Configuración y verificación del canal de puerto en dispositivos Firepower
Contenido
Introducción
Este documento describe cómo configurar, verificar y resolver problemas de Port-Channel en appliances Firepower.
Prerequisites
Requirements
Cisco recomienda que tenga conocimiento sobre estos temas:
- Centro de administración Firepower (FMC)
- Administrador de chasis Firepower (FCM)
- Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Nota: En este documento, los términos EtherChannel y Port-Channel (PC) se utilizan indistintamente.
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- 2 FPR4120 en FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 x FPR4110 en FXOS 2.1(0.159), FTD 6.1.0.330
- 1 x FPR2110 en FTD 6.2.1 (build 341)
- 1 FPR1150 en FTD 6.5.0
- WS-C3750X-24 en 15.2(4)E5
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Antecedentes
En este documento se describe la configuración, la verificación y la resolución de problemas del canal de puertos en dispositivos Firepower (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). Los ejemplos de configuración del documento se basan en Firepower Threat Defence (FTD), pero muchos conceptos (por ejemplo, la verificación y la resolución de problemas) también son totalmente aplicables a Adaptive Security Appliance (ASA).
Configurar
Canal de puertos en FPR4100/FPR9300
Diagrama de la red
Configure un canal de puertos desde la interfaz de usuario de FXOS (FPR4100/FPR9300)
El canal de puertos de FTD en dispositivos Firepower se administra mediante el código de FXOS. En FPR4100/FPR9300, la configuración se realiza desde el administrador de chasis Firepower:
El canal de puertos está inactivo (estado fallido) hasta que se asigna a un dispositivo lógico:
Para asignar el canal de puertos al dispositivo lógico:
El resultado:
Puntos principales
- Antes del lanzamiento de FXOS 2.4.x, FPR4100/FPR9300 solo admitía el LACP (modo NO ACTIVADO o PAGP). A partir de FXOS 2.4.1.101, el modo ACTIVADO es compatible con datos y EtherChannel para compartir datos.
- Asegúrese de que las interfaces que se van a agregar al canal de puerto no se hayan agregado ya al dispositivo lógico. Si lo están, no aparecen en la interfaz cuando se agrega el canal de puerto.
- No puede habilitar/deshabilitar miembros del canal de puertos individuales, sino solo el canal de puertos en sí.
- No puede eliminar un canal de puerto que utilice un dispositivo lógico (por ejemplo, ASA o FTD). Debe desasociarlo primero.
- El canal de puertos no se activa hasta que se lo asigna a un dispositivo lógico. Si EtherChannel se elimina del dispositivo lógico o se elimina el dispositivo lógico, el canal de puertos vuelve al estado Suspendido.
- Establezca los puertos del switch que se conectan al modo activo para obtener la mejor compatibilidad.
Configuración del switch
Cuando se configura el switch, para evitar inestabilidades del canal de puertos, se recomienda lo siguiente:
- Utilice el comando interface range.
- Cierre los miembros de la interfaz Port-Channel antes de realizar cambios que afecten al funcionamiento del canal de puerto (por ejemplo, si se cambia el modo de canal de puerto).
Ejemplo:
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Nota: Consulte siempre la sección Guía de configuración del modelo de switch para obtener más información.
Configure un canal de puertos desde la CLI de FXOS (FPR4100/FPR9300)
Paso 1. Verifique las interfaces que ya están asignadas al dispositivo lógico FTD.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Paso 2. Verifique las interfaces del chasis.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Paso 3. Cree el canal de puerto.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Paso 4. Asigne la interfaz al dispositivo lógico de FTD:
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Verificación
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
Elimine el canal de puerto de la CLI de FXOS (FPR4100/FPR9300).
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Canal de puertos en FPR21xx/FPR1xxx
Diagrama de la red
El canal de puertos de FTD en los dispositivos FPR21xx/FPR1xxx está administrado por el código de FXOS, pero la configuración se realiza desde el FMC ya que el código de FTD y FXOS está integrado en un paquete de software:
El modo (LACP activo o ACTIVADO) se configura desde la ficha Avanzado:
Los ajustes de dúplex y velocidad se configuran desde la ficha Configuración de hardware:
Nota: En FPR2100, no puede crear un canal de puerto desde FXOS CLI a menos que utilice un ASA como dispositivo lógico. Después de ASA 9.13.x, este es el caso solamente en el Modo de plataforma. En el modo de dispositivo (11xx/21xx), no hay FCM y toda la configuración de la interfaz se realiza directamente en la CLI del ASA.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
En caso de que una interfaz física esté inactiva y desee habilitarla, haga lo siguiente:
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
Configuración del FDM
Tenga en cuenta esta topología:
Puede configurar interfaces EtherChannel que utilicen FDM a partir de la versión 6.5 del software. Vaya a Dispositivo > Interfaces > EtherChannel y agregue un EtherChannel. Dado que en este caso EtherChannel es un enlace troncal, especifique la ID de EtherChannel, habilítela (Estado) y agregue los miembros. EtherChannel admite el LACP activo y el modo Activado (sin LACP). En este caso, se configura el modo activo del LACP.
Incorpore las subinterfaces:
El resultado:
Implemente los cambios esperados.
Verificación
Verifique el canal de puertos en FPR4100/FPR9300
Diagrama de la red
FTD (o el ASA) no tiene conocimiento de los miembros individuales del canal de puertos. Las interfaces lógicas (subinterfaces) se configuran en el FMC:
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Para verificar el estado del canal de puerto y sus miembros, navegue hasta el modo FXOS:
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
Para ver el estado de los canales de puertos junto con el último historial de estados:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
Para verificar la distribución del tráfico entre los miembros de la interfaz del canal de puertos:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
Verificación de vecinos del LACP
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Clave de operadora del partner 0x5 = El switch se configura con el ID de canal de puerto 5.
En el switch:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Nota: En el switch adyacente, la clave operativa del partner se muestra como 0xE (14) aunque FXOS está configurado con el ID de canal de puerto 15.
Captura de paquetes del LACP en Wireshark:
| Estado del partner |
||||||||
| Estado |
Vencido |
Predeterminado |
Distribuido |
Recopilado |
Sincronización |
Switching |
Caducidad del LACP |
Actividad del LACP |
| Valor |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hex |
3 |
f |
||||||
Verifique el canal de puertos en FPR21xx/FPR1xxx
Diagrama de la red
Verificación básica del canal de puertos
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Verificación adicional:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Verifique los detalles del canal de puertos:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Verifique los detalles de los miembros del canal de puertos:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Detalles del puerto del miembro:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Verificación del LACP
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Nota: en FPR21xx/FPR1xxx, la velocidad predeterminada de LACP es Lenta y no se puede cambiar.
Contadores del LACP
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
Verificación de la interfaz de FPR2100
Cómo se asignan las interfaces físicas al switch interno en FPR2100:
| Interfaz |
Switch interno en FPR2110/FPR2120 |
Switch interno en FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Verificación del estado de la interfaz física:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Contadores de interfaces físicas:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
Tabla de MAC del switch interno en FPR2100.
Nota: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Los puertos e1/1 y e1/2 corresponden a 0/0 y 0/1 en el switch interno:
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Troubleshoot
Descripción general del LACP
Hechos de LACP:
- El protocolo de control de agregación de enlaces (LACP) IEEE estándar (802.3ad) es un protocolo L2 que se utiliza para la negociación del canal de puertos.
- El LACP utiliza el destino MAC 0180.c200.0002 y Ethernet tipo 0x8809.
- Los modos LACP y Activado (sin LACP) son los únicos modos admitidos en los dispositivos Firepower (el modo Activado se agregó en FP4100/FP9300 en la versión 2.4.x de FXOS).
- LACP se puede configurar en uno de los 2 modos (Activo o Pasivo). FXOS siempre utiliza el modo Activo.
- El objetivo principal de LACP es proteger contra las configuraciones incorrectas del canal de puertos.
- Para que una PC con LACP esté ACTIVA, es necesario tener la misma configuración de velocidad/dúplex en los miembros de la interfaz del canal de puertos. En FXOS, establezca la velocidad en el nivel de canal de puertos.
- Actor del LACP = Dispositivo local
- Partner del LACP = Dispositivo remoto
- Cada dispositivo tiene un ID del sistema LACP que generalmente es el MAC del chasis. La ID del sistema del LACP se envía dentro de cada paquete del LACP.
- Cada paquete del LACP tiene aproximadamente 110 bytes de tamaño.
- El LACP puede funcionar en velocidad rápida o velocidad lenta (normal). Para FXOS, el valor predeterminado es la velocidad rápida (excepto 1xxx/21xx, donde siempre es lenta), pero también se puede configurar como lenta. El modo LACP en el lado del switch depende del modelo de switch y el SW utilizado. Por ejemplo, Cat3750 admite tanto la velocidad lenta como rápida a partir de 15.2(4)E. Consulte la guía de confirmación del switch para obtener más detalles.
- En el período de detección de LACP, los LACP se envían cada 1 segundo sin importar cuál sea la velocidad de LACP. La velocidad del LACP afecta solo el intervalo de mantenimiento activo del LACP una vez que la interfaz está ACTIVA.
Ventajas de LACP Keepalive
El mantenimiento activo del LACP es útil en situaciones en las que la interfaz remota ya no funciona, pero aún está ACTIVA (no se detectó ninguna falla directa). Este podría ser el caso de un problema de controlador/L2 o si hay algún dispositivo en la trayectoria (por ejemplo, IPS) que no permite la detección de fallas de link remoto. El mantenimiento activo del LACP tiene un tiempo de espera de 3 veces la tasa de interconexión. Por ejemplo, si la interconexión remota envía cada 1 segundo, el dispositivo local la declara como inactiva si no se recibe ningún paquete del LACP en 3 segundos. En el caso de una velocidad lenta, esto sucede después de 90 segundos.
Todos los campos del paquete del LACP como se muestran en Wireshark:
Nota: Cuando un canal de puerto termina en el FTD, la captura FXOS no muestra los paquetes LACP (ingreso o egreso).
Velocidad rápida frente a velocidad lenta del LACP
En general, la recomendación es utilizar la velocidad rápida en ambos lados (FXOS en 4100/9300 utiliza la velocidad rápida de manera predeterminada; en FPR2100, la velocidad predeterminada de envío del LACP es lenta). La velocidad rápida del LACP puede aumentar la velocidad de agrupación del canal de puertos.
| FXOS configurado lento |
FXOS configurado rápido |
|
| Switch configurado lento |
Solicitudes de switch lentas Solicitudes de FXOS lentas El switch envía 1 LACP/30 segundos FXOS envía 1 LACP/30 segundos |
Solicitudes de switch lentas Solicitudes de FXOS rápidas El switch envía 1 LACP/segundo FXOS envía 1 LACP/30 segundos |
| Switch configurado rápido |
Solicitudes de switch rápidas Solicitudes de FXOS lentas El switch envía 1 LACP/30 segundos FXOS envía 1 LACP/segundo |
Solicitudes de switch rápidas Solicitudes de FXOS rápidas El switch envía 1 LACP/segundo FXOS envía 1 LACP/segundo |
Para configurar el modo LACP en FXOS (41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
Solucione problemas del canal de puertos en FPR4100/FPR9300
Diagrama de la red
Los chasis FPR4100 y FPR9300 contienen un switch interno donde termina el canal de puertos. Dado que el switch interno es similar a Nexus 5K y FXOS solo admite el LACP, el enfoque de solución de problemas es similar al de Nexus 5K.
Check 1 - Verify the Port-Channel status.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Verifique el estado de la interfaz de FXOS:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Verifique 2 - Verifique que el FXOS envía y recibe LACP (ejecute el comando varias veces).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Verifique lo mismo en el switch:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Verifique los detalles del LACP de la interfaz individual de FXOS:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
Verifique 3 - Verifique los ID de LACP del dispositivo local y remoto.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
Marca 4 (opcional) - Recopile esta salida (puede ser utilizada por Cisco TAC).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Comprobación 5: verifique la transición del FSM del LACP para el puerto específico que tiene el problema Los mensajes se muestran con el más antiguo en la parte superior de la salida.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Marque 6: Recopile el historial de eventos del canal de puerto (puede utilizarlo el TAC de Cisco).
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
Solucione problemas del canal de puertos en FPR21xx/FPR1xxx
Diagrama de la red
Comprobación 1. En caso de que se utilice LACP, verifique los contadores de LACP.
Verá que ambos lados (switch y FXOS) envían y reciben:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Otra forma de verificar lo mismo:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Comprobación 2. Verifique el estado del switch ascendente.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
Nota: Si los valores de Recopilado y Distribuido no son Sí y el valor por defecto es No, el LACP no es convergente.
Comprobación 3. Verifique que el ID del sistema LACP local no sea 0.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Solución de problemas adicional (común en todas las plataformas)
Comprobación 1
Asegúrese de que ambos lados (firewall y switch) tienen configuraciones coincidentes (por ejemplo, la velocidad es la misma, el modo de canal de puerto es el mismo).
Comprobación 2
Verifique las fallas de FXOS. Puede realizar esta comprobación desde la interfaz de usuario (IU) del chasis o desde la CLI que utiliza este comando:
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
Las fallas se muestran en orden cronológico. La gravedad refleja la importancia de la falla, mientras que la descripción proporciona una breve descripción general. El enfoque se centra principalmente en la gravedad, la marca de hora y la descripción. El orden de gravedad de la falla del más grave al menos grave es:
- Crítico
- Principal
- Menor
- Advertencia
- Información/condición
- Eliminado
Para obtener más información sobre cada fallo, consulte la guía de mensajes de error y fallos de FXOS: FXOS Error y System Messages (Mensajes del sistema y errores de FXOS)
Comprobación 3
Si ha realizado algunos cambios recientes relacionados con la configuración del canal de puerto en FMC, asegúrese de que la política se haya implementado de FMC a FTD.
Comprobación 4
Si el canal de puerto se encuentra en el estado Error y el dispositivo pertenece a un clúster, asegúrese de que el clúster esté habilitado en el dispositivo. Es normal que un dispositivo que se inicia en el clúster tenga el canal de puerto en un estado fallido.
Comprobación 5
Si la configuración es correcta, pero la interfaz no se enciende, compruebe y sustituya el cable o el transceptor Small Form-Factor Pluggable (SFP).
Comprobación 6
Consulte las Notas de la versión de Firepower para ver los problemas conocidos relacionados con el canal de puertos. Por ejemplo, si ejecuta FXOS versión 2.6.1.169 y FTD 6.4.0.6, consulte estas secciones:
Además, consulte las notas de la versión del FMC/FTD relacionadas. Dado que en este ejemplo FTD ejecuta 6.4.0.5, es necesario revisar las Notas de la versión 6.4.x:
Problemas comunes
Caso 1. Diferencia de modo en EtherChannel
Tenga en cuenta esta topología:
Indicios de problema
En Firepower, el canal de puertos está inactivo y el protocolo de negociación es el LACP:
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
En FXOS, los contadores LACP Sent se incrementan cada 30 segundos, pero los contadores Receive no:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
Causa raíz
El canal de puertos en el switch está ACTIVO, pero observe la ausencia del protocolo de negociación:
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
La configuración del puerto de switch confirma esto:
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Solución
Dado que se trata de un dispositivo FPR21xx, existen 2 soluciones posibles:
- Cambie el modo del canal de puertos en el lado del switch de ACTIVADO a LACP (activo o pasivo).
- Cambie el modo del canal de puertos del lado de FTD de LACP a ACTIVADO.
En esta situación, se eligió la segunda solución (establecer FTD Port-Channel en modo ON):
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
Los contadores del LACP ya no se muestran:
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Caso 2. Diseño de canal de puertos incorrecto
Indicios de problema
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
Los contadores del LACP de FXOS aumentan en ambas direcciones:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
Causa raíz
El resultado de show lacp neighbor muestra una ID de sistema de partner diferente en cada puerto:
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Esto se puede visualizar como:
Solución
- En el caso de 2960, debe configurar el apilamiento (FlexStack).
- En el caso de 3750-X/3850 y así sucesivamente, debe configurar el apilamiento (StackWise Plus).
- En el caso de 4500, 6500 y 6800, debe utilizar Virtual Switching System (VSS).
- En el caso de Nexus 5000, 7000 o 9000, debe utilizar Virtual Port-Channel (vPC).
- En otro caso, debe conectar FXOS al mismo switch físico.
Caso 3. Canal de puertos de FXOS sin asignar
Diagrama de la red
Indicios de problema
En el lado de FXOS, los miembros del canal de puertos están suspendidos:
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
Lo mismo sucede en el lado del switch:
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
Los contadores de LACP de FXOS muestran los paquetes que se envían y reciben:
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
En el lado del switch, los contadores LACP también muestran los paquetes que se envían, pero no se reciben:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
Causa raíz
El problema, en este caso, es que el canal de puertos de FXOS no está asignado al dispositivo lógico (aplicación de FTD):
Solución
Asigne el canal de puerto al dispositivo lógico.
Caso 4. Las Alertas De Estado Sobre El Canal De Puerto No Reciben Ningún Paquete
El dispositivo (FTD) envía cada 5 minutos información sobre el tráfico de interfaz recibido en cada interfaz que tiene un nombre configurado y está ACTIVO. Si no se recibieron paquetes en el último intervalo, aparecen mensajes como este en la interfaz de usuario del FMC:
Acción Recomendada
Desde la CLI de FTD, verifique el resultado de show traffic y céntrese en la velocidad de entrada de 5 minutos. Por ejemplo,
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Caso 5. Alerta de estado en FMC: canal de puerto desasociado o interfaz agregada
La alerta de estado indica: "Interfaz con nombre físico: "Port-Channel" desasociado." o ‘"Interfaz con nombre físico: \"name_if\" agregado."
Acción Recomendada
Se trata de un problema cosmético conocido que se rastrea mediante el identificador de error de Cisco CSCvb15074
Consideraciones sobre el canal de puertos
Aspectos del diseño
Caso 1. FTD/ASA blade en HA
Esta configuración no es compatible. La razón es que la configuración del canal de puerto en el lado del switch es incorrecta y conduce al bloqueo de tráfico en el dispositivo en espera. Este diseño solo se admite cuando se configura el ASA o FTD en el modo de clúster extendido.
Advertencia: este escenario es incorrecto en la conmutación por error (alta disponibilidad).
Este es el diseño de canal de puertos adecuado para la alta disponibilidad:
Información Relacionada
Caso 2. FTD/ASA en clúster
Cada puerto de canal de interfaz de datos de firewall utiliza el modo distribuido (el único modo admitido en las plataformas Firepower). Desde el punto de vista del diseño, en el lado del switch, los puertos de switch para una única interfaz de datos pertenecen a un canal de puertos.
Por ejemplo, en el caso de FP9300 (2 chasis, 6 blades), los puertos de datos se pueden configurar de la siguiente manera:
Por otro lado, el enlace de control de clúster (CCL) utiliza el modo de canal de puerto individual y, según las prácticas recomendadas, el ancho de banda debe coincidir con la capacidad máxima de cada miembro. Además, en el caso de Nexus, cada canal de puertos pertenece a un vPC diferente.
De manera similar, en el caso de FP41xx:
Y el CCL:
Caso 3. Canal de puertos finalizado en FXOS
Canal de puertos finalizado en el chasis de FXOS. Aquí hay un ejemplo de este diseño:
Caso 4. Canal de puertos a través de FXOS
El canal de puerto pasa a través del chasis FXOS. Aquí hay un ejemplo de este diseño:
Nota: en la segunda situación, no hay ningún canal de puerto configurado en el dispositivo Firepower.
Canal de puertos finalizado en FXOS frente a canal de puertos a través de FXOS
| Función |
Comentarios |
| Canal de puertos finalizado en el chasis de FXOS (MIO) |
Funciona a partir de FXOS 2.1.1 |
| El canal de puerto pasa por el chasis FXOS (MIO) |
|
Consideraciones adicionales
Convergencia correcta del LACP
En el caso de una configuración de clúster (ASA o FTD), se recomienda habilitar la convergencia de cortesía de LACP en Nexus.
Preguntas frecuentes
P. ¿La distribución de hash de canal de puerto SSP es fija o adaptable?
FXOS utiliza la distribución de hash resistente. Esto parece ser equivalente al modo de distribución de hash fija descrito en la documentación en línea de Nexus 7000/9000. En el hashing flexible, si falla un enlace, los flujos asignados al enlace que ha fallado se redistribuyen uniformemente entre los enlaces activos. Los flujos actuales a través de los links activos no se refractan y sus paquetes no se entregan fuera de servicio. Cuando se agrega un link al canal de puerto o al grupo ECMP, algunos de los flujos de hash a los links actuales se repasan al nuevo link, pero no a través de todos los links actuales.
P. ¿Qué sucede si los puertos de switch conectados al canal de puerto se desactivan? ¿FTD monitorea el link físico o el canal de puerto?
Si todos los miembros de la interfaz de canal de puertos se desactivan, el canal de puertos también se desactiva. El estado de funcionamiento del canal de puertos se muestra como fallido. Desde el punto de vista de FTD, el canal de puertos se muestra como inactivo. Por otro lado, en esta regla, hay una excepción: cuando los switches utilizan apilamiento. Con el LACP, la ID del sistema utiliza la dirección MAC de la pila del switch activo y, si el switch activo cambia, la ID del sistema del LACP puede cambiar. Si la ID del sistema del LACP cambia, todo el EtherChannel se torna intermitente y hay una nueva convergencia del STP. Utilice el comando stack-mac persistent timer para controlar si la dirección MAC de la pila cambia o no después de una falla de switch activa.
P. Desea utilizar el comando "port-channel min-bundle 2" para que si un link en el canal de puerto se desactiva, el canal de puerto se desactiva y el firewall realiza una conmutación por fallas.
Esta opción no es posible en el chasis de FXOS. Como solución alternativa y siempre que sea posible, configure el comando lacp min-links en los switches de interconexión.
P. ¿Cómo capturar paquetes LACP?
Caso 1. Canal de puertos finalizado en el dispositivo lógico (FTD/ASA).
- El canal de puertos finaliza realmente en el nivel de chasis (FXOS).
- No puede capturar paquetes del LACP (ingreso o egreso) ni a nivel del chasis (FXOS) ni a nivel de la aplicación (FTD/ASA).
Caso 2. Canal de puerto a través de la interfaz FTD - FTD implementada como conjunto en línea:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Caso 3. Canal de puertos a través de FTD: interfaz de FTD implementada como modo de grupo de puente:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
P. ¿Cómo migrar de un solo puerto a un Port-Channel?
Este cambio requiere una ventana de mantenimiento (MW) y es intrusivo. Una vez que migra de una única interfaz al canal de puertos, toda la configuración relacionada con la interfaz única se desasocia de ella. Una vez creado el canal de puerto, es necesario volver a asociar la misma configuración con el canal de puerto recién configurado, por ejemplo, NAT, enrutamiento, VPN, etc. Para FTD hay una nota en este documento:
Configuración de EtherChannel
Para un ASA, el procedimiento se describe en este documento:
Conversión de interfaces en uso a una interfaz redundante o EtherChannel
P. ¿Cómo se cambia el enlace de alta disponibilidad (HA) de FTD a Port-Channel?
Este cambio requiere una ventana de mantenimiento (MW) y es intrusivo. Debe interrumpir la HA y reconfigurarla. En el nuevo par de HA, especifique el canal de puertos como enlace de HA. Documento relacionado:
Configuración de alta disponibilidad de FTD en dispositivos Firepower
P. Firepower con ASA muestra canal de puerto activo, estado de interfaz física inactivo
Esto está relacionado con el ID de bug de Cisco CSCvp03354
P. ¿Importa qué elegir para el ID de canal de puerto en el FMC? ¿Tiene que coincidir con algo en el lado del switch?
No, no importa. Puede utilizar cualquier ID de canal de puertos que desee.
P. En la pestaña Port-Channel Advanced, ¿existe la necesidad de hacer algo por el MAC activo/en espera?
Si tiene pensado utilizar el canal de puerto en el modo de acceso (sin enlace troncal) y utiliza la configuración de alta disponibilidad (HA), se recomienda encarecidamente configurar MAC activo/en espera. Esta recomendación no es específica de un canal de puerto, pero se aplica a cualquier configuración de HA.
P. ¿Es posible configurar descripciones para los miembros de la interfaz de un Port-Channel?
Actualmente (FXOS 2.13.x), no es compatible. Consulte la última guía de configuración de FXOS para obtener más detalles.
P. ¿Es posible cambiar el algoritmo de balanceo de carga de canal de puerto FXOS?
Actualmente (FXOS 2.13.x), no es compatible. Consulte la última guía de configuración de FXOS para obtener más detalles.
P. ¿Es posible configurar el número mínimo (links mínimos) de interfaces miembro en un canal de puerto para pasar el canal de puerto al estado agrupado?
Actualmente (FXOS 2.13.x), no es compatible. Consulte la última guía de configuración de FXOS para obtener más detalles.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
4.0 |
11-Apr-2024 |
Requisitos de estilo actualizados y formato. |
3.0 |
15-May-2023 |
Formato e idioma actualizados |
1.0 |
26-Mar-2020 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)