Fehlerbehebung beim Paketverlust beim FP2100 aufgrund der physischen Schnittstelle im Halbduplexmodus
Download-Optionen
-
ePub (92.1 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Inklusive Sprache
In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Informationen zu dieser Übersetzung
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
Inhalt
Einleitung
Dieses Dokument beschreibt die Bedingungen, Symptome, Auslöser und Eindämmungsoptionen für den Cisco Bug CSCwa79915 zur Wiederherstellung der Appliance.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Firepower eXtensible Operating System (FXOS)
- Adaptive Security Appliance (ASA)
- Linux NAtiv (LINA)
- Firepower Threat Defense (FTD)
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf dem folgenden Hardware- und Softwaremodell:
- FirePOWER 2110
- FTD 6.6.5 (im Paket mit FXOS Version 2.8.1.165)
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.
Bekannte Suszeptibilitätsbedingungen
Aktuelle bekannte Bedingungen in Bezug auf Cisco bug ID CSCwa79915 umfassen:
1. FirePOWER-Appliance der Serie 2100
2. Ein oder mehrere extern gesteuerte Chassis-Ports, die im Halbduplex-Modus ausgeführt werden (ob absichtlich oder als Duplexungleichgewicht).
3. Konfiguriert mit allen betroffenen Versionen der Software Adaptive Security Appliance (ASA) oder Firepower Threat Defense (FTD).
Symptome von Bugs
1. Von ASA/LINA (FTD) bezogene Pakete verlassen die Appliance niemals.
Die klassischste/häufigste Beobachtung dieses Zustands ist, dass alle Datenschnittstellen sehr wenig Datenverkehr von ihren Schnittstellen zeigen.
Wenn eine Erfassung in diesen Zustand versetzt wird, zeigt dies, dass Address Resolution Protocol (ARP)-Anforderungen von anderen Hosts im gleichen Subnetz gesendet werden, und es wird eine Abfrage nach der Layer-2-Adresse der LINA-IP-Adresse (NAtively) empfangen, und die LINA-Erfassung zeigt eine Antwort an. Diese ARP-Antworten verlassen das Chassis jedoch nicht, wie sich bei der Ausführung eines Switched Port Analyzer (SPAN) auf dem externen Switch zeigt, an dem die jeweiligen der LINA zugewiesenen Chassis-Schnittstellen angeschlossen sind.
Beispiel:
firepower# show capture arp 4 packets captured 1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2 2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f 3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2 4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
Dabei ist 10.255.255.2 die IP-Adresse eines externen Hosts, der ARP-Abfragen an 10.255.255.1 sendet, das zu einer der LINA-Datenschnittstellen gehört.
ARP-Antworten, die von LINA bei der Erfassung als übertragen angesehen werden, verlassen den entsprechenden physischen Chassis-Port nicht.
2. FXOS-Schnittstellenzähler für TX-Pakete werden nicht inkrementiert.
Ähnlich wie bei dem Symptom, bei dem externe Hosts niemals Pakete von der betroffenen Appliance empfangen, was sich darin zeigt, dass alle von der LINA gesendeten Pakete das Chassis nicht verlassen, besteht auch hier das Symptom, dass die externen Port-Zähler für übertragene (TX) Pakete nicht inkrementieren.
In diesem Beispiel ist die betroffene Schnittstelle Ethernet1/12. Eine Überprüfung der FirePOWER eXtensible Operating System (FXOS)-Schnittstellenzähler für TX-Pakete ergab, dass die Zähler nie inkrementiert wurden, obwohl die LINA anzeigte, dass diese Pakete an den internen Chassis-Switch übertragen wurden.
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0 firepower/eth-uplink/fabric/interface # show stat ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen) Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0
3. Verwirft interne Daten-/Backplane-Schnittstellen zwischen dem internen Chassis-Switch und ASA/LINA.
Die interne Schnittstelle1/3 wird als Backplane/Uplink-Schnittstelle zwischen dem Switch des logischen Geräts verwendet, das im Chassis ausgeführt wird.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
Anmerkung: In einer Umgebung mit aktivem Datenverkehr kann die Überprüfung der Schnittstellenzähler aufgrund von Störungen schwierig sein. Überprüfen und korrigieren Sie daher zunächst den Halbduplex-Modus.
Symptomauslöser
Eine Überprüfung des Status der aktiven Schnittstellen zeigt, dass sich eine der aktiven/UP-Datenschnittstellen im Halbduplex-Modus befindet, was im Allgemeinen ungewöhnlich ist.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
Diese Tabelle enthält die Zuordnung der physischen Chassis-Schnittstelle zur internen Switch-Port-Nummer. Diese Zuordnung ist erforderlich, um die Ausgabe von show portManager switch status zu verstehen. Basierend auf der Tabelle können wir feststellen, dass für die interne Switch-Port-ID 0/6 (siehe vorherige Ausgabe von show portManager switch status) der zugehörige physische Chassis-Port Ethernet1/8 ist.
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
Optionen zur Vermeidung von Triggern und zur Wiederherstellung der Appliance
Die Korrektur etwaiger Duplexdiskrepanzen ist die einzige Möglichkeit, die an der Backplane-Schnittstelle auftretenden Nebenwirkungen zu vermeiden. Dies kann mit einer dieser Methoden und einem Neuladen der Appliance erfolgen.
1. Wenn das Peer-Gerät nicht mit Duplex Auto konfiguriert ist, ändern Sie es in Auto (bevorzugte Methode).
2. Wenn kein Verwaltungszugriff auf das Peer-Gerät besteht:
2.1. Deaktivieren Sie für vom FirePOWER MANAGEMENT CENTER (FMC) verwaltete FTD die Option "Auto-Negotiation" unter "Edit Physical Interface on FMC" (Physische Schnittstelle bearbeiten).
2.2. Für vom FirePOWER Device Manager (FDM) verwaltetes FTD, ändern Sie unter "Erweiterte Schnittstellenoptionen" die Duplexoption von "Automatisch" in "Voll".
2.3. Deaktivieren Sie für ASA die automatische Duplex-Aushandlung auf Chassis-Ebene wie folgt:
firepower /eth-uplink # scope firepower /eth-uplink # scope fabric a firepower /eth-uplink/fabric # scope interface 1 1 firepower /eth-uplink/fabric/interface # set auto-negotiation no No yes Yes firepower /eth-uplink/fabric/interface # set auto-negotiation no firepower /eth-uplink/fabric/interface* # commit-buffer firepower /eth-uplink/fabric/interface #
Anmerkung: Die in Schritt 2 aufgeführten Methoden sind theoretische Optionen, die unter normalen Bedingungen funktionieren können.
3. Verbinden Sie die FirePOWER-Schnittstelle im Halbduplex-Modus mit einem anderen Switch, der die automatische Aushandlung der Duplexeinstellungen unterstützt, oder konfigurieren Sie den Switch-Port, um die automatische Aushandlung der Duplexeinstellungen zu aktivieren.
Anmerkung: Ein Neuladen der gesamten Appliance ist nach Ausführung eines der Schritte weiterhin erforderlich, um die Backplane-Schnittstelle aus ihrem ausgefallenen Zustand wiederherzustellen.
Cisco Bug-ID-Informationen
Dieser Fehler wurde ausgelöst, um eine Softwarelösung des Symptoms zu verfolgen, bei dem die interne 1/3-Backplane-Schnittstelle nach einiger Zeit keinen von der LINA empfangenen Datenverkehr mehr verarbeiten kann.
Der physische Port CSCwa7915 mit der Cisco Bug-ID im Halbduplex bewirkt, dass alle Pakete von LINA vom Chassis verworfen werden.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
30-Aug-2022 |
Erstveröffentlichung |
Beiträge von Cisco Ingenieuren
- Daniel MartinezCisco Technical Consulting Engineer
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)