Firepowerアプライアンスでのポートチャネルの設定と確認
内容
はじめに
このドキュメントでは、Firepowerアプライアンスのポートチャネルを設定、確認、およびトラブルシューティングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Firepower Management Center(FMC)
- Firepower Chassis Manager(FCM)
- Firepower eXtensible Operating System(FXOS)
- Firepower Threat Defense(FTD)
- EtherChannel(EC)
注:このドキュメントでは、EtherChannel(EC)とポートチャネル(PC)は同じ意味で使用されています。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FXOS 2.2(2.17)、FTD 6.2.0.2.51上のFPR4120 X 2
- FXOS 2.1(0.159)、FTD 6.1.0.330上のFPR4110 X 1
- FTD 6.2.1上のFPR2110 X 1(ビルド341)
- FTD 6.5.0上のFPR1150 X 1
- WS-C3750X-24(15.2(4)E5)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
このドキュメントでは、Firepower アプライアンス(FPR1xxx、FPR21xx、FPR41xx、FPR93xx)のポートチャネルの設定、検証、およびトラブルシューティングについて説明します。ドキュメントの設定例はFirepower Threat Defense(FTD)に基づいていますが、多くの概念(検証やトラブルシューティングなど)は適応型セキュリティアプライアンス(ASA)にも完全に適用できます。
設定
FPR4100/FPR9300 のポートチャネル
ネットワーク図
FXOS ユーザーインターフェイスからのポートチャネルの設定(FPR4100/FPR9300)
Firepower アプライアンスの FTD ポートチャネルは、FXOS コードによって管理されます。FPR4100/FPR9300 では、構成は Firepower Chassis Manager から実行されます。
ポートチャネルは、論理デバイスに割り当てられるまではダウン(機能不全状態)しています。
ポートチャネルを論理デバイスに割り当てるには
結果は、次のとおりです。
主な注意点
- FXOS 2.4.x より前のリリースでは、FPR4100/FPR9300 は LACP のみをサポートします(ON、PAGP モードは未サポート)。FXOS 2.4.1.101 以降は、ON モードがデータおよびデータ共有 EtherChannel でサポートされます。
- ポートチャネルに追加するインターフェイスが、論理デバイスにすでに追加されていないことを確認してください。ポートチャネルが存在する場合、ポートチャネルが追加されてもインターフェイスには表示されません。
- 個々のポートチャネルメンバーを有効または無効にはできません。ポートチャネル自体のみ可能です。
- 論理デバイス(ASAやFTDなど)が使用するポートチャネルは削除できません。最初に関連付けを解除する必要があります。
- ポートチャネルは、論理デバイスに割り当てられるまではアップ状態になりません。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、ポートチャネルは一時停止状態に戻ります。
- 最適な互換性を得るために、アクティブモードに接続するスイッチポートを設定します。
スイッチの設定
スイッチを設定するときは、ポートチャネルが不安定にならないように、次のことを推奨します。
- interface range コマンドを使用します。
- ポートチャネルの動作に影響する変更(ポートチャネルモードの変更など)を行う前に、ポートチャネルインターフェイスのメンバをシャットダウンします。
例
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
注:詳細については、常にスイッチモデルの設定ガイドのセクションを参照してください。
FXOS CLI からのポートチャネルの設定(FPR4100/FPR9300)
ステップ 1:すでにFTD論理デバイスに割り当てられているインターフェイスを確認します。
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
ステップ 2:シャーシインターフェイスを確認します。
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
ステップ 3:ポートチャネルを作成します。
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
ステップ 4:インターフェイスをFTD論理デバイスに割り当てます。
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
検証
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
FXOS CLI(FPR4100/FPR9300)からポートチャネルを削除します。
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
FPR21xx/FPR1xxx のポートチャネル
ネットワーク図
FPR21xx/FPR1xxx アプライアンスの FTD ポートチャネルは FXOS コードによって管理されますが、FTD および FXOS コードが 1 つのソフトウェアバンドルに統合されているため、構成は FMC から行われます。
モード(LACP Active または ON)は、[Advanced] タブから設定します。
デュプレックスと速度の設定は、[Hardware Configuration] タブから設定します。
注:FPR2100では、論理デバイスとしてASAを使用しない限り、FXOS CLIからポートチャネルを作成することはできません。ASA 9.13.x以降では、これはプラットフォームモードでのみ該当します。アプライアンスモード(11xx/21xx)では、FCM はなく、すべてのインターフェイス設定は ASA CLI で直接実行されます。
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
物理インターフェイスがダウンしていて、それを有効にする場合は、次のようにします。
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
FDM による構成
このトポロジを参照してください。
FDMを使用するEtherChannelインターフェイスは、6.5ソフトウェアリリースから設定できます。[Device] > [Interfaces] > [EtherChannels] に移動し、EtherChannel を追加します。この場合、EtherChannel はトランクであるため、EtherChannel ID を指定して有効にし([Status])、メンバーを追加します。EtherChannel は、LACP Active および On モード(LACP なし)をサポートします。ここでは、LACP Active モードを設定します。
サブインターフェイスを追加します。
結果は、次のとおりです。
予想される変更を展開します。
確認
FPR4100/FPR9300 でのポートチャネルの確認
ネットワーク図
FTD(または ASA)が、ポートチャネルの個々のメンバーを認識しません。論理インターフェイス(サブインターフェイス)は FMC で次のように設定されています。
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
ポートチャネルとそのメンバーのステータスを確認するには、FXOSモードに移動します。
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
ポートチャネルの状態と最新の状態履歴を表示します。
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
ポートチャネルのインターフェイスメンバー間のトラフィック分散を確認します。
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
LACP ネイバーの確認
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 =スイッチはポートチャネルID 5で設定されています。
スイッチ側:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
注:FXOSがポートチャネルID 15で設定されているにもかかわらず、隣接するスイッチではPartner Oper Keyが0xE (14)と表示されます。
LACP パケットキャプチャ(Wireshark)
| パートナーの状態 |
||||||||
| 都道府県 |
Expired |
デフォルト |
分散 |
収集 |
同期 |
集約 |
LACP タイムアウト |
LACP アクティビティ |
| 値 |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| 16進数 |
3 |
f |
||||||
FPR21xx/FPR1xxx でのポートチャネルの確認
ネットワーク図
ポートチャネルの基本的な確認
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
その他の検証:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
ポートチャネルの詳細を確認します。
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
ポートチャネルメンバーの詳細を確認します。
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
メンバーポートの詳細
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
LACP の確認
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
注:FPR21xx/FPR1xxxでは、デフォルトのLACPレートはSlowであり、変更できません。
LACP カウンタ
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
FPR2100 インターフェイスの確認
物理インターフェイスから FPR2100 内部スイッチへのマッピング
| インターフェイス |
FPR2110/FPR2120 の内部スイッチ |
FPR2130/FPR2140 の内部スイッチ |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
物理インターフェイスのステータスを確認します。
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
物理インターフェイスカウンタ
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
FPR2100 内部スイッチ MAC テーブル。
注:01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
ポート e1/1 および e1/2 は、内部スイッチの 0/0 および 0/1 に対応します。
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
トラブルシュート
LACP の概要
LACPの概要:
- IEEE 標準規格(802.3ad)Link Aggregation Control Protocol(LACP)は、ポートチャネル ネゴシエーションに使用される L2 プロトコルです。
- LACP は、宛先 MAC 0180.c200.0002 およびイーサネットタイプ 0x8809 を使用します。
- LACP および On モード(LACP なし)は、Firepower アプライアンスでサポートされる唯一のモードです(On モードは 2.4.x FXOS リリースの FP4100/FP9300 に追加されました)。
- LACP は、2 つのモード(Active または Passive)のいずれかで設定できます。FXOS は常に Active モードを使用します。
- LACP の主な目的は、ポートチャネルの設定ミスから保護することです。
- LACP PC をアップ状態にするには、ポートチャネル インターフェイス メンバーで同じ速度/デュプレックス設定にする必要があります。FXOS でポートチャネルレベルの速度を設定します。
- LACP Actor = ローカルデバイス
- LACP Partner = リモートデバイス
- 各デバイスにはLACPシステムIDがあり、通常はシャーシのMACです。LACP システム ID は、各 LACP パケット内で送信されます。
- 各 LACP パケットのサイズは約 110 バイトです。
- LACP は、高速レート(Fast Rate)または低速レート(通常)(Slow (Normal) Rate)で動作します。FXOS の場合、デフォルトは高速レートですが(常に低速である 1xxx/21xx を除く)、低速に設定することもできます。スイッチ側の LACP モードは、使用するスイッチのモデルと SW によって異なります。たとえば、Cat3750 は、15.2(4)E 以降、高速と低速の両方をサポートしています。詳細については、スイッチの確認ガイドを参照してください。
- LACP検出期間では、LACPレートに関係なく、LACPは1秒ごとに送信されます。インターフェイスがアップ状態になると、LACP レートは LACP キープアライブインターバルにのみ影響します。
LACPキープアライブの利点
LACP キープアライブは、リモートインターフェイスは機能していないが、まだアップ状態である(直接的な障害は検出されなかった)シナリオで役立ちます。これは、ドライバ/L2の問題の場合や、パス内にリモートリンク障害の検出を許可しないデバイス(IPSなど)がある場合に発生する可能性があります。LACPキープアライブのタイムアウトは、ピアレートx 3です。たとえば、リモートピアが1秒ごとに送信する場合、3秒以内にLACPパケットを受信しないと、ローカルデバイスはリモートピアをダウンしたと宣言します。低速レートの場合、タイムアウトは 90 秒後になります。
Wireshark に表示される LACP パケットのすべてのフィールド:
注:ポートチャネルがFTDで終了する場合、FXOSキャプチャはLACPパケット(入力または出力)を表示しません。
LACP の高速レートと低速レート
通常は両側で高速レートを使用することをお勧めします(4100/9300 の FXOS はデフォルトで高速レートを使用し、FPR2100 ではデフォルトの LACP 送信レートは低速です)。LACP の高速レートを使用すると、ポートチャネルのバンドリング速度が向上します。
| FXOS 設定(低速) |
FXOS 設定(高速) |
|
| スイッチ設定(低速) |
スイッチのリクエストが低速 FXOS のリクエストが低速 スイッチは LACP を 30 秒に 1 回送信 FXOS は LACP を 30 秒に 1 回送信 |
スイッチのリクエストが低速 FXOS のリクエストが高速 スイッチは LACP を 1 秒に 1 回送信 FXOS は LACP を 30 秒に 1 回送信 |
| スイッチ設定(高速) |
スイッチのリクエストが高速 FXOS のリクエストが低速 スイッチは LACP を 30 秒に 1 回送信 FXOS は LACP を 1 秒に 1 回送信 |
スイッチのリクエストが高速 FXOS のリクエストが高速 スイッチは LACP を 1 秒に 1 回送信 FXOS は LACP を 1 秒に 1 回送信 |
FXOS(41xx/93xx)で LACP モードを設定します。
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
FPR4100/FPR9300 でのポートチャネルのトラブルシューティング
ネットワーク図
FPR4100 および FPR9300 シャーシには、ポートチャネルを終端する内部スイッチが含まれています。内部スイッチは Nexus 5K に類似していて、FXOS は LACP のみをサポートしているため、トラブルシューティングの方法は Nexus 5K に類似しています。
チェック1:ポートチャネルのステータスを確認します。
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
FXOS インターフェイスのステータスを確認します。
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
チェック2:FXOSがLACPを送受信することを確認します(コマンドを数回実行します)。
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
スイッチで同じことを確認します。
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
個々の FXOS インターフェイスの LACP 詳細を確認します。
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
チェック3:ローカルデバイスとリモートデバイスのLACP IDを確認します。
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
チェック4(オプション):この出力を収集します(Cisco TACで使用可能)。
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
チェック 5 - 問題のある特定のポートの LACP FSM 遷移を確認します。メッセージは、最も古いものから順に出力されます。
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
チェック6:ポートチャネルのイベント履歴を収集します(Cisco TACで使用可能)。
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
FPR21xx/FPR1xxx でのポートチャネルのトラブルシューティング
ネットワーク図
1をチェックします。LACPが使用されている場合は、LACPカウンタを確認します。
両側(スイッチと FXOS)の送受信が確認できます。
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
別の方法でも確認できます。
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
2をチェックします。アップストリームのスイッチステータスを確認します。
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
注:CollectedとDistributedがYesではなく、DefaultedがNoの場合、LACPは収束されません。
チェック3:ローカルLACPシステムIDが0でないことを確認します。
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
その他のトラブルシューティング(すべてのプラットフォームで共通)
チェック 1
両側(ファイアウォールとスイッチ)の設定が一致していることを確認します(たとえば、速度が同じ、ポートチャネルモードが同じ)。
チェック 2
FXOS 障害を確認します。このチェックは、シャーシのユーザインターフェイス(UI)、または次のコマンドを使用するCLIから実行できます。
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
障害は時系列で表示されます。重大度は障害の重大性を表し、説明は簡単な概要を示します。確認するのは主に重大度、タイムスタンプ、および説明です。障害の重大度は最も重大なものから表示され、以下の順序になります。
- Critical
- メジャー
- マイナー
- warning
- 情報/状態
- クリア済み
各障害の詳細については、『FXOS Faults and Error Messages guide: FXOS Error and System Messages』を参照してください。
チェック 3
FMCでポートチャネル設定に関連する変更を最近行った場合は、ポリシーがFMCからFTDに展開されたことを確認します。
チェック 4
ポートチャネルが障害状態で、デバイスがクラスタに属している場合は、クラスタがデバイスで有効になっていることを確認します。クラスタから追放されたデバイスは、ポートチャネルを障害状態にするのが正常です。
チェック 5
設定が正しいにもかかわらず、インターフェイスが起動しない場合は、ケーブルまたはSmall Form-Factor Pluggable(SFP;着脱可能小型フォームファクタ)トランシーバを確認して交換します。
チェック 6
ポートチャネルに関連する既知の問題については、Firepower リリースノートを確認してください。たとえば、FXOS バージョン 2.6.1.169 および FTD 6.4.0.6 を実行している場合は、次のセクションを確認します。
また、関連する FMC/FTD リリースノートを確認してください。この例では、FTD で 6.4.0.5 が実行されているため、6.4.x リリースノートを確認する必要があります。
一般的な問題
Case 1.EtherChannelモードのミスマッチ
このトポロジを参照してください。
問題の兆候
Firepower では、ポートチャネルはダウンしていて、ネゴシエーションプロトコルは LACP です。
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
FXOSでは、LACP Sentカウンタは30秒ごとに増加しますが、Receiveカウンタでは次のことが行われません。
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
根本原因
スイッチのポートチャネルはアップ状態ですが、ネゴシエーションプロトコルがないことに注意してください。
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
スイッチポート構成で以下を確認できます。
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
解決方法
これはFPR21xxアプライアンスであるため、可能なソリューションは2つあります。
- スイッチ側のポートチャネルモードを ON から LACP(Active または Passive)に変更します。
- FTD 側のポートチャネルモードを LACP から ON に変更します。
このシナリオでは、2番目の解決策が選択されました(FTDポートチャネルをモードONに設定します)。
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
LACP カウンタは表示されなくなります。
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Case 2.誤ったポートチャネル設計
問題の兆候
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
FXOS LACP カウンタは両方向で増加します。
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
根本原因
show lacp neighbor の出力は、各ポートで異なる Partner System ID を示しています。
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
それを図で示します。
解決方法
- 2960 の場合、スタッキング(FlexStack)の設定が必要です。
- 3750-X/3850などの場合は、スタック構成(StackWise Plus)を設定する必要があります。
- 4500、6500、6800の場合は、仮想スイッチングシステム(VSS)を使用する必要があります。
- Nexus 5000、7000、または9000の場合は、Virtual Port-Channel(vPC)を使用する必要があります。
- その他のケースでは、FXOS を同じ物理スイッチに接続する必要があります。
Case 3.FXOSポートチャネル未割り当て
ネットワーク図
問題の兆候
FXOS 側では、ポートチャネルメンバーは一時停止されています。
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
スイッチ側も同様です。
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
FXOS LACPカウンタは、送受信されたパケットを示します。
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
スイッチ側では、LACPカウンタは、送信されたが受信されなかったパケットも示します。
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
根本原因
この場合の問題は、FXOS ポートチャネルが論理デバイス(FTD アプリケーション)に割り当てられていないことです。
解決方法
ポートチャネルを論理デバイスに割り当てます。
ケース 4.ポートチャネルに関するヘルスアラートがパケットを受信しない
デバイス(FTD)は、名前が設定されアップ状態の各インターフェイスで受信したインターフェイス トラフィックに関する情報を 5 分ごとに送信します。最後のインターバルでパケットが受信されない場合、次のようなメッセージが FMC UI に表示されます。
推奨処置
FTD CLIから、show trafficの出力を確認し、5分間の入力レートに注目します。たとえば、
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
ケース 5.FMCのヘルスアラート:ポートチャネルのアソシエーション解除またはインターフェイスの追加
ヘルスアラートには、「Interface with physical-name: "Port-Channel" disassociated.」または「"Interface with physical-name: \"name_if\" added.」と表示されます。
推奨処置
これは、Cisco Bug ID CSCvb15074によって追跡される既知の表面的な問題です
ポートチャネルの考慮事項
設計上の考慮事項
Case 1.HA内のFTD/ASAブレード
次の設定はサポートされていません。これは、スイッチ側のポートチャネル設定が正しくなく、スタンバイデバイスでトラフィックブロックが発生するためです。このような設計は、クラスタスパンモードで ASA または FTD を設定する場合にのみサポートされます。
警告:このシナリオはフェールオーバー(ハイアベイラビリティ)では正しくありません。
次は高可用性に適したポートチャネル設計です。
関連情報
Case 2.クラスタ内のFTD/ASA
各ファイアウォールのデータ インターフェイス ポートチャネルではスパンモードを使用します(これは Firepower プラットフォームでサポートされる唯一のモードです)。設計の観点からは、スイッチ側では、1 つのデータインターフェイスのスイッチポートは 1 つのポートチャネルに属します。
たとえば、FP9300(2 シャーシ、6 ブレード)の場合、データポートは次のように設定できます。
一方、Cluster Control Link(CCL)は個別のポートチャネルモードを使用し、ベストプラクティスに従って、帯域幅は各メンバーの最大容量と一致する必要があります。また、Nexus の場合、各ポートチャネルは異なる vPC に属します。
FP41xx の場合も同様です。
CCL も同様です。
Case 3.ポートチャネルFXOSで終了
FXOS シャーシでポートチャネルは終端されます。この設計の例を次に示します。
ケース 4.FXOS経由のポートチャネル
ポートチャネルはFXOSシャーシを通過します。この設計の例を次に示します。
注:2番目のシナリオでは、Firepowerアプライアンスにポートチャネルが設定されていません。
FXOS で終端されるポートチャネルと FXOS を通過するポートチャネル
| 機能 |
注釈 |
| FXOS シャーシ(MIO)で終端されるポートチャネル |
FXOS 2.1.1 以降で動作 |
| ポートチャネルはFXOSシャーシ(MIO)を通過 |
|
その他の考慮事項
LACP グレースフル コンバージェンス
クラスタ設定(ASAまたはFTD)の場合は、NexusでLACPグレースフルコンバージェンス(グレースフルコンバージェンス)を有効にすることが推奨されます。
よく寄せられる質問(FAQ)
Q. SSPポートチャネルハッシュ分散は固定または適応型ですか。
FXOS では、復元力が高いハッシュ分散を使用します。オンラインの Nexus 7000/9k ドキュメントで説明されている固定ハッシュ分散モードに相当します。復元力のあるハッシュでは、リンクに障害が発生すると、障害が発生したリンクに割り当てられたフローがアクティブリンク間で均等に再分配されます。アクティブリンクを通過する現在のフローは再ハッシュされず、パケットは順不同で配信されません。ポートチャネルまたはECMPグループにリンクが追加されると、現在のリンクにハッシュされたフローの一部が新しいリンクに再ハッシュされますが、現在のすべてのリンクに再ハッシュされません。
Q.ポートチャネルに接続されているスイッチポートがダウンするとどうなりますか。FTDは物理リンクまたはポートチャネルをモニタしますか。
すべてのポートチャネル インターフェイス メンバーがダウンすると、ポートチャネルもダウンします。ポートチャネルの動作状態が機能不全と表示されます。FTD 側では、ポートチャネルはダウンと表示されます。一方、このルールには例外があります。スイッチがスタック構成を使用する場合。LACP では、システム ID にアクティブ スイッチのスタック MAC アドレスが使用されます。アクティブ スイッチが変更された場合は、LACP のシステム ID が変更される可能性があります。LACP システム ID が変更された場合は、EtherChannel 全体がフラップし、STP の再コンバージェンスが発生します。アクティブスイッチのフェールオーバー後にスタックMACアドレスが変更されるかどうかを制御するには、stack-mac persistent timerコマンドを使用します。
Q.コマンド「port-channel min-bundle 2」を使用して、ポートチャネルの1つのリンクがダウンした場合にポートチャネルがダウンし、ファイアウォールでフェールオーバーが行われるようにしたいと考えています。
このオプションは、FXOS シャーシでは使用できません。回避策として、可能な場合はピアスイッチで lacp min-links コマンドを設定します。
Q. LACPパケットをキャプチャする方法は?
Case 1.論理アプライアンス(FTD/ASA)で終了するポートチャネル
- ポートチャネルは、実際にはシャーシレベル(FXOS)で終端されます。
- シャーシレベル(FXOS)でもアプリケーションレベル(FTD/ASA)でも、LACP パケット(入力または出力)をキャプチャすることはできません。
Case 2.FTD経由のポートチャネル:インラインセットとして導入されたFTDインターフェイス
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Case 3.FTD経由のポートチャネル:ブリッジグループモードとして導入されたFTDインターフェイス。
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
Q. 1つのポートからPort-Channelに移行する方法を教えてください。
この変更にはメンテナンスウィンドウ(MW)が必要であり、手間がかかります。単一インターフェイスからポートチャネルに移行すると、単一インターフェイスに関連するすべての構成の関連付けが解除されます。ポートチャネルを作成したら、同じ設定を新しく設定したポートチャネル(NAT、ルーティング、VPNなど)に再度関連付ける必要があります。FTD については、次のドキュメントに記述があります。
EtherChannel の設定
ASA デバイスの場合、手順は次のドキュメントで説明されています。
Converting In-Use Interfaces to a Redundant or EtherChannel Interface
Q. FTDハイアベイラビリティ(HA)リンクをポートチャネルに変更する方法を教えてください。
この変更にはメンテナンスウィンドウ(MW)が必要であり、手間がかかります。HA を解除して再構成する必要があります。新しい HA ペアで、ポートチャネルを HA リンクとして指定します。関連資料:
Firepower アプライアンスでの FTD 高可用性の設定
Q. ASAを搭載したFirepowerで、ポートチャネルがアップ、物理インターフェイスのステータスがダウンと表示される
これは、Cisco Bug ID CSCvp03354
Q. FMCのポートチャネルIDに何を選択するかは重要ですか。 スイッチ側の何かと一致する必要がありますか?
いいえ、関係ありません。任意のポートチャネル ID を使用できます。
Q. Port-Channel Advancedタブで、アクティブ/スタンバイMACに対して何らかの操作を行う必要がありますか。
ポートチャネルをアクセスモード(トランクなし)で使用し、ハイアベイラビリティ(HA)セットアップを使用する場合は、アクティブ/スタンバイMACの設定を強く推奨します。この推奨事項は、ポートチャネルだけでなく、すべての HA セットアップに適用できます。
Q. Port-Channelのインターフェイスメンバーの説明を設定できますか。
現在(FXOS 2.13.x)、サポートされていません。詳細については、最新の FXOS コンフィギュレーション ガイドを確認してください。
Q. FXOSのポートチャネルのロードバランシングアルゴリズムを変更することは可能ですか。
現在(FXOS 2.13.x)、サポートされていません。詳細については、最新の FXOS コンフィギュレーション ガイドを確認してください。
Q.ポートチャネルをバンドル状態に遷移させるために、ポートチャネル内のメンバーインターフェイスの最小数(最小リンク)を設定することは可能ですか。
現在(FXOS 2.13.x)、サポートされていません。詳細については、最新の FXOS コンフィギュレーション ガイドを確認してください。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
4.0 |
11-Apr-2024 |
スタイル要件と書式を更新。 |
3.0 |
15-May-2023 |
更新された書式と言語 |
1.0 |
26-Mar-2020 |
初版 |
フィードバック