簡介
本檔案介紹思科錯誤ID CSCwa79915恢復裝置的條件、症狀、觸發器和緩解選項。
必要條件
需求
思科建議您瞭解以下主題:
- Firepower eXtensible 作業系統 (FXOS)
- 調適型安全裝置(ASA)
- 北極(LINA)
- Firepower Threat Defense (FTD)
採用元件
本檔案中的資訊是根據以下硬體型號和軟體版本:
- Firepower 2110
- FTD 6.6.5(與FXOS 2.8.1.165版捆綁)
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
已知易感性條件
當前已知條件與 Cisco bug ID CSCwa79915 包括:
1. Firepower 2100系列裝置。
2.一個或多個在半雙工模式下運行的外部定向機箱埠(無論是有意還是作為雙工不相符的結果)。
3.配置自適應安全裝置(ASA)或Firepower威脅防禦(FTD)軟體的任何受影響版本。
錯誤症狀
1.源自ASA/LINA(FTD)的資料包永遠不會離開裝置。
對於此狀態,最經典/最常見的觀察是,所有資料介面顯示來自其介面的流量非常少。
如果將捕獲置於此狀態,則表明地址解析協定(ARP)請求由同一子網中的其他主機傳送,並接收對LINA(LINA)IP地址第2層地址的查詢,而LINA捕獲會顯示一個回覆。但是,這些ARP回覆不會離開機箱,這一點在連線分配給LINA的各個機箱介面的外部交換機上執行交換埠分析器(SPAN)時可以看到。
例如:
firepower# show capture arp
4 packets captured
1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2
2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2
4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
其中10.255.255.2是向10.255.255.1(屬於LINA資料介面之一)傳送ARP查詢的外部主機的IP地址。
LINA在其擷取中視為傳輸的ARP回覆實際上不會離開各自的實體機箱連線埠。
2. TX資料包的FXOS介面計數器不遞增。
與外部主機從未從受影響的裝置接收任何資料包的症狀相似(如LINA傳送的所有資料包不離開機箱所證明的那樣),我們出現這樣的症狀:傳輸(TX)資料包的外部埠計數器沒有增加。
在本範例中,受影響的介面是Ethernet1/12。檢查TX封包的Firepower可擴充作業系統(FXOS)介面計數器時,顯示計數器從未遞增,儘管LINA表示這些封包已傳輸到內部機箱交換器。
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
firepower/eth-uplink/fabric/interface # show stat ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen)
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
3.丟棄內部機箱交換機和ASA/LINA之間的內部資料/背板介面。
Internal1/3介面用作機箱上運行的邏輯裝置上的交換機之間的底板/上行鏈路介面。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
附註:對於即時通訊環境,由於存在噪音,介面計數器驗證會比較困難,因此請先驗證並糾正半雙工模式。
症狀觸發器
檢查活動介面狀態時會顯示其中一個活動/UP資料介面處於半雙工模式,這通常是不常見的。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
下表提供了物理機箱介面到內部交換機埠號的對映。要瞭解show portmanager switch status的輸出,需要此對映。根據下表可以看出,對於內部交換機埠ID 0/6(在show portmanager switch status的上一個輸出中顯示),關聯的物理機箱埠是Ethernet1/8。
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
減輕觸發器和恢復裝置的選項
糾正任何雙工不相符是防止背板介面出現副作用的唯一方法,這可以通過下列方法之一和重新載入裝置來完成。
1.如果對等裝置未配置自動雙工,請將其更改為自動(首選方法)。
2.如果對對等裝置沒有管理訪問許可權:
2.1.對於Firepower管理中心(FMC)管理的FTD,在FMC上禁用編輯物理介面下的選項自動交涉。
2.2.對於由Firepower裝置管理器(FDM)管理的FTD,在「介面高級選項」下將「雙工」選項從「自動」更改為「完全」。
2.3.對於ASA,從機箱級別禁用雙工自動協商,如下所示:
firepower /eth-uplink # scope
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes
firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #
附註:步驟2中列出的方法是可以在正常條件下工作的理論選項。
3.將半雙工模式下的Firepower介面連線到支援雙工設定自動協商的不同交換機,或者配置交換機埠以啟用雙工設定的自動協商。
附註:執行任何步驟後,仍需要重新載入整個裝置,以便從背板介面故障狀態中恢復。
思科錯誤ID資訊
系統產生此錯誤,以追蹤底板內部1/3介面在一段時間後無法處理從LINA接收的任何流量的症狀的軟體解決方案。
思科錯誤ID CSCwa79915半雙工中的實體連線埠導致機箱捨棄來自LINA的所有封包。
意見