Troubleshooting de Queda de Pacote no FP2100 Causado por Interface Física no Modo Half Duplex

Opções de download

  • PDF     (357.5 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (90.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (81.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:30 de agosto de 2022
ID do documento:218115

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve ID de bug da Cisco CSCwa7915 condições, sintomas, disparador e opções de mitigação para recuperar o dispositivo.

    Prerequisites

    Requirements

    A Cisco recomenda que você tenha conhecimento destes tópicos:

    • Firepower eXtensible Operating System (FXOS)
    • Dispositivo de segurança adaptável (ASA)
    • Linux ativamente (LINA)
    • Firepower Threat Defense (FTD)

    Componentes Utilizados

    As informações neste documento são baseadas neste modelo de hardware e versão de software:

    • Firepower 2110
    • FTD 6.6.5 (fornecido com a versão 2.8.1.165 do FXOS)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Condições conhecidas de susceptibilidade

    Condições conhecidas atuais relacionadas a Cisco bug ID CSCwa79915 incluem:

    1. Dispositivo Firepower 2100 Series.

    2. Uma ou mais portas externas direcionadas do chassi são executadas no modo Half-duplex (seja intencional ou como resultado de incompatibilidade duplex).

    3. Configurado com qualquer versão afetada do software Adaptive Security Appliance (ASA) ou Firepower Threat Defense (FTD).

    Sintomas de bug

    1. Os pacotes originados pelo ASA/LINA (FTD) nunca saem do dispositivo.

    A observação mais clássica/comum desse estado é que todas as interfaces de dados mostram muito pouco tráfego de suas interfaces.

    Quando uma captura é colocada nessa condição, ela revela que as solicitações ARP (Address Resolution Protocol) são enviadas por outros hosts na mesma sub-rede e consulta o endereço da camada 2 do endereço IP Linux Nativo (LINA) é recebido e a captura LINA mostra uma resposta. No entanto, essas respostas ARP não são vistas para sair do chassi, como revelado quando um Switched Port Analyzer (SPAN) é executado no switch externo no qual as respectivas interfaces de chassi atribuídas ao LINA estão conectadas.

    Por exemplo:

    firepower# show capture arp

4 packets captured

   1: 14:43:44.185872       arp who-has 10.255.255.1 tell 10.255.255.2   
   2: 14:43:44.186132       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
   3: 14:43:45.205906       arp who-has 10.255.255.1 tell 10.255.255.2
   4: 14:43:45.206166       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f

    Onde 10.255.255.2 é o endereço IP de um host externo que envia consultas ARP para 10.255.255.1, que pertence a uma das interfaces de dados LINA.

    As respostas ARP que são vistas como transmitidas pelo LINA em sua captura nunca são realmente vistas para deixar a respectiva porta física do chassi.

    2. Os Contadores de Interface FXOS para Pacotes TX não Incrementam.

    Semelhante ao sintoma em que os hosts externos nunca recebem pacotes do dispositivo afetado, como evidenciado por todos os pacotes enviados pelo LINA não saem do chassi, temos o sintoma em que os contadores de porta externos para pacotes transmitidos (TX) não são incrementados.

    Neste exemplo, a interface afetada é Ethernet1/12. Uma verificação dos contadores da interface do Firepower eXtensible Operating System (FXOS) para pacotes TX mostrou que os contadores nunca foram incrementados, apesar da indicação do LINA de que esses pacotes foram transmitidos para o switch interno do chassi.

    firepower# scope eth-uplink
    firepower/eth-uplink # scope fabric
    firepower/eth-uplink/fabric # scope interface 1 12   <<< interface Eth1/12
    firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
    Time Collected: 2021-12-09T17:29:45.621   <<< first execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

firepower/eth-uplink/fabric/interface # show stat ether-tx-stats

Ether Tx Stats:
    Time Collected: 2021-12-09T17:30:15.726   <<< second execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted (No delta seen)
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

    3. Quedas na interface interna de dados/backplane entre o switch interno do chassi e o ASA/LINA.

    A interface Internal1/3 é usada como uma interface de backplane/uplink entre o switch no dispositivo lógico que é executado no chassi.

    firepower# 
    firepower# connect local-mgmt 
    firepower(local-mgmt)# show portmanager counters internal 1 3   <<< first execution of the command
    Good Octets Received : 23510696205
    Bad Octets Received : 0
    MAC Transmit Error : 0
    Good Packets Received : 49729185
    Bad Packets Received : 0
    BRDC Packets Received : 1704250
    MC Packets Received : 320755
    Size 64 : 21746457
    Size 65 to 127 : 112073389
    Size 128 to 255 : 7536865
    Size 256 to 511 : 3053841
    Size 512 to 1023 : 2490597
    Size 1024 to Max : 0
    Good Octets Sent : 27203100553
    Good Packets Sent : 122656923
    Excessive Collision : 0
    MC Packets Sent : 1095115
    BRDC Packets Sent : 90585686
    Unrecognized MAC Received : 0
    FC Sent : 0
    Good FC Received : 0
    Drop Events : 16837069
    Undersize Packets : 0
    Fragments Packets : 0
    Oversize Packets : 0
    Jabber Packets : 0
    MAC RX Error Packets Received : 0
    Bad CRC : 0
    Collisions : 0
    Late Collision : 0
    bad FC Received : 0
    Good UC Packets Received : 47704180
    Good UC Packets Sent : 30976122
    Multiple Packets Sent : 0
    Deferred Packets Sent : 0
    Size 1024 to 15180 : 0
    Size 1519 to Max : 0
    txqFilterDisc : 0
    linkChange : 1

    firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
    Good Octets Received : 23510700469
    Bad Octets Received : 0
    MAC Transmit Error : 0
    Good Packets Received : 49729250     >>>> 49729250 – 49729185 = 65 packets received from FTD
    Bad Packets Received : 0
    BRDC Packets Received : 1704261
    MC Packets Received : 320759
    Size 64 : 21746518
    Size 65 to 127 : 112074355
    Size 128 to 255 : 7536866
    Size 256 to 511 : 3053847
    Size 512 to 1023 : 2490606
    Size 1024 to Max : 0
    Good Octets Sent : 27203179868
    Good Packets Sent : 122657901
    Excessive Collision : 0
    MC Packets Sent : 1095130
    BRDC Packets Sent : 90586649
    Unrecognized MAC Received : 0
    FC Sent : 0
    Good FC Received : 0
    Drop Events : 16837134   >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
    Undersize Packets : 0
    Fragments Packets : 0
    Oversize Packets : 0
    Jabber Packets : 0
    MAC RX Error Packets Received : 0
    Bad CRC : 0
    Collisions : 0
    Late Collision : 0
    bad FC Received : 0
    Good UC Packets Received : 47704230
    Good UC Packets Sent : 30976122
    Multiple Packets Sent : 0
    Deferred Packets Sent : 0
    Size 1024 to 15180 : 0
    Size 1519 to Max : 0
    txqFilterDisc : 0
    linkChange : 1
    firepower(local-mgmt)#

    Note: Para um ambiente de tráfego ao vivo, a verificação do contador de interface pode ser difícil devido ao ruído, portanto, verifique e corrija primeiro o modo half duplex.

    Disparador de sintoma

    Uma verificação do status das interfaces ativas mostra que uma das interfaces de dados ativas/UP está no modo Half-duplex, o que é incomum ser visto em geral. 

    firepower# 
    firepower# connect local-mgmt 
    firepower(local-mgmt)# show portmanager switch status 

    Dev/Port      Mode         Link  Speed Duplex Loopback Mode
    --------- ---------------- ----- ----- ------ -------------

    0/0          QSGMII        Down   1G    Half   None 
    0/1          QSGMII         Up    1G    Full   None 
    0/2          QSGMII        Down   1G    Half   None 
    0/3          QSGMII        Down   1G    Half   None 
    0/4          QSGMII        Down   1G    Half   None 
    0/5          QSGMII        Down   1G    Half   None 
    0/6          QSGMII         Up    100   Half   None    <<<<< Up and Half-duplex
    0/7          QSGMII        Down   1G    Half   None 
    0/8          QSGMII        Down   1G    Half   None 
    0/9          QSGMII         Up    1G    Full   None 
    0/10         QSGMII         Up    1G    Full   None 
    0/11         QSGMII         Up    1G    Full   None 
    0/12         QSGMII         Up    1G    Full   None 
    0/13         QSGMII        Down   10    Half   None 
    0/14         QSGMII        Down   10    Half   None 
    0/15         QSGMII        Down   10    Half   None 
    0/16          n/a          Down   n/a   Full   N/A 
    0/17          n/a          Down   n/a   Full   N/A 
    0/18          n/a          Down   n/a   Full   N/A 
    0/19          n/a          Down   n/a   Full   N/A 
    0/20          n/a          Down   n/a   Full   N/A 
    0/21          n/a          Down   n/a   Full   N/A 
    0/22          n/a          Down   n/a   Full   N/A 
    0/23          n/a          Down   n/a   Full   N/A 
    0/24          KR            Up    10G   Full   None 
    0/25          KR            Up    10G   Full   None 
    0/26          KR           Down   10G   Full   None 
    0/27          KR            Up    10G   Full   None

    Esta tabela fornece o mapeamento da interface física do chassi para o número de porta do switch interno. Esse mapeamento é necessário para entender a saída de show portmanager switch status. Com base na tabela, podemos ver que para a porta interna do switch com ID 0/6 (vista na saída anterior de show portmanager switch status), a porta física do chassi associada é Ethernet1/8.

    Interface Name	Internal Switch Port (2110/2120)	Internal Switch Port (2130/2140) 
    Ethernet 1/1	               1	                 1 
    Ethernet 1/2	               0	                 0 
    Ethernet 1/3	               3	                 3 
    Ethernet 1/4	               2	                 2 
    Ethernet 1/5	               5	                 5 
    Ethernet 1/6	               4	                 4 
    Ethernet 1/7	               7	                 7 
    Ethernet 1/8	               6	                 6 
    Ethernet 1/9	               9	                 49 
    Ethernet 1/10	               8	                 48 
    Ethernet 1/11	               11	                 51 
    Ethernet 1/12	               10	                 50 
    Ethernet 1/13	               12	                 59 
    Ethernet 1/14	               13	                 58 
    Ethernet 1/15	               14	                 57 
    Ethernet 1/16	               15	                 56 
    Ethernet 2/1	               N/A	                 70 
    Ethernet 2/2	               N/A	                 71 
    Ethernet 2/3	               N/A	                 69 
    Ethernet 2/4	               N/A	                 68 
    Ethernet 2/5	               N/A	                 66 
    Ethernet 2/6	               N/A	                 67 
    Ethernet 2/7	               N/A	                 65 
    Ethernet 2/8	               N/A	                 64 
    Internal 1/1 	               26	                 81 (Eventing Port - NOT visible at Service Manager) 
    Internal 1/2 	               27	                 80 (Unused - NOT visible at Service Manager) 
    Internal 1/3 	 	       24    	                 52 (Internal backplane uplink to logical device, whether ASA or FTD)

    Opções para reduzir o disparador e recuperar o dispositivo

    A correção de qualquer incompatibilidade duplex é a única maneira de evitar o efeito colateral visto na interface do painel traseiro, e isso pode ser feito por um desses métodos e uma recarga do dispositivo.

    1. Se o dispositivo par não estiver configurado com Duplex Auto, altere-o para Auto (método preferencial).

    2. Se não houver acesso de gerenciamento ao dispositivo par:

       2.1. Para FTD gerenciado pelo Firepower Management Center (FMC), desabilite a opção Autonegociação em Editar interface física no FMC.

       2.2. Para FTD gerenciado pelo Firepower Device Manager (FDM), altere a opção Duplex de Automático para Completo em Opções Avançadas de Interface.

       2.3. Para o ASA, desative a negociação automática duplex no nível do chassi da seguinte maneira: 

    firepower /eth-uplink # scope 
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes

firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #

    Note: Os métodos listados na etapa 2 são opções teóricas que podem funcionar em condições normais.

    3. Conecte a interface do Firepower no modo half-duplex a um switch diferente que suporte a autonegociação de configurações duplex ou configure a porta do switch para habilitar a autonegociação de configurações duplex.

    Note: Uma recarga de todo o equipamento ainda é necessária após a execução de qualquer uma das etapas, a fim de recuperar a interface do painel traseiro de seu estado de falha.

    Informações de ID de bug da Cisco

    Esse erro foi gerado para rastrear uma resolução de software do sintoma em que a interface interna1/3 do painel traseiro não consegue processar qualquer tráfego recebido do LINA após algum tempo.

    O bug da Cisco ID CSCwa79915 Porta física em Half Duplex faz com que todos os pacotes de LINA sejam descartados pelo chassi.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    30-Aug-2022
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Daniel Martinez
      Engenheiro de consultoria técnica da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos