Configure and Verify Port-Channel on Firepower Appliances (Poortkanaal configureren en verifiëren op Firepower-applicaties)
Inhoud
Inleiding
In dit document wordt beschreven hoe u het poortkanaal configureert, verifieert en troubleshoot op Firepower-applicaties.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Firepower Management Center (FMC)
- Firepower Chassis Manager (FCM)
- Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Opmerking: In dit document worden de termen EtherChannel en poortkanaal door elkaar gebruikt.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- 2 x FPR4120 op FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 x FPR4110 op FXOS 2.1(0.159), FTD 6.1.0.330
- 1 x FPR2110 op FTD 6.2.1 (build 341)
- 1 x FPR150 op FTD 6.5.0
- WS-C3750X-24 on15.2(4)E5
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
In dit document wordt beschreven hoe u een poortkanaal kunt configureren, verifiëren en troubleshooten op Firepower-applicaties (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). De configuratievoorbeelden zijn gebaseerd op Firepower Threat Defense (FTD), maar veel concepten (bijvoorbeeld verificatie en troubleshooting) zijn ook volledig van toepassing op de adaptieve security applicatie (ASA).
Configureren
Poortkanaal op FPR4100/FPR9300
Netwerkdiagram
Een poortkanaal configureren via een FXOS-gebruikersinterface (FPR4100/FPR9300)
Een FTD-poortkanaal op Firepower-applicaties wordt beheerd door de FXOS-code. Op FPR4100/FPR9300 vindt de configuratie plaats via de Firepower Chassis Manager:
Het poortkanaal is down (toestand failed) totdat dit wordt toegewezen aan een logisch apparaat:
U wijst het poortkanaal als volgt toe aan een logisch apparaat:
Het resultaat:
Hoofdpunten
- Vóór FXOS-release 2.4.x ondersteunt de FPR4100/FPR9300 alleen LACP (geen modus ON (AAN) of PAgP). Vanaf FXOS 2.4.1.101 wordt modus ON (AAN) ondersteund voor EtherChannels voor data en data-sharing.
- Zorg ervoor dat de interface(s) die in het poortkanaal moeten worden toegevoegd niet al aan het logische apparaat zijn toegevoegd. Anders worden ze bij het toevoegen in het poortkanaal niet weergegeven in de interface.
- U kunt geen afzonderlijke leden van het poortkanaal in- of uitschakelen, maar alleen het poortkanaal zelf.
- Een poortkanaal dat wordt gebruikt door een logisch apparaat (zoals ASA of FTD) kan niet worden verwijderd. U moet dit eerst ontkoppelen.
- Het poortkanaal wordt niet weergegeven totdat u dit aan een logisch apparaat toewijst. Als het EtherChannel van het logische apparaat wordt verwijderd of het logische apparaat wordt verwijderd, keert het poortkanaal terug naar de toestand Suspended (Opgeschort).
- Voor een optimale compatibiliteit stelt u de actieve modus in voor de switchpoorten via welke verbinding wordt gemaakt.
Switchconfiguratie
Om instabiliteit van het poortkanaal te voorkomen, is het raadzaam om bij het configureren van de switch als volgt te werk te gaan:
- Gebruik de opdracht ‘interface range’.
- Schakel eerst de leden van de poortkanaalinterface uit voordat u wijzigingen doorvoert die invloed hebben op de werking van het poortkanaal (bijvoorbeeld wijziging van de modus van het poortkanaal).
Voorbeeld
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Opmerking: Raadpleeg altijd de sectie over het switchmodel in de configuratiehandleiding voor aanvullende informatie.
Een poortkanaal configureren via de CLI van FXOS (FPR4100/FPR9300)
Stap 1. Verifieer de interfaces die al aan het FTD logische apparaat zijn toegewezen.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Stap 2. Verifieer de interfaces van het chassis.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Stap 3. Maak het poortkanaal.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Stap 4. Wijs de interface toe aan het FTD logische apparaat:
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Verificatie
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
Verwijder het poortkanaal van FXOS CLI (FPR4100/FPR9300).
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Poortkanaal op FPR21xx/FPR1xxx
Netwerkdiagram
Het FTD-poortkanaal op FPR21xx/FPR1xxx-applicaties wordt beheerd door de FXOS-code. De configuratie vindt echter plaats via het FMC omdat de FTD- en FXOS-code in één softwarebundel zijn geïntegreerd:
Modi (LACP actief of ON (AAN)) worden geconfigureerd via het tabblad Advanced (Geavanceerd):
Duplex- en snelheidsinstellingen worden geconfigureerd via het tabblad Hardware Configuration (Hardwareconfiguratie):
Opmerking: op FPR2100 kunt u geen poortkanaal van FXOS CLI maken tenzij u een ASA als logisch apparaat gebruikt. Na ASA 9.13.x is dit alleen het geval in de Platform Mode. In applicatiemodus (11xx/21xx) is er geen FCM en wordt de complete interface-configuratie rechtstreeks uitgevoerd in de ASA-opdrachtregelinterface.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
Wanneer een fysieke interface uitgeschakeld is en u wilt deze inschakelen om dit te doen:
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
FDM-configuratie
Bekijk de volgende topologie:
U kunt vanaf softwarerelease 6.5 EtherChannel-interfaces configureren die FDM gebruiken. Ga naar Device > Interfaces > EtherChannels (Apparaat > Interfaces > EtherChannels) en voeg een EtherChannel toe. Omdat het EtherChannel in dit geval een trunk is, geeft u de EtherChannel-ID op, schakelt u deze in (Status) en voegt u de leden toe. Het EtherChannel ondersteunt LACP actief en modus On (Aan) (geen LACP). In dit geval is de modus LACP actief geconfigureerd.
Voeg de subinterfaces toe:
Het resultaat:
Implementeer de verwachte wijzigingen.
Verifiëren
Poortkanaal verifiëren op FPR4100/FPR9300
Netwerkdiagram
De FTD (of ASA) ziet geen afzonderlijke leden van het poortkanaal. Logische interfaces (subinterfaces) worden geconfigureerd in het FMC:
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Ga naar FXOS-modus om de status van het poortkanaal en de leden te controleren:
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
U kunt de toestand van de poortkanalen en de meest recente toestandgeschiedenis als volgt weergeven:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
U kunt de distributie van verkeer tussen leden van de poortkanaalinterface als volgt controleren:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
LACP-neighbor verifiëren
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 = de switch is geconfigureerd met poortkanaal-ID 5.
Op de switch:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Opmerking: op de aangrenzende Switch wordt de Partner Oper Key weergegeven als 0xE (14), hoewel FXOS is geconfigureerd met Port-Channel ID 15.
LACP-pakketvastlegging in Wireshark:
| Partnertoestand |
||||||||
| Toestand |
Expired (Verlopen) |
Defaulted (Standaard) |
Distributed (Gedistribueerd) |
Collected (Verzameld) |
Synchronisatie |
Aggregation (Aggregatie) |
LACP Timeout (Time-out van LACP) |
LACP Activity (Activiteit van LACP) |
| Waarde |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hex |
3 |
f |
||||||
Poortkanaal verifiëren op FPR21xx/FPR1xxx
Netwerkdiagram
Basisverificatie van poortkanalen
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Aanvullende verificatie:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Gegevens van een poortkanaal verifiëren:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Gegevens van een poortkanaallid verifiëren:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Gegevens van lidpoorten:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
LACP-verificatie
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Opmerking: op FPR21xx/FPR1xxx is het standaard LACP-tarief laag en kan het niet worden gewijzigd.
LACP-tellers
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
Verificatie FPR2100-interface
Hoe de fysieke interfaces worden toegewezen aan de FPR2100 interne switch:
| Interface |
Interne Switch op FPR2110/FPR2120 |
Interne Switch op FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Verifieer de status van de fysieke interface:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Fysieke interfacetellers:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
MAC-tabel van FPR2100 interne switch.
Opmerking: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Poorten e1/1 en e1/2 komen overeen met 0/0 en 0/1 op de interne switch:
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Problemen oplossen
Overzicht van LACP
LACP-feiten:
- Het standaard IEEE (802.3ad) Link Aggregation Control Protocol (LACP) is een L2-protocol dat wordt gebruikt voor poortkanaal-onderhandelingen.
- LACP gebruikt MAC 0180.c200.0002 en Ethernet-type 0x8809.
- LACP en modus On (Aan) (geen LACP) zijn de enige modi die worden ondersteund op Firepower-applicaties (modus On is toegevoegd op FP4100/FP9300 in FXOS-release 2.4.x).
- LACP kan in een van de twee modi (actief of passief) worden geconfigureerd. FXOS gebruikt altijd een actieve modus.
- Het belangrijkste doel van het LACP is bescherming bieden tegen de onjuiste configuratie van poortkanalen.
- Een LACP-poortkanaal wordt pas beschikbaar (UP) wanneer de leden van de poortkanaalinterface dezelfde snelheids-/duplexinstellingen hebben. Op FXOS stelt u de snelheid in op poortkanaal-niveau.
- LACP Actor = het lokale apparaat
- LACP Partner = het externe apparaat
- Elk apparaat heeft een LACP-systeem-ID die meestal de MAC van het chassis is. De LACP-systeem-ID wordt binnen elk LACP-pakket verzonden.
- Elk LACP-pakket heeft een grootte van ca. 110 bytes.
- LACP kan op hoge snelheid (Fast) of lage snelheid (Slow, normaal) werken. Voor FXOS is de standaardsnelheid Fast (behalve 1xxx/21xx waarbij de snelheid altijd Slow is), maar de snelheid kan ook worden ingesteld op Slow. De LACP-modus aan de switchkant is afhankelijk van het switchmodel en de gebruikte software. Een Cat3750 ondersteunt bijvoorbeeld zowel Slow als Fast vanaf versie 15.2(4)E. Raadpleeg de configuratiehandleiding van de switch voor meer informatie.
- In de LACP-detectieperiode worden LACP’s elke 1 seconden verzonden, ongeacht het LACP-percentage. De LACP-snelheid heeft alleen invloed op het keepalive-interval wanneer de interface beschikbaar is (UP).
Voordelen van LACP keepalive
De LACP-keepalive is nuttig in scenario’s waarin de externe interface niet meer functioneel is maar nog wel beschikbaar (UP, er is geen directe fout gedetecteerd). Dit kan het geval zijn bij een stuurprogramma-/L2-probleem of als zich een apparaat in het pad bevindt (bijvoorbeeld IPS) dat geen detectie toestaat van externe linkfouten. LACP-keepalive heeft een time-out van peersnelheid x 3. Als de externe peer bijvoorbeeld iedere 1 seconde verzendt, dan geeft het lokale apparaat aan dat de externe peer down is als er niet binnen 3 seconden een LACP-pakket wordt ontvangen. In het geval van Slow Rate (Lage snelheid), is dit na 90 seconden.
Alle velden van een LACP-pakket zoals deze in Wireshark worden weergegeven:
Opmerking: wanneer een poortkanaal op de FTD wordt afgesloten, wordt LACP-pakketten (in- of uitgangen) niet weergegeven in de FXOS-opname.
LACP: vergelijking tussen hoge en lage snelheid
Over het algemeen wordt aanbevolen om aan beide zijden de snelheid Fast te gebruiken (FXOS op 4100/9300 gebruikt standaard Fast, op FPR2100 is de standaard LACP-verzendsnelheid Slow). De hoge LACP-snelheid kan de snelheid van poortkanaalbundeling verhogen.
| FXOS ingesteld op Slow |
FXOS ingesteld op Fast |
|
| Switch ingesteld op Slow |
Switch vraagt Slow aan FXOS vraagt Slow aan Switch stuurt 1 LACP per 30 seconden FXOS stuurt 1 LACP per 30 seconden |
Switch vraagt Slow aan FXOS vraagt Fast aan Switch stuurt 1 LACP per seconde FXOS stuurt 1 LACP per 30 seconden |
| Switch ingesteld op Fast |
Switch vraagt Fast aan FXOS vraagt Slow aan Switch stuurt 1 LACP per 30 seconden FXOS stuurt 1 LACP per seconde |
Switch vraagt Fast aan FXOS vraagt Fast aan Switch stuurt 1 LACP per seconde FXOS stuurt 1 LACP per seconde |
LACP-modus configureren op FXOS (41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
Poortkanaal troubleshooten op FPR4100/FPR9300
Netwerkdiagram
Het FPR4100- en FPR9300-chassis bevatten een interne switch waar het poortkanaal wordt beëindigd. Aangezien de interne switch vergelijkbaar is met een Nexus 5K en FXOS alleen LACP ondersteunt, is de aanpak van het troubleshooten vergelijkbaar met die voor Nexus 5K.
Controle 1 – Controleer de status van het poortkanaal.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Verifieer de status van de FXOS-interface:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Controle 2 - Controleer dat FXOS LACPs verzendt en ontvangt (voer de opdracht een paar keer uit).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Controleer hetzelfde op de switch:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Verifieer de LACP-gegevens van een individuele FXOS-interface:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
Controle 3 – Verifieer de LACP-ID’s van het lokale en externe apparaat.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
Controleer 4 (optioneel) - Verzamel deze uitvoer (kan worden gebruikt door Cisco TAC).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Controle 5 – Controleer de LACP FSM-overgang om de specifieke poort te identificeren die het probleem heeft. Bij de weergave van de berichten staan de oudste berichten boven aan de output.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Controle 6 - Verzamel de historie van poortkanaals gebeurtenissen (kan worden gebruikt door Cisco TAC).
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
Poortkanaal troubleshooten op FPR21xx/FPR1xxx
Netwerkdiagram
Controle 1. Als LACP wordt gebruikt, moeten de LACP-tellers worden geverifieerd.
U ziet beide zijden (switch en FXOS) verzenden en ontvangen:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Een andere manier om hetzelfde te controleren:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Controle 2. Verifieer de status van de upstream switch.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
Opmerking: Indien Verzameld en Gedistribueerd niet Ja zijn en Gebrekkig is Nee, dan is LACP niet geconvergeerd.
Controle 3. Verifieer dat de lokale LACP-systeem-ID niet 0 is.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Aanvullende troubleshooting (algemeen voor alle platforms)
Controle 1
Zorg ervoor dat beide zijden (firewall en switch) overeenkomende instellingen hebben (bijvoorbeeld dezelfde snelheid en dezelfde poortkanaalmodus).
Controle 2
Controleer op FXOS-fouten. U kunt deze controle uitvoeren via de gebruikersinterface (UI) van het chassis of via de opdrachtregelinterface (CLI) met de volgende opdracht:
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
De fouten worden in chronologische volgorde weergegeven. De Severity (Ernst) geeft de ernst van de fout aan, en de Description (Beschrijving) bevat een korte beschrijving van de fout. De focus ligt met name op de ernst, het tijdstempel en de beschrijving. De volgorde van de meest ernstige tot de minst ernstige fout is:
- Critical (Kritiek)
- Major (Groot)
- Beperkt
- WAARSCHUWING
- Info/Condition (Info/situatie)
- Cleared (Gewist)
Raadpleeg Fout- en systeemmeldingen van FXOS voor meer informatie over de verschillende fouten.
Controle 3
Als u enkele recente wijzigingen hebt aangebracht in de configuratie van Port-Channel op FMC, zorg er dan voor dat het beleid van FMC naar FTD is geïmplementeerd.
Controle 4
Als het Port-Channel zich in de mislukte staat bevindt en het apparaat tot een Cluster behoort, zorg er dan voor dat het Cluster op het apparaat is ingeschakeld. Bij een apparaat dat uit het cluster is gezet, is het normaal dat het poortkanaal de toestand Failed heeft.
Controle 5
Als de configuratie juist is, maar de interface wordt niet beschikbaar (UP), controleer en vervang de kabel en/of de SFP-transceiver (Small Form-Factor Pluggable) dan.
Controle 6
Controleer de release-opmerkingen van Firepower voor bekende problemen met betrekking tot poortkanalen. Als u bijvoorbeeld FXOS-versie 2.6.1.169 en FTD 6.4.0.6 gebruikt, controleer dan deze secties:
Controleer daarnaast de betreffende release-opmerkingen voor FMC/FTD. Aangezien in dit voorbeeld FTD 6.4.0.5 wordt uitgevoerd, moeten de release-opmerkingen van versie 6.4.x worden gecontroleerd:
Veelvoorkomende problemen
Situatie 1. Mismatch in EtherChannel-modus
Bekijk de volgende topologie:
Symptomen van het probleem
Op Firepower is het poortkanaal down en het onderhandelingsprotocol is LACP:
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
Op FXOS de LACP Verzonden tellers verhogen elke 30 seconden, maar de Ontvang tellers niet:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
De hoofdoorzaak
Het poortkanaal op de switch is beschikbaar (UP), maar er is geen onderhandelingsprotocol:
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
De configuratie van de switchpoort bevestigt dit:
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Oplossing
Aangezien dit een FPR21xx-apparaat is, zijn er 2 mogelijke oplossingen:
- Verander de poortkanaalmodus aan de switchkant van ON naar LACP (actief of passief).
- Verander de poortkanaalmodus aan de FTD-kant van LACP naar ON.
In dit scenario is voor de tweede oplossing gekozen (FTD Port-Channel in modus ON instellen):
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
De LACP-tellers worden niet meer weergegeven:
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Situatie 2. Onjuist poortkanaalontwerp
Symptomen van het probleem
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
FXOS LACP-tellers nemen in beide richtingen toe:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
De hoofdoorzaak
De output van show lacp neighbor toont een verschillende partnersysteem-ID op elke poort:
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Dit kan als volgt worden weergegeven:
Oplossing
- In het geval van 2960 moet stacking worden geconfigureerd (FlexStack).
- In het geval van de 3750-X/3850 en dergelijke, moet u stapelbaar configureren (StackWise Plus).
- U moet Virtual Switching System (VSS) gebruiken in het geval van 4500, 6500 en 6800.
- In het geval van Nexus 5K, 7K of 9K moet u Virtual Port-Channel (vPC) gebruiken.
- In andere gevallen moet de FXOS met dezelfde fysieke switch worden verbonden.
Situatie 3. FXOS-poortkanaal niet-toegewezen
Netwerkdiagram
Symptomen van het probleem
Aan de FXOS-zijde zijn de leden van het poortkanaal opgeschort:
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
Hetzelfde aan de switchkant:
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
FXOS LACP-tellers geven verzonden en ontvangen pakketten aan:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
Aan de switch tonen de LACP-tellers ook pakjes die worden verzonden, maar niet ontvangen:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
De hoofdoorzaak
Het probleem is in dit geval dat het FXOS-poortkanaal niet is toegewezen aan het logische apparaat (FTD-toepassing):
Oplossing
Wijs het poortkanaal toe aan het logische apparaat.
Situatie 4. Waarschuwingen voor de status van poortkanaal ontvangen geen pakketten
Het apparaat (FTD) stuurt elke 5 minuten informatie over het interfaceverkeer dat wordt ontvangen op interfaces met een geconfigureerde naam en die beschikbaar zijn (UP). Als er in het laatste interval geen pakketten zijn ontvangen, dan worden in de UI van FMC dit soort meldingen weergegeven:
Aanbevolen actie
Controleer vanuit de FTD CLI de uitvoer van het showverkeer en focus op de invoersnelheid van 5 minuten. Voorbeeld,
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Situatie 5. Statuswaarschuwing in het FMC: Poortkanaal ontkoppeld of interface toegevoegd
De statuswaarschuwing is: ‘Interface with physical-name: "Port-Channel" disassociated.’ (Interface met fysieke naam: ‘poortkanaal’ is ontkoppeld.’) of ‘Interface with physical-name: \"name_if\" added.’ (Interface met fysieke naam: “name_if” is toegevoegd.)
Aanbevolen actie
Dit is een bekend cosmetisch probleem dat is vastgelegd in Cisco bug-ID CSCvb15074
Overwegingen voor poortkanalen
Ontwerpoverwegingen
Situatie 1. FTD/ASA-blade in HA
Deze instelling wordt niet ondersteund. De reden hiervoor is dat de Port-Channel-configuratie aan de kant van de switch niet correct is en leidt tot verkeersblokkering op het standby-apparaat. Een dergelijk ontwerp wordt alleen ondersteund wanneer u ASA of FTD in de modus Cluster Spanned (Cluster verspreid) configureert.
Waarschuwing: dit scenario is niet correct bij failover (hoge beschikbaarheid).
Dit is het juiste poortkanaalontwerp voor hoge beschikbaarheid:
Gerelateerde informatie
- Verbinding maken met een EtherChannel op een ander apparaat
- EtherChannels voor inter-chassis clustering
Situatie 2. FTD/ASA in cluster
Elke poortkanaalinterface voor firewallgegevens gebruikt de modus Spanned (Verspreid) Dit is de enige modus die wordt ondersteund op Firepower-platforms. Vanuit het oogpunt van het ontwerp horen de switchpoorten voor een enkele data-interface bij één poortkanaal (aan de switchkant).
In het geval van FP9300 (2 chassis, 6 blades) kunnen de datapoorten bijvoorbeeld als volgt worden geconfigureerd:
Aan de andere kant gebruikt de Cluster Control Link (CCL) de individuele poortkanaalmodus en volgens de beste praktijken moet de bandbreedte overeenkomen met de maximale capaciteit van elk lid. In het geval van Nexus behoort elk poortkanaal daarnaast tot een ander vPC.
Vergelijkbaar, in het geval van FP41xx:
En de CCL:
Situatie 3. Poortkanaal beëindigd op FXOS
Poortkanaal beëindigd op FXOS-chassis. Dit is een voorbeeld van dit ontwerp:
Situatie 4. Poortkanaal via FXOS
Poortkanaal via het FXOS-chassis. Dit is een voorbeeld van dit ontwerp:
Opmerking: in het tweede scenario is er geen Port-Channel geconfigureerd op het FirePOWER-apparaat.
Poortkanaal beëindigd op FXOS vergeleken met poortkanaal via FXOS
| Feature |
Opmerkingen |
| Poortkanaal beëindigd op FXOS-chassis (MIO) |
Functioneert vanaf FXOS 2.1.1 |
| Poortkanaal via FXOS-chassis (MIO) |
|
Aanvullende overwegingen
LACP Graceful Convergence
In het geval van een Cluster Setup (ASA of FTD) wordt aanbevolen om LACP Graceful Convergence in te schakelen op Nexus.
Veelgestelde vragen (FAQ)
Q. Is SSP haven-kanaal hashdistributie vast of adaptief?
FXOS gebruikt een flexibele hashverdeling. Dit lijkt vergelijkbaar met de vaste hashverdeling die is beschreven in de online documentatie voor Nexus 7000/9k. Als bij flexibele hashing een link uitvalt, dan worden de stromen die aan de uitgevallen link zijn toegewezen gelijkmatig geherdistribueerd over de actieve links. De bestaande stromen via de actieve links worden niet opnieuw gehasht en hun pakketten worden niet in verkeerde volgorde afgeleverd. Wanneer een link wordt toegevoegd aan het poortkanaal of de ECMP-groep, dan worden sommige stromen die naar de bestaande links zijn gehasht opnieuw gehasht naar de nieuwe link, maar niet via alle bestaande links.
V. Wat gebeurt er als de switchpoorten die zijn aangesloten op het Port-Channel omlaag gaan? Controleert FTD de fysieke link of het poortkanaal?
Als alle leden van de poortkanaalinterface uitvallen, dan valt ook het poortkanaal uit. De toestand van het poortkanaal wordt weergegeven als failed (mislukt). Vanuit het oogpunt van FTD wordt het poortkanaal weergegeven als down. Er geldt echter een uitzondering op deze regel: wanneer de switches stacking gebruiken. Bij LACP gebruikt de systeem-ID het stack-MAC-adres van de actieve switch en als de actieve switch verandert, kan de LACP-systeem-ID ook veranderen. Als de LACP-systeem-ID verandert, fluctueert het complete EtherChannel en treedt STP-herconvergentie op. Gebruik de stapel-mac persistente timer opdracht om te controleren of het stapel MAC-adres verandert na een actieve switch failover.
Q. zou het bevel "haven-kanaal min-bundel 2"willen gebruiken zodat als één verbinding in het haven-kanaal daalt dan het haven-kanaal daalt en de firewall doet een failover.
Deze optie is niet mogelijk op FXOS-chassis. Als tijdelijke oplossing kan, indien mogelijk, de opdracht lacp min-links worden geconfigureerd op de peerswitches.
V. Hoe LACP-pakketten op te nemen?
Situatie 1. Poortkanaal is beëindigd on de logische applicatie (FTD/ASA)
- Het poortkanaal is feitelijk beëindigd op het chassisniveau (FXOS).
- U kunt geen LACP-pakketten (inkomend of uitgaand) vastleggen op chassisniveau (FXOS) of toepassingsniveau (FTD/ASA).
Situatie 2. Poortkanaal via de FTD – FTD-interface geïmplementeerd als inline-set:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Situatie 3. Poortkanaal via de FTD – FTD-interface geïmplementeerd als bridge-group-modus:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
V. Hoe te migreren van één poort naar een Port-Channel?
Dit is een ingrijpende wijziging waarvoor een onderhoudsvenster moet worden ingepland. Wanneer u van één interface migreert naar een poortkanaal, wordt alle configuratie die aan de enkele interface is gerelateerd, losgekoppeld van deze interface. Wanneer het poortkanaal is gemaakt, moet dezelfde configuratie opnieuw aan het nieuw geconfigureerde poortkanaal worden gekoppeld, bijvoorbeeld NAT, routing, VPN, enzovoort. Dit document bevat een opmerking voor FTD:
Een EtherChannel configureren
Voor een ASA-apparaat wordt de procedure in dit document beschreven:
Gebruikte interfaces omzetten naar een redundante of EtherChannel-interface
V. Hoe wijzig je de FTD-link naar Port-Channel met hoge beschikbaarheid?
Dit is een ingrijpende wijziging waarvoor een onderhoudsvenster moet worden ingepland. U moet de HA (hoge beschikbaarheid) beëindigen en opnieuw configureren. In het nieuwe HA-paar moet het poortkanaal worden opgegeven als een HA-link. Gerelateerde document:
Hoge beschikbaarheid van FTD op Firepower-applicaties configureren
Q. Firepower met ASA toont poortkanaal omhoog, fysieke interfacestatus omlaag
Dit heeft te maken met Cisco bug-ID CSCvp03354
V. Maakt het uit wat te kiezen voor de Port-Channel ID op het VCC? Moet deze overeenkomen met iets aan de switchkant?
Nee, dat maakt niet uit. U kunt elke gewenste poortkanaal-ID gebruiken.
Q. Is er onder het tabblad Port-Channel Advanced iets nodig voor de active/stand-by MAC?
Als u van plan bent het Port-Channel in Access Mode (geen trunk) te gebruiken en u High Availability (HA)-instelling gebruikt, wordt Active/Standby MAC ten zeerste aanbevolen om te worden geconfigureerd. Deze aanbeveling is niet specifiek voor een poortkanaal, maar geldt voor elke HA-setup.
V. Is het mogelijk om beschrijvingen voor interfaceleden van een Port-Channel te configureren?
Op dit moment (FXOS 2.13.x) wordt dit niet ondersteund. Raadpleeg de nieuwste FXOS-configuratiehandleiding voor meer informatie.
V. Is het mogelijk om het FXOS poort-kanaal load-balancing algoritme te wijzigen?
Op dit moment (FXOS 2.13.x) wordt dit niet ondersteund. Raadpleeg de nieuwste FXOS-configuratiehandleiding voor meer informatie.
V. Is het mogelijk om het minimumaantal (min-links) van lidinterfaces in een poortkanaal te configureren om het poortkanaal naar de gebundelde toestand over te brengen?
Op dit moment (FXOS 2.13.x) wordt dit niet ondersteund. Raadpleeg de nieuwste FXOS-configuratiehandleiding voor meer informatie.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
4.0 |
11-Apr-2024 |
Bijgewerkte stijlvereisten en opmaak. |
3.0 |
15-May-2023 |
Bijgewerkte opmaak en taal |
1.0 |
26-Mar-2020 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)