أستكشاف أخطاء فشل LACP Port-Channel وإصلاحها في بيئة مجموعة جدار الحماية
مسألة
أظهرت Port-channel1 على جهاز FTD حالة تشغيل كفشل، مع عدم إرسال وحدات بيانات بروتوكول LACP (PDUs) أو استقبالها. كان الجهاز جزءا من مجموعة FTD وكان Port-channel1 استعملت كواجهة بيانات، لذلك كان تأثير حركة مرور عندما الميناء-channel سقطت.
وتشمل الأعراض المحددة التي لوحظت ما يلي:
معلومات الجوار ل LACP التي تظهر معرف نظام الشريك على أنه 0،0-0-0-0-0 مع رقم المنفذ 0x0.
يتم عرض مفتاح Oper الخاص بالشريك وحالة المنفذ على أنه 0x0.
لا تتزايد عدادات LACP على هيكل جدار الحماية.
واجهات تظهر حالة "متوقف مؤقتا (لا يوجد LACP PDU)".
في المحول المجاور، لا تزيد إلا عدادات LACP المرسلة. لا تزيد عدادات LACP recv.
أظهر إخراج LACP المجاور من الجهاز المتأثر:
device(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel1 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 0,0-0-0-0-0-0 0x0 5022089 SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
0 0x0 0x0
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 0,0-0-0-0-0-0 0x0 4895677 SP
LACP Partner Partner Partner
Port Priority Oper Key Port State
0 0x0 0x0على جدار الحماية، لا تزيد عدادات LACP Send/Recv الخاصة بأعضاء قناة المنفذ:
device# connect fxos
device(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel1
Ethernet1/4 11413 13114 0 0 0 0 0 <-- the LACP counters do not increase
تكون واجهة قناة المنفذ والواجهات الفرعية الخاصة بها في حالة down/down:
# show interface ip brief
Interface IP-Address OK? Method Status Protocol
Internal-Control0/0 unassigned YES unset up up
Internal-Data0/0 unassigned YES unset up up
Internal-Data0/1 unassigned YES unset up up
Internal-Data0/2 169.254.1.1 YES unset up up
Internal-Data0/3 unassigned YES unset up up
Internal-Data0/4 unassigned YES unset down up
Port-channel1 unassigned YES unset down down
Port-channel1.90 192.0.2.15 YES CONFIG down down
Port-channel1.102 192.0.2.130 YES CONFIG down down
...
أشارت السجلات الجانبية للمحول إلى أن المحول كان يرسل LACP ولكنه لا يستقبل وحدات توزيع بيانات بروتوكول LACP للشركاء، مع تعليق المنافذ:
Apr 2 18:44:20.614: %LINEPROTO-5-UPDOWN: Line protocol on Interface TwentyFiveGigE2/0/25, changed state to down Apr 2 18:44:25.452: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port. Apr 2 18:44:36.318: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port. Apr 3 02:17:06.798: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down Apr 3 02:17:26.722: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up Apr 3 02:17:35.915: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port. Apr 3 02:23:22.255: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down Apr 3 02:23:43.886: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up Apr 3 02:23:53.808: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
البيئة
إصدار البرامج: FTD 7.6.2. يمكن أن تتأثر أيضا إصدارات البرامج الأخرى، بما في ذلك ASA.
تكوين مجموعة برنامج الإرسال فائق السرعة (FTD) مع واجهات بيانات باستخدام قناة Port.
قناة المنفذ التي تم تمكين LACP عليها والتي تتصل بالبنية الأساسية لمحول الخادم.
قرار
وتضمن القرار تحديد أن وحدة برنامج الإرسال فائق السرعة (FTD) المتأثرة قد غادرت المجموعة بسبب فشل التحقق من صحة واجهة قناة المنفذ. عند تعطيل التجميع على الوحدة، تم إيقاف تشغيل جميع واجهات البيانات حسب التصميم، مما أدى إلى إيقاف وحدات توزيع الطاقة (PDU) الخاصة ب LACP وتسبب في تعليق جانب المحول والتأثير على حركة مرور البيانات.
الخطوات التشخيصية التي تم تنفيذها
الخطوة 1: تجميع حزم تصحيح الأخطاء والدعم من كل من جهاز FirePOWER من Cisco ومحول البث
تم تجميع أرشيفات أستكشاف الأخطاء وإصلاحها وملفات تصحيح أخطاء LACP والملفات الأساسية وملفات TS (أستكشاف الأخطاء وإصلاحها) من هيكل FXOS للتحليل.
الخطوة 2: التحقق من سلوك المحول وحالة LACP
أكد مهندس المحول أن المحول كان يرسل وحدات PDU ل LACP ولكن لا يستقبل وحدات PDU للشركاء من جهاز FirePOWER.
الخطوة 3: تحليل عمليات انتقال الحالة الداخلية ل LACP
أظهر التحليل واجهات تم نقلها إلى حالة معلقة بسبب وحدات توزيع الطاقة (PDU) الخاصة بالشريك المفقود، مع عدم زيادة عدادات بروتوكول التحكم في تجميع الارتباطات (LACP).
تلميح: تحقق من إخراج الأمر show cluster history" وجدار الحماية LINA syslogs لتحديد سبب فشل نظام المجموعة.
في هذا المثال، قام الجهاز بإنهاء نظام المجموعة بسبب فشل واجهة البيانات:
# show cluster history
CONTROL_NODE CONTROL_NODE Event: Control node unit-1-1 is quitting
due to interface health check
failure on Port-channel1,
1 times. Rejoin will be attempted
after 5 min.
20:44:31 CEST Apr 2 2026
CONTROL_NODE DISABLED Client progression done
إجراء الاسترداد
الخطوة 1: إعادة تمكين التجميع على وحدة "برنامج الإرسال فائق السرعة (FTD)" المتأثرة
# cluster enable
تسبب هذا الأمر في إعادة الوحدة إلى نظام المجموعة، ورفع واجهات البيانات، واستئناف وحدات توزيع بيانات بروتوكول التحكم في تجميع الارتباطات (LACP)، واستعادة وظائف Port-channel1.
الخطوة 2: التحقق من إسترداد LACP
بعد إعادة تمكين التجميع، تم إستئناف وحدات توزيع الطاقة (PDU) الخاصة ب LACP وعاد Port-channel1 إلى التشغيل الطبيعي على كل من جوانب جدار الحماية والمحول.
السبب
كان السبب الجذري هو فشل التحقق من صحة واجهة قناة المنفذ الذي أدى إلى مغادرة وحدة FTD نظام المجموعة. عندما يتم تعطيل التجميع على وحدة FTD، يتم إيقاف تشغيل جميع واجهات البيانات إداريا بواسطة التصميم، مما يوقف بث LACP PDU ويتسبب في قيام محول الخادم بتعليق واجهات قناة المنفذ.
هذا السلوك متوقع.
تم تصنيف معرف تصحيح الأخطاء من Cisco CSCwo09449 لتحسين قابلية صيانة المنتج.
المحتوى ذي الصلة
معرف تصحيح الأخطاء من Cisco CSCwo09449 - FXOS: عدادات TX و RX LACP القديمة وقنوات منافذ البيانات المعلقة عند تعطيل التجميع
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Apr-2026
|
الإصدار الأولي |
التعليقات