简介
本文档介绍用于恢复设备的Cisco Bug ID CSCwa79915的条件、症状、触发器和缓解选项。
先决条件
要求
Cisco 建议您了解以下主题:
- Firepower eXtensible Operating System (FXOS)
- 自适应安全设备(ASA)
- 北美(LINA)
- Firepower Threat Defense (FTD)
使用的组件
本文档中的信息基于以下硬件型号和软件版本:
- Firepower 2110
- FTD 6.6.5(与FXOS版本2.8.1.165捆绑)
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
已知磁化率条件
当前已知条件与 Cisco bug ID CSCwa79915 包括:
1. Firepower 2100系列设备。
2.一个或多个在半双工模式下运行的外部定向机箱端口(无论是有意或作为双工不匹配的结果)。
3.配置任何受影响的自适应安全设备(ASA)或Firepower威胁防御(FTD)软件版本。
Bug症状
1.源自ASA/LINA(FTD)的数据包从不离开设备。
对于此状态,最经典/最常见的观察是,所有数据接口显示来自其接口的流量非常少。
如果捕获处于这种状态,则表明地址解析协议(ARP)请求由同一子网中的其他主机发送,并且已收到对LInux本地(LINA)IP地址第2层地址的查询,并且LINA捕获会显示应答。但是,这些ARP应答不会离开机箱,这一点在外部交换机上执行交换端口分析器(SPAN)时显示,在该外部交换机上连接了分配给LINA的各个机箱接口。
例如:
firepower# show capture arp
4 packets captured
1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2
2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2
4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
其中10.255.255.2是向10.255.255.1(属于LINA数据接口之一)发送ARP查询的外部主机的IP地址。
捕获时LINA发送的ARP应答实际上不会离开相应的物理机箱端口。
2. TX数据包的FXOS接口计数器不递增。
与外部主机从未从受影响设备接收任何数据包的症状相似(由LINA发送的所有数据包均未离开机箱),我们存在传输(TX)数据包的外部端口计数器未递增的症状。
在本示例中,受影响的接口是Ethernet1/12。对TX数据包的Firepower可扩展操作系统(FXOS)接口计数器进行检查后发现,尽管来自LINA的指示表明这些数据包已传输到内部机箱交换机,但计数器从未增加。
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
firepower/eth-uplink/fabric/interface # show stat ether-tx-stats
Ether Tx Stats:
Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command
Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
Suspect: No
Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen)
Unicast Packets (packets): 4823515
Multicast Packets (packets): 0
Broadcast Packets (packets): 7
Total Bytes (bytes): 606771974
Jumbo Packets (packets): 0
Thresholded: 0
3.丢弃内部机箱交换机和ASA/LINA之间的内部数据/背板接口。
接口Internal1/3用作机箱上运行的逻辑设备上的交换机之间的背板/上行链路接口。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
注意:对于实时通信环境,由于噪声的影响,接口计数器验证可能很困难,因此首先要验证并纠正半双工模式。
症状触发器
如果检查活动接口状态,则表明其中一个活动/UP数据接口处于半双工模式,这在一般情况下并不常见。
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
此表提供物理机箱接口到内部交换机端口号的映射。要了解show portmanager switch status的输出,需要此映射。根据表,我们可以看到内部交换机端口ID 0/6(在show portmanager switch status的上一个输出中看到),关联的物理机箱端口是Ethernet1/8。
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
减轻触发并恢复设备的选项
纠正任何双工不匹配是防止背板接口出现副作用的唯一方法,这可以通过这些方法之一和重新加载设备来实现。
1.如果对等设备未配置双工自动,请将其更改为自动(首选方法)。
2.如果没有对对等设备的管理访问权限:
2.1.对于由Firepower管理中心(FMC)管理的FTD,请禁用FMC上“编辑物理接口”下的选项“自动协商”。
2.2.对于Firepower设备管理器(FDM)管理的FTD,在“接口高级选项”下将“双工”选项从“自动”更改为“全”。
2.3.对于ASA,从机箱级别禁用双工自动协商,如下所示:
firepower /eth-uplink # scope
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes
firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #
注意:步骤2中列出的方法是可在正常条件下工作的理论选项。
3.将半双工模式下的Firepower接口连接到支持双工设置自动协商的不同交换机,或者配置交换机端口以启用双工设置的自动协商。
注意:执行完任何步骤后,仍需要重新加载整个设备,以便从背板接口故障状态恢复背板接口。
Cisco Bug ID信息
出现此Bug是为了跟踪软件解决故障症状,即背板内部1/3接口在一段时间后无法处理从LINA接收的任何流量。
Cisco Bug ID CSCwa79915 Physical port in Half Duplex导致机箱丢弃来自LINA的所有数据包。
反馈