth-uplink # scope
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes
firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #
참고: 단계 2에 나열된 방법들은 정상 조건들에서 작동할 수 있는 이론적인 옵션들이다.
3. 반이중 모드에서 Firepower 인터페이스를 이중 설정의 자동 협상을 지원하는 다른 스위치에 연결하거나 이중 설정의 자동 협상을 활성화하도록 스위치 포트를 구성합니다.
참고: 단계를 실행한 후에도 백플레인 인터페이스를 장애 상태에서 복구하려면 전체 어플라이언스를 다시 로드해야 합니다.
Cisco 버그 ID 정보
이 버그는 백플레인 Internal1/3 인터페이스가 잠시 후에 LINA에서 수신한 트래픽을 처리할 수 없는 증상의 소프트웨어 해결 방법을 추적하기 위해 발생했습니다.
Cisco 버그 ID CSCwa79915 Half Duplex의 물리적 포트로 인해 LINA의 모든 패킷이 섀시에서 삭제됩니다.
피드백