Probleemoplossing voor pakketdrop op FP2100 veroorzaakt door fysieke interface in half-duplexmodus

Inleiding

Dit document beschrijft de voorwaarden, symptomen, trigger en onderdrukkingsopties van Cisco bug-id CSC79915 om het apparaat te herstellen.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Firepower eXtensible Operating System (FXOS)
• Adaptieve security applicatie (ASA)
• Linx NAvely (LINA)
• Firepower Threat Defence (FTD)

Gebruikte componenten

De informatie in dit document is gebaseerd op dit hardwaremodel en de softwareversie:

• FirePOWER-applicatie 2110
• FTD 6.6.5 (gebundeld met FXOS versie 2.8.1.165)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Bekende condities voor gevoeligheid

Huidige bekende omstandigheden met betrekking tot Cisco bug ID CSCwa79915 omvatten:

1. FirePOWER 2100 Series apparaat.

2. Een of meer externe gerichte chassispoorten die in half-duplex modus werken (hetzij opzettelijk, hetzij als een duplex mismatch resultaat).

3. Geconfigureerd met elke getroffen release van de software voor adaptieve security applicatie (ASA) of Firepower Threat Defence (FTD).

Symptomen van bugs

1. Pakketten die door ASA/LINA (FTD) worden geleverd verlaten nooit de applicatie.

De meest klassieke/gemeenschappelijke waarneming van deze staat is dat alle data-interfaces zeer weinig verkeer van zijn interfaces laten zien.

Wanneer een opname in deze voorwaarde wordt geplaatst, onthult het dat de Verzoeken van het Protocol van de Resolutie van het Adres (ARP) door andere gastheren op zelfde Subnet worden verzonden en vraag voor Layer 2 adres van het adres van Linux NAvely (LINA) IP wordt ontvangen en de vangst LINA toont een antwoord. Deze ARP-antwoorden worden echter niet gezien als het verlaten van het chassis, zoals wordt geopenbaard wanneer een Switched Port Analyzer (SPAN) wordt uitgevoerd op de buitenste switch waarin de respectieve chassisinterfaces die aan de LINA zijn toegewezen, zijn aangesloten.

Bijvoorbeeld:

firepower# show capture arp

4 packets captured

   1: 14:43:44.185872       arp who-has 10.255.255.1 tell 10.255.255.2   
   2: 14:43:44.186132       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
   3: 14:43:45.205906       arp who-has 10.255.255.1 tell 10.255.255.2
   4: 14:43:45.206166       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f

Waar 10.255.255.2 het IP adres van een externe gastheer is die ARP vragen naar 10.255.255.1 verzendt, die tot één van de LINA gegevensinterfaces behoort.

ARP antwoorden die worden gezien als verzonden door de LINA bij zijn opname worden nooit gezien om de respectieve fysieke chassishaven te verlaten.

2. FXOS-interfacetellers voor TX-pakketten verhogen niet.

Gelijkaardig aan het symptoom waar de externe gastheren nooit enige pakketten van het getroffen apparaat ontvangen, zoals aangetoond door alle pakketten die door LINA worden verzonden niet het chassis verlaten, hebben wij het symptoom waar de externe haventellers voor overgebrachte (TX) pakketten niet verhogen.

In dit voorbeeld is de betreffende interface Ethernet1/12. Een controle van de Firepower eXtensible Operating System (FXOS) interfacetellers voor TX-pakketten liet zien dat de tellers nooit verhoogd waren, ondanks de indicatie van de LINA dat die pakketten werden verzonden naar de switch van het interne chassis.

firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12   <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
    Time Collected: 2021-12-09T17:29:45.621   <<< first execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

firepower/eth-uplink/fabric/interface # show stat ether-tx-stats

Ether Tx Stats:
    Time Collected: 2021-12-09T17:30:15.726   <<< second execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted (No delta seen)
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

3. Druppels op de interne data/backplane interface tussen de Switch van het interne chassis en ASA/LINA.

Interface Internal1/3 wordt gebruikt als backplane/uplink-interface tussen de switch op het logische toestel dat op het chassis draait.

firepower# 
firepower# connect local-mgmt 
firepower(local-mgmt)# show portmanager counters internal 1 3   <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1

firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250     >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134   >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# 

Opmerking: Voor een bewegende verkeersomgeving kan verificatie van de interfaceteller moeilijk zijn door ruis, dus controleer en corrigeer eerst de half-duplexmodus.

Symptoom-trigger

Een controle van de actieve interfacestatus toont één van de actieve/UP gegevensinterfaces binnen op half-duplex wijze is, die ongebruikelijk is om in algemene te worden gezien. 

firepower# 
firepower# connect local-mgmt 
firepower(local-mgmt)# show portmanager switch status 

Dev/Port      Mode         Link  Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------

0/0          QSGMII        Down   1G    Half   None 
0/1          QSGMII         Up    1G    Full   None 
0/2          QSGMII        Down   1G    Half   None 
0/3          QSGMII        Down   1G    Half   None 
0/4          QSGMII        Down   1G    Half   None 
0/5          QSGMII        Down   1G    Half   None 
0/6          QSGMII         Up    100   Half   None    <<<<< Up and Half-duplex
0/7          QSGMII        Down   1G    Half   None 
0/8          QSGMII        Down   1G    Half   None 
0/9          QSGMII         Up    1G    Full   None 
0/10         QSGMII         Up    1G    Full   None 
0/11         QSGMII         Up    1G    Full   None 
0/12         QSGMII         Up    1G    Full   None 
0/13         QSGMII        Down   10    Half   None 
0/14         QSGMII        Down   10    Half   None 
0/15         QSGMII        Down   10    Half   None 
0/16          n/a          Down   n/a   Full   N/A 
0/17          n/a          Down   n/a   Full   N/A 
0/18          n/a          Down   n/a   Full   N/A 
0/19          n/a          Down   n/a   Full   N/A 
0/20          n/a          Down   n/a   Full   N/A 
0/21          n/a          Down   n/a   Full   N/A 
0/22          n/a          Down   n/a   Full   N/A 
0/23          n/a          Down   n/a   Full   N/A 
0/24          KR            Up    10G   Full   None 
0/25          KR            Up    10G   Full   None 
0/26          KR           Down   10G   Full   None 
0/27          KR            Up    10G   Full   None 

In deze tabel wordt de fysieke chassisinterface aan het poortnummer van de switch toegewezen. Deze afbeelding is vereist om de uitvoer van show portmanager switch status te begrijpen. Gebaseerd op de tabel, kunnen we zien dat voor de switch poort ID 0/6 (gezien op de vorige uitvoer van show portmanager switch status), de bijbehorende fysieke chassispoort Ethernet1/8 is.

Interface Name	Internal Switch Port (2110/2120)	Internal Switch Port (2130/2140) 
Ethernet 1/1	               1	                 1 
Ethernet 1/2	               0	                 0 
Ethernet 1/3	               3	                 3 
Ethernet 1/4	               2	                 2 
Ethernet 1/5	               5	                 5 
Ethernet 1/6	               4	                 4 
Ethernet 1/7	               7	                 7 
Ethernet 1/8	               6	                 6 
Ethernet 1/9	               9	                 49 
Ethernet 1/10	               8	                 48 
Ethernet 1/11	               11	                 51 
Ethernet 1/12	               10	                 50 
Ethernet 1/13	               12	                 59 
Ethernet 1/14	               13	                 58 
Ethernet 1/15	               14	                 57 
Ethernet 1/16	               15	                 56 
Ethernet 2/1	               N/A	                 70 
Ethernet 2/2	               N/A	                 71 
Ethernet 2/3	               N/A	                 69 
Ethernet 2/4	               N/A	                 68 
Ethernet 2/5	               N/A	                 66 
Ethernet 2/6	               N/A	                 67 
Ethernet 2/7	               N/A	                 65 
Ethernet 2/8	               N/A	                 64 
Internal 1/1 	               26	                 81 (Eventing Port - NOT visible at Service Manager) 
Internal 1/2 	               27	                 80 (Unused - NOT visible at Service Manager) 
Internal 1/3 	 	       24    	                 52 (Internal backplane uplink to logical device, whether ASA or FTD) 

Opties om de trigger te beperken en het apparaat terug te krijgen

Correctie van een duplexfout is de enige manier om de bijwerking te voorkomen die op de backplane interface wordt gezien, en dit kan worden gedaan door een van deze methoden en een herlading van het apparaat.

1. Als het peer-apparaat niet is geconfigureerd met Duplex Auto, wijzigt u dit in Auto (voorkeursmethode).

2. Als er geen beheerstoegang tot het peer-apparaat is:

   2.1. Schakel de optie Auto-Negotiation uit onder Edit Physical Interface op FMC voor FTD die wordt beheerd door Firepower Management Center (FMC).

   2.2. Voor FTD die wordt beheerd door Firepower Device Manager (FDM), wijzigt u de optie Duplex van Auto naar Volledig onder Geavanceerde opties voor interfaces.

   2.3. Schakel voor ASA duplexautomatische onderhandeling op chassisniveau als volgt uit: 

firepower /eth-uplink # scope 
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes

firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #

Opmerking: De methodes die in stap 2 worden vermeld zijn theoretische opties die onder normale omstandigheden kunnen werken.

3. Sluit de Firepower interface in half-duplex modus aan op een andere switch die auto-onderhandeling van duplex instellingen ondersteunt of configureer de switch poort om auto-onderhandeling van duplex instellingen mogelijk te maken.

Opmerking: Na de uitvoering van een van de stappen moet het hele apparaat opnieuw worden geladen om de backplane interface van de mislukte toestand te herstellen.

Informatie over Cisco-bug-id

Deze bug is opgewaardeerd om een softwareresolutie van het symptoom te volgen waarin de backplane Internal1/3 interface niet in staat is om verkeer te verwerken dat van de LINA wordt ontvangen na enige tijd.

Cisco bug-id CSCwa79915 fysieke poort in half-duplex zorgt ervoor dat alle pakketten van LINA worden gedropt door het chassis.