概要
このドキュメントでは、Cisco Bug ID CSCwa79915の状態、症状、トリガー、およびアプライアンスを回復するための軽減オプションについて説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower eXtensible Operating System(FXOS)
- 適応型セキュリティ アプライアンス(ASA)
- LInux NAatively(LINA)
- Firepower Threat Defense(FTD)
使用するコンポーネント
このドキュメントの情報は、次のハードウェアモデルとソフトウェアバージョンに基づくものです。
- Firepower 2110
- FTD 6.6.5(FXOSバージョン2.8.1.165にバンドル)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
既知の感受性条件
関連する現在の既知の状態 Cisco bug ID CSCwa79915 次を含む:
1. Firepower 2100シリーズアプライアンス
2.半二重モードで動作する1つ以上の外部向けシャーシポート(意図的なものか、またはデュプレックスのミスマッチの結果として発生するもの)。
3.適応型セキュリティアプライアンス(ASA)またはFirepower Threat Defense(FTD)ソフトウェアの該当リリースで設定されている。
バグの症状
1. ASA/LINA(FTD)から送信されたパケットはアプライアンスから送信されません。
この状態の最も一般的な観察は、すべてのデータインターフェイスがインターフェイスからのトラフィックをほとんど示さないことです。
キャプチャがこの状態になると、Address Resolution Protocol(ARP;アドレス解決プロトコル)要求が同じサブネット上の他のホストによって送信され、LINA IPアドレスのレイヤ2アドレスに対するクエリーが受信されたことを示し、LINAキャプチャは応答を示します。ただし、LINAに割り当てられた各シャーシインターフェイスが接続されている外部スイッチでSwitched Port Analyzer(SPAN;スイッチドポートアナライザ)を実行すると明らかなように、これらのARP応答はシャーシから発信されません。
次に例を示します。
firepower# show capture arp
4 packets captured
1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2
2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2
4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
ここで、10.255.255.2は、LINAデータインターフェイスの1つに属する10.255.255.1にARPクエリーを送信する外部ホストのIPアドレスです。
キャプチャ時にLINAによって送信されたと見なされるARP応答は、実際にはそれぞれの物理シャーシポートから送信されたと見なされることはありません。
2. TXパケットのFXOSインターフェイスカウンタが増加しない。
LINAから送信されたすべてのパケットがシャーシから送出されないことから明らかなように、外部ホストが影響を受けるアプライアンスからパケットを一切受信しない症状と同様に、送信(TX)パケットの外部ポートカウンタが増加しない症状があります。
この例では、影響を受けるインターフェイスはEthernet1/12です。Firepower eXtensible Operating System(FXOS)のインターフェイスカウンタでTXパケットをチェックしたところ、LINAからこれらのパケットが内部シャーシスイッチに送信されたことが示されたにもかかわらず、カウンタが増加しなかったことが示されました。
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
firepower/eth-uplink/fabric/interface # show stat ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen)
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
3.内部シャーシスイッチとASA/LINA間の内部データ/バックプレーンインターフェイスでのドロップ。
インターフェイスInternal1/3は、シャーシ上で動作する論理デバイス上のスイッチ間のバックプレーン/アップリンクインターフェイスとして使用されます。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
注:ライブトラフィック環境では、インターフェイスカウンタの確認がノイズのために困難な場合があるため、最初に半二重モードを確認して修正します。
症状の引き金
アクティブインターフェイスのステータスをチェックすると、アクティブ/アップデータインターフェイスの1つが半二重モードであることが示されます。これは一般的には珍しいことです。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
次の表に、物理シャーシインターフェイスと内部スイッチポート番号のマッピングを示します。このマッピングは、show portmanager switch statusからの出力を理解するために必要です。表を見ると、内部スイッチポートID 0/6(前のshow portmanager switch statusの出力に示されています)の関連付けられた物理シャーシポートがEthernet1/8であることがわかります。
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
トリガーを軽減し、アプライアンスを回復するオプション
デュプレックスのミスマッチを修正することが、バックプレーンインターフェイスに見られる副作用を防ぐ唯一の方法です。これを行うには、次のいずれかの方法とアプライアンスのリロードを行います。
1.ピアデバイスがデュプレックス自動に設定されていない場合は、自動(推奨される方法)に変更します。
2.ピアデバイスへの管理アクセスがない場合:
2.1. Firepower Management Center(FMC)によって管理されるFTDでは、FMCの[Edit Physical Interface]でオプション[Auto-Negotiation]を無効にします。
2.2. Firepower Device Manager(FDM)によって管理されるFTDの場合、[Interface Advanced Options]で[Duplex]オプションを[Auto]から[Full]に変更します。
2.3. ASAでは、次のようにシャーシレベルからデュプレックスオートネゴシエーションを無効にします。
firepower /eth-uplink # scope
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes
firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #
注:ステップ2に示す方法は、通常の条件下で動作できる理論的なオプションです。
3.半二重モードのFirepowerインターフェイスを、デュプレックス設定のオートネゴシエーションをサポートする別のスイッチに接続するか、またはデュプレックス設定のオートネゴシエーションをイネーブルにするようにスイッチポートを設定します。
注:いずれかの手順を実行した後も、バックプレーンインターフェイスを障害状態から回復するために、アプライアンス全体のリロードが必要です。
Cisco Bug ID情報
このバグは、バックプレーンのInternal1/3インターフェイスが、しばらくするとLINAから受信したトラフィックを処理できないという症状のソフトウェアによる解決を追跡するために発生しました。
Cisco Bug ID CSCwa79915:半二重の物理ポートが原因で、LINAからのすべてのパケットがシャーシによって廃棄されます。
フィードバック