Solución de problemas de falla de canal de puerto LACP en entorno de clúster de firewall

Opciones de descarga

PDF (257.3 KB)
Visualice con Adobe Reader en una variedad de dispositivos

Actualizado:23 de abril de 2026

ID del documento:225790

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Problema

El canal de puerto 1 en un dispositivo FTD mostró un estado operativo como Fallado, sin que se enviaran o recibieran PDU de LACP. El dispositivo formaba parte de un clúster de FTD y se utilizó el canal de puerto 1 como interfaz de datos, lo que provocó un impacto en el tráfico cuando el canal de puerto se desactivó.

Los síntomas específicos observados incluyeron:

Información de vecino LACP que muestra la ID del sistema del partner como 0,0-0-0-0-0 con el número de puerto 0x0.
Partner Oper Key y Port State que se muestran como 0x0.
Los contadores de LACP no aumentan en el chasis del firewall.
Interfaces que muestran el estado "suspendido (sin PDU de LACP)".
En el switch adyacente, solo aumentan los contadores de envío de LACP. Los contadores de recepción de LACP no aumentan.

La salida de vecino LACP del dispositivo afectado mostró:

device(fxos)# show lacp neighbor
Flags:  S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
        A - Device is in Active mode       P - Device is in Passive mode
port-channel1 neighbors
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/2      0,0-0-0-0-0-0          0x0             5022089     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/3      0,0-0-0-0-0-0          0x0             4895677     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0

En el firewall, los contadores LACP Sent/Recv no aumentan para los miembros del canal de puerto:

device# connect fxos 
device(fxos)# show lacp counters 
                    LACPDUs         Marker      Marker Response    LACPDUs
Port              Sent   Recv     Sent   Recv     Sent   Recv      Pkts Err
---------------------------------------------------------------------
port-channel1
Ethernet1/4      11413   13114       0       0       0       0       0    <-- the LACP counters do not increase

La interfaz de canal de puerto y sus subinterfaces están en estado down/down:

# show interface ip brief
Interface                  IP-Address      OK?           Method Status      Protocol
Internal-Control0/0        unassigned      YES           unset  up          up
Internal-Data0/0           unassigned      YES           unset  up          up
Internal-Data0/1           unassigned      YES           unset  up          up
Internal-Data0/2           169.254.1.1     YES           unset  up          up
Internal-Data0/3           unassigned      YES           unset  up          up
Internal-Data0/4           unassigned      YES           unset  down        up
Port-channel1              unassigned      YES           unset  down        down
Port-channel1.90           192.0.2.15      YES           CONFIG down        down
Port-channel1.102          192.0.2.130     YES           CONFIG down        down
...

Los registros del lado del switch indicaron que el switch transmitía LACP pero no recibía PDU LACP del partner, con puertos suspendidos:

Apr  2 18:44:20.614: %LINEPROTO-5-UPDOWN: Line protocol on Interface TwentyFiveGigE2/0/25, changed state to down
Apr  2 18:44:25.452: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  2 18:44:36.318: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:17:06.798: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:17:26.722: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:17:35.915: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:23:22.255: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:23:43.886: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:23:53.808: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.

Entorno

Versión del software: FTD 7.6.2. Otras versiones de software, incluido el ASA, también pueden verse afectadas.
Configuración del clúster FTD con interfaces de datos que utilizan un canal de puerto.
Canal de puerto habilitado para LACP que se conecta a la infraestructura de switch ascendente.

Resolución

La resolución implicaba la identificación de que la unidad FTD afectada había abandonado el clúster debido a un error de comprobación de estado de la interfaz de canal de puerto. Cuando se inhabilitó la agrupación en clúster en la unidad, todas las interfaces de datos se cerraron por diseño, lo que detuvo las PDU de LACP y causó la suspensión del lado del switch y el impacto en el tráfico.

Pasos de diagnóstico realizados

Paso 1: Recopile paquetes de depuración y soporte del dispositivo Cisco Firepower y del switch ascendente

Se recopilaron varios archivos de solución de problemas, archivos de depuración LACP, archivos de núcleo y archivos TS (solución de problemas) del chasis FXOS para su análisis.

Paso 2: Validar el comportamiento del switch y el estado de LACP

El ingeniero del switch confirmó que el switch enviaba PDU de LACP pero no recibía PDU del partner desde el dispositivo Firepower.

Paso 3: Analizar transiciones de estado internas de LACP

El análisis mostró que las interfaces se movieron a un estado suspendido debido a la falta de PDU del partner, con los contadores LACP sin aumentar.

Consejo: Verifique el resultado del comando 'show cluster history' y los syslogs LINA del firewall para determinar la razón de la falla del clúster.

En este ejemplo, el dispositivo sale del clúster debido a una falla de la interfaz de datos:

# show cluster history
CONTROL_NODE          CONTROL_NODE          Event: Control node unit-1-1 is quitting
                                            due to interface health check
                                            failure on Port-channel1,
                                            1 times. Rejoin will be attempted
                                            after 5 min.
20:44:31 CEST Apr 2 2026
CONTROL_NODE          DISABLED              Client progression done

Procedimiento de recuperación

Paso 1: Vuelva a habilitar la agrupación en clúster en la unidad FTD afectada

# cluster enable

Este comando provocó que la unidad se volviera a unir al clúster, activara las interfaces de datos, reanudara las PDU de LACP y restaurara la funcionalidad del canal de puerto 1.

Paso 2: Verificar recuperación de LACP

Después de volver a habilitar la agrupación en clúster, se reanudaron las PDU de LACP y el canal de puerto 1 volvió al funcionamiento normal tanto en el firewall como en el switch.

Causa

La causa raíz fue un error de comprobación de estado de la interfaz de canal de puerto que provocó que la unidad FTD abandonara el clúster. Cuando se inhabilita la agrupación en clúster en una unidad FTD, todas las interfaces de datos se cierran administrativamente por diseño, lo que detiene la transmisión LACP PDU y hace que el switch ascendente suspenda las interfaces de canal de puerto.

Se espera este comportamiento.

El ID de bug de Cisco CSCwo09449 fue archivado para mejorar la facilidad de mantenimiento del producto.

Contenido relacionado

ID de bug de Cisco CSCwo09449 - FXOS: contadores LACP TX y RX obsoletos y canales de puerto de datos suspendidos cuando se inhabilita la agrupación en clúster

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
1.0	22-Apr-2026	Versión inicial

Con la colaboración de ingenieros de Cisco

Mikis Zafeiroudis
Ingeniero del TAC de Cisco
Ilkin Gasimov
Ingeniero del TAC de Cisco

¿Resultó útil este documento?

Comentarios

Contacte a Cisco

Abrir un caso de soporte
(Requiere un Cisco Service Contract)