Configurer, vérifier et dépanner Port-Channel sur les appliances Firepower
Contenu
Introduction
Ce document décrit la configuration, la vérification et le dépannage d'un Port-Channel sur des appliances Firepower (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). Les exemples de configuration de document sont basés sur Firepower Threat Defense (FTD), mais de nombreux concepts (par exemple la vérification et le dépannage) sont également pleinement applicables à l'appliance de sécurité adaptative (ASA).
Contribué par Mikis Zafeiroudis, Ilkin Gasimov, Ingénieurs du TAC Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Firepower Management Center (FMC)
- Gestionnaire de châssis Firepower (FCM)
- Firepower Système d'exploitation extensible (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Components Used
- 2 FPR4120 exécutant FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 FPR4110 exécutant FXOS 2.1(0.159), FTD 6.1.0.330
- 1 FPR2110 exécutant FTD 6.2.1 (build 341)
- 1 FPR1150 exécutant FTD 6.5.0
- WS-C3750X-24 exécutant 15.2(4)E5
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Configuration
Port-Channel sur FPR4100/FPR9300
Diagramme du réseau
Configurer un canal de port à partir de l'interface utilisateur FXOS (FPR4100/FPR9300)
Le Port-Channel FTD sur les appliances Firepower est géré par le code FXOS. Sur FPR4100/FPR9300, la configuration est effectuée à partir du Firepower Chassis Manager :
Le Port-Channel est désactivé (état défaillant) jusqu'à ce qu'il soit affecté à un périphérique logique :
Pour affecter le Port-Channel au périphérique logique :
Résultat :
Points principaux
- Avant la version 2.4.x de FXOS, le FPR4100/FPR9300 ne prend en charge que LACP (aucun mode ON ou PAGP). Puisque le mode ON de FXOS 2.4.1.101 est pris en charge pour les Etherchannel de partage de données.
- Assurez-vous que les interfaces à ajouter dans le Port-Channel ne sont pas déjà ajoutées au périphérique logique, sinon elles ne s'afficheraient pas dans la liste d'interfaces lors de l'ajout du Port-Channel
- Vous ne pouvez pas activer/désactiver des membres Port-Channel individuels, mais uniquement le Port-Channel lui-même.
- Vous ne pouvez pas supprimer un Port-Channel utilisé par un périphérique logique (par exemple ASA ou FTD). Vous devez d'abord le dissocier.
- Le Port-Channel ne s'active qu'après l'avoir affecté à un périphérique logique. Si l'EtherChannel est supprimé du périphérique logique ou si le périphérique logique est supprimé, le Port-Channel revient à un état Suspendu.
- Définissez les ports de commutation de connexion en mode actif pour assurer la meilleure compatibilité.
Configuration du commutateur
Lorsque vous configurez le commutateur, afin d'éviter les instabilités Port-Channel, il est recommandé de :
- Utilisez la commande interface range.
- Arrêtez les membres de l'interface Port-Channel avant d'effectuer des modifications qui affectent le fonctionnement Port-Channel (par exemple, modifier le mode Port-Channel, etc.).
Exemple
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Configurer un canal de port à partir de l'interface de ligne de commande FXOS (FPR4100/FPR9300)
Étape 1. Vérifier les interfaces déjà attribuées au périphérique logique FTD
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Étape 2. Vérification des interfaces du châssis
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Étape 3. Créer le Port-Channel
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Étape 4. Attribuez l'interface au périphérique logique FTD :
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Vérification
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up Ethernet1/3 Up Up
Supprimer le Port-Channel de l'interface de ligne de commande FXOS (FPR4100/FPR9300)
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Port-Channel sur FPR21xx/FPR1xxx
Diagramme du réseau
Le Port-Channel FTD sur les appliances FPR21xx/FPR1xxx est géré par le code FXOS, mais la configuration est effectuée à partir de FMC puisque le code FTD et FXOS est intégré dans un seul bundle logiciel :
Mode (LACP actif ou ON) configuré à partir de l'onglet Avancé :
Les paramètres de mode bidirectionnel et de vitesse sont configurés à partir de l'onglet Configuration matérielle :
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
Si une interface physique est désactivée et que vous voulez l'activer, procédez comme suit :
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
Configuration FDM
Considérez cette topologie :
Vous pouvez configurer des interfaces EtherChannel à l'aide de FDM à partir de la version 6.5 du logiciel. Accédez à Device > Interfaces > EtherChannels et ajoutez un EtherChannel. Puisque dans ce cas, l'EtherChannel est une agrégation, spécifiez l'ID EtherChannel, activez-le (Status) et ajoutez les membres. L'EtherChannel prend en charge LACP Active et mode On (pas de LACP). Dans ce cas, le mode actif LACP est configuré.
Ajoutez les sous-interfaces :
Résultat :
Déployer les modifications en attente
Vérification
Vérification du canal de port sur FPR4100/FPR9300
Diagramme du réseau
Le FTD (ou ASA) n'est pas au courant des membres individuels du Port Channel. Les interfaces logiques (sous-interfaces) sont configurées sur FMC :
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Pour vérifier l'état du Port-Channel et de ses membres, passez en mode FXOS :
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
Pour voir l'état des Port-Channels avec l'historique des derniers états :
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
Pour vérifier la distribution du trafic entre les membres de l'interface Port-Channel :
FP4110-7-A(fxos)# show port-channel traffic ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst ------ --------- ------- ------- ------- ------- ------- ------- 15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94% 15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
Vérification du voisin LACP
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Clé d'opération partenaire 0x5 = Le commutateur est configuré avec l'ID de canal de port 5
Sur le commutateur :
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Notez que sur le commutateur adjacent, la clé d'opération du partenaire est 0xE (14) bien que FXOS soit configuré avec l'ID de canal de port 15
Capture de paquets LACP dans Wireshark :
| État du partenaire |
||||||||
| Province |
Expiré |
Par défaut |
Distribué |
Collecte |
Synchronisation |
Agrégation |
Délai LACP |
Activité LACP |
| Valeur |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hex |
3 |
f |
||||||
Vérification du canal de port sur FPR21xx/FPR1xxx
Diagramme du réseau
Vérification de base du canal de port
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Vérification supplémentaire :
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Vérifiez les détails du canal de port :
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Vérifiez les détails du membre Port-Channel :
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Détails du port membre :
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Vérification LACP
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collecting: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collecting: Distributing: Defaulted: Expired:
Yes Yes No No
Compteurs LACP
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
Vérification de l'interface FPR2100
Comment les interfaces physiques mappent au commutateur interne FPR2100 :
| Interface |
Commutateur interne sur FPR2110/FPR2120 |
Commutateur interne sur FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Vérifiez l’état de l’interface physique :
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Compteurs d’interface physique :
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
Table MAC du commutateur interne FPR2100. Notez que 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Les ports e1/1 et e1/2 correspondent à 0/0 et 0/1 sur le commutateur interne :
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Dépannage
Présentation LACP
Faits LACP
- La norme IEEE (802.3ad) LACP (Link Aggregation Control Protocol) est un protocole de couche 2 utilisé pour la négociation Port-Channel.
- LACP utilise l’adresse MAC de destination 0180.c200.0002 et le type Ethernet 0x8809.
- LACP et Mode On (pas de LACP) sont les seuls modes pris en charge sur les appliances Firepower (Mode On a été ajouté sur FP4100/FP9300 dans la version 2.4.x FXOS).
- LACP peut être configuré dans l'un des deux modes (actif ou passif). FXOS utilise toujours un mode actif.
- L’objectif principal du protocole LACP est de protéger contre les erreurs de configuration des canaux de port.
- Pour qu'un PC LACP puisse être activé, il est nécessaire d'avoir les mêmes paramètres de vitesse/duplex dans les membres de l'interface Port-Channel. Sur FXOS, vous définissez la vitesse au niveau Port-Channel.
- Acteur LACP = périphérique local
- Partenaire LACP = périphérique distant
- Chaque périphérique possède un ID système LACP qui correspond généralement à l'adresse MAC du châssis. L'ID système LACP est envoyé dans chaque paquet LACP.
- Chaque paquet LACP a une taille d'environ 110 octets.
- LACP peut fonctionner en débit rapide ou en débit lent (normal). Pour FXOS, la valeur par défaut est Fast Rate (sauf 1xxx/21xx où il est toujours Lent), mais elle peut également être configurée comme Slow. Le mode LACP du côté du commutateur dépend du modèle de commutateur et du logiciel utilisé. Par exemple, un Cat3750 prend en charge les modes Lent et Fast à partir de la version 15.2(4)E. Pour plus d'informations, consultez le guide de confirmation du commutateur.
- Au cours de la période de détection LACP, les LACP sont envoyés toutes les 1 secondes, quel que soit le débit LACP. Le débit LACP affecte uniquement l'intervalle LACP Keepalive une fois l'interface activée.
Les avantages de LACP Keepalive
Le keepalive LACP est utile dans les scénarios lorsque l'interface distante n'est plus fonctionnelle, mais quand même activée (aucune défaillance directe n'a été détectée). Cela peut être le cas pour le pilote/L2 ou s'il y a un périphérique dans le chemin (par exemple IPS) qui ne permet pas la détection de défaillances de liaison distante. LACP Keepalive a un délai d'expiration de peer rate x 3. Par exemple, si l'homologue distant envoie toutes les 1 secondes, le périphérique local déclare l'homologue distant désactivé si aucun paquet LACP n'est reçu dans les 3 secondes. Dans le cas de Slow Rate, c'est après 90 secondes.
Tous les champs d’un paquet LACP tels qu’ils sont affichés dans Wireshark
Débit rapide LACP et débit lent
En général, la recommandation est d'utiliser Fast Rate des deux côtés (FXOS sur 4100/9300 utilise Fast Rate par défaut, sur FPR2100 le LACP Send Rate par défaut est Lent). La vitesse LACP peut augmenter la vitesse de regroupement Port-Channel.
| FXOS configuré lentement |
FXOS configuré rapidement |
|
| Commutateur configuré lent |
Demandes de commutateur lentes Demandes FXOS lentes Le commutateur envoie 1 LACP/30 secondes FXOS envoie 1 LACP/30 secondes |
Demandes de commutateur lentes Demandes FXOS Fast Le commutateur envoie 1 LACP/s FXOS envoie 1 LACP/30 secondes |
| Commutateur configuré rapidement |
Demandes de commutateur rapides Demandes FXOS lentes Le commutateur envoie 1 LACP/30 secondes FXOS envoie 1 LACP/s |
Demandes de commutateur rapides Demandes FXOS Fast Le commutateur envoie 1 LACP/s FXOS envoie 1 LACP/s |
Pour configurer le mode LACP sur FXOS (41xx/93xx) :
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast normal lacp rate normal
Dépannage de Port-Channel sur FPR4100/FPR9300
Diagramme du réseau
Les châssis FPR4100 et FPR9300 contiennent un commutateur interne où le Port-Channel est terminé. Comme le commutateur interne est similaire à un Nexus 5K et que FXOS ne prend en charge que LACP, l'approche de dépannage est similaire à un Nexus 5K.
Vérifier 1 - Vérifier l'état du canal de port
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Vérifiez l'état de l'interface FXOS :
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Vérification 2 - Vérifiez que le FXOS envoie et reçoit des LACP (exécutez la commande quelques fois)
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Vérifiez la même chose sur le commutateur :
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Vérifiez les détails LACP d'une interface FXOS individuelle :
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collecting=true Distributing=true
Vérification 3 : vérification des ID LACP du périphérique local et distant
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
Cocher 4 (facultatif) - Collecter ce résultat (peut être utilisé par le TAC Cisco)
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Vérifiez 5 - Vérifiez la transition FSM LACP pour le port spécifique qui a le problème. Les messages sont affichés avec le plus ancien en haut de la sortie
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Cocher 6 - Collecter l'historique des événements de canal de port (peut être utilisé par le TAC Cisco)
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017]
High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017]
PCM Control Block info:
pcm_max_channels : 4096
pcm_max_channel_in_use : 48
pc count : 2
hif-pc count : 0
Max PC Cnt : 104
Load-defer timeout : 120
====================================================
PORT CHANNELS:
2LvPC PO in system : 0
port-channel15
channel : 15
bundle : 65535
...
>>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<<
1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0
8 2017
Previous state: [PCM_PC_ST_INIT]
Triggered event: [PCM_PC_EV_CREATE_INIT]
Next state: [FSM_ST_NO_CHANGE]
2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017
Instance:369098766, Seq Id:0x1, Ret:SUCCESS
Seq Type:SERIAL
...
Dépannage de Port-Channel sur FPR21xx/FPR1xxx
Diagramme du réseau
Cochez 1. Si le protocole LACP est utilisé, vérifiez les compteurs LACP
Vous voyez les deux côtés (commutateur et FXOS) envoyer et recevoir :
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Une autre méthode de vérification :
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Cochez la case 2. Vérifier l’état du commutateur en amont
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization: Active Long Yes Yes
Collecting: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collecting: Distributing: Defaulted: Expired:
Yes Yes No No
Cochez 3. Vérifiez que l'ID système LACP local n'est pas 0
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Dépannage supplémentaire (courant sur toutes les plates-formes)
Vérifier1
Assurez-vous que les deux côtés (pare-feu et commutateur) ont les mêmes paramètres (par exemple, la vitesse est la même, le mode Port-Channel est le même).
Vérifier 2
Vérifiez les erreurs FXOS. Vous pouvez effectuer cette vérification à partir de l'interface utilisateur du châssis ou de l'interface de ligne de commande à l'aide de cette commande :
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
Les défauts sont affichés par ordre chronologique. La gravité reflète l'importance de la faute, tandis que la description fournit une brève vue d'ensemble. L'accent est mis principalement sur la gravité, l'horodatage et la description. L'ordre de gravité des pannes de la plus sévère à la moins sévère est le suivant :
- Critique
- Major
- Minor (mineur)
- Avertissement
- Info/Condition
- Effacé
Pour plus d'informations sur chaque panne, consultez le guide FXOS Faults and Error Messages : Messages d'erreur FXOS et messages système
Vérifier 3
Si vous avez apporté des modifications récentes à la configuration Port-Channel sur FMC, assurez-vous que la stratégie a été déployée de FMC à FTD
Vérifier 4
Si le Port-Channel est à l'état Échec et que le périphérique appartient à un cluster, assurez-vous que le cluster est activé sur le périphérique. Un périphérique qui est lancé hors du cluster est normal que le Port-Channel soit en état d'échec
Vérifier 5
Si la configuration est correcte, mais que l'interface n'est pas activée, vérifiez et remplacez le câble et/ou l'émetteur-récepteur SFP (Small Form-Factor Pluggable).
Vérifier 6
Consultez les notes de mise à jour de firepower pour connaître les problèmes connus liés à Port-Channel. Par exemple, si vous exécutez FXOS version 2.6.1.169 et FTD 6.4.0.6, vérifiez ces sections :
En outre, consultez les notes de version FMC/FTD correspondantes. Puisque dans cet exemple, le FTD exécute 6.4.0.5, il est nécessaire de vérifier les notes de version 6.4.x :
Problèmes courants
Cas 1 . Non-correspondance du mode EtherChannel
Considérez cette topologie :
Les symptômes du problème
Sur Firepower, le Port-Channel est désactivé et le protocole de négociation est LACP :
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
Sur FXOS, les compteurs LACP Sent augmentent toutes les 30 secondes, mais les compteurs Receive ne sont pas :
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
La cause première
Le Port-Channel sur le commutateur est UP, mais remarquez l'absence de protocole de négociation :
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
La configuration du port de commutateur confirme ceci :
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch#show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Solution
Comme il s'agit d'un appareil FPR21xx, il existe 2 solutions possibles :
- Modifiez le mode Port-Channel côté commutateur de ON à LACP (actif ou passif).
- Modifiez le mode Port-Channel côté FTD de LACP à ON.
Dans ce scénario, la deuxième solution a été choisie (définir FTD Port-Channel en mode ON) :
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
Les compteurs LACP ne sont plus affichés :
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Cas 2 . Conception de canal de port incorrecte
Les symptômes du problème
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
Les compteurs LACP FXOS augmentent dans les deux directions :
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
La cause première
Le résultat de show lacp neighbor montre différents ID de système partenaire sur chaque port :
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Vous pouvez le visualiser comme suit :
Solution
- Dans le cas de 2960, vous devez configurer l'empilage (FlexStack).
- Dans le cas des modèles 3750-X/3850, etc., vous devez configurer l'empilage (StackWise Plus).
- Dans le cas des modèles 4500, 6500 et 6800, vous devez utiliser le système de commutation virtuelle (VSS).
- Dans le cas de Nexus 5K, 7K ou 9K, vous devez utiliser Virtual PortChannel (vPC).
- Dans un autre cas, vous devez connecter le FXOS au même commutateur physique.
Cas 3 . Canal de port FXOS non attribué
Diagramme du réseau
Les symptômes du problème
Du côté de FXOS, les membres Port-Channel sont suspendus :
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
La même chose du côté du commutateur :
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
Les compteurs LACP FXOS indiquent les paquets envoyés et reçus :
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
Du côté du commutateur, les compteurs LACP indiquent également les paquets envoyés, mais non reçus :
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
La cause première
Le problème, dans ce cas, est que le Port-Channel FXOS n'est pas attribué au périphérique logique (application FTD) :
Solution
Attribuer le Port-Channel au périphérique logique
Cas 4 . Alertes d'intégrité à propos du canal de port ne recevant aucun paquet
Le périphérique (FTD) envoie toutes les 5 minutes des informations sur le trafic d'interface reçu sur chaque interface dont le nom est configuré et qui est UP. Si aucun paquet n'a été reçu au cours du dernier intervalle, des messages comme celui-ci apparaissent sur l'interface FMC :
Action recommandée
À partir de l'interface de ligne de commande du FTD, vérifiez la sortie show traffic et concentrez-vous sur le débit d'entrée de 5 minutes, par ex.
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Cas 5 . Alerte d'intégrité sur FMC : Port-channel Dissocié ou Interface Ajoutée
L'alerte Health indique : « Interface avec nom physique : « Port-channel » dissocié. » ou "« Interface avec nom physique : \« name_if\" ajouté. »
Action recommandée
Il s'agit d'un problème cosmétique connu suivi par CSCvb15074
Considérations relatives aux canaux de port
Considérations de conception
Cas 1 . Lame FTD/ASA en haute disponibilité
Cette configuration n'est pas prise en charge. La raison est que la configuration Port-Channel du côté du commutateur est incorrecte et entraîne un blocage du trafic. Cette conception est uniquement prise en charge lorsque vous configurez ASA ou FTD en mode Spanning Tree.
Il s'agit de la conception Port-Channel appropriée pour la haute disponibilité :
Références
- Connexion à un EtherChannel sur un autre périphérique
- EtherChannels pour la mise en grappe inter-châssis
Cas 2 . FTD/ASA dans le cluster
Chaque interface de données de pare-feu Port-Channel utilise le mode Spanning (c'est le seul mode pris en charge sur les plates-formes Firepower). Du point de vue de la conception, du côté du commutateur, les ports de commutation pour une interface de données unique appartiennent à un port-channel.
Par exemple, dans le cas du FP9300 (2 châssis, 6 lames), les ports de données peuvent être configurés comme suit :
D'autre part, la liaison de contrôle de cluster (CCL) utilise le mode Port-Channel individuel et, selon les meilleures pratiques, la bande passante doit correspondre à la capacité de transfert maximale de chaque membre. En outre, dans le cas de Nexus, chaque port-channel appartient à un vPC différent.
De même, dans le cas du FP41xx :
Et le CCL :
Cas 3 . Port-ChannelTerminé sur FXOS
Port-Channel terminé sur le châssis FXOS. Voici un exemple de cette conception :
Cas 4 . Port-Channel via FXOS
Port-Channel passant par le châssis FXOS. Voici un exemple de cette conception :
Port-Channel terminé sur FXOS et Port-Channel via FXOS
| Fonctionnalité |
Commentaires |
| Port-Channel terminé sur le châssis FXOS (MIO) |
Fonctionne à partir de FXOS 2.1.1 |
| Port-Channel passant par le châssis FXOS (MIO) |
|
Considérations supplémentaires
Convergence LACP gracieuse
Dans le cas d'une configuration de cluster (ASA ou FTD), il est recommandé d'activer la convergence LACP gracieuse sur Nexus.
Foire aux questions (FAQ)
La distribution de hachage de canal de port SSP est-elle fixe ou adaptable ?
FXOS utilise une distribution de hachage résiliente. Cela semble être équivalent au mode de distribution de hachage fixe décrit dans la documentation en ligne de Nexus 7000/9k. Dans le hachage résilient, si une liaison échoue, les flux attribués à la liaison défaillante sont redistribués uniformément entre les liaisons actives. Les flux existants via les liaisons actives ne sont pas hachés et leurs paquets ne sont pas livrés dans le désordre. Lorsqu'une liaison est ajoutée au port-channel ou au groupe ECMP, certains flux hachés sur les liaisons existantes sont réhachés sur la nouvelle liaison, mais pas sur toutes les liaisons existantes.
Que se passe-t-il si les ports de commutation connectés au Port-Channel sont hors service ? FTD surveille-t-il la liaison physique en panne ou le port-channel ?
Si tous les membres de l'interface port-channel tombent en panne, le port-channel tombe également en panne. L'état de l'opération du canal de port est indiqué comme ayant échoué. Du point de vue du FTD, le port-channel est affiché comme down. Par contre, dans cette règle, il y a une exception : Lorsque les commutateurs utilisent l'empilage. Avec LACP, l'ID système utilise l'adresse MAC de la pile du commutateur actif, et si le commutateur actif change, l'ID système LACP peut changer. Si l'ID système LACP change, l'EtherChannel entier clignote et il y a une reconvergence STP. Utilisez la commande stack-mac persistent timer pour contrôler si l'adresse MAC de la pile change ou non pendant un basculement de commutateur actif.
Souhaitez-vous utiliser la commande « port-channel min-bundle 2 » afin que si une liaison dans le port-channel tombe en panne, le port-channel tombe en panne et le pare-feu effectue un basculement.
Cette option n'est pas possible sur le châssis FXOS. Comme solution de contournement et dans la mesure du possible, configurez la commande lacp min-links sur les commutateurs homologues.
Comment capturer des paquets LACP ?
Cas 1 . Port-Channel terminé sur l'appliance logique (FTD/ASA)
- Le Port-Channel est effectivement terminé au niveau du châssis (FXOS).
- Vous ne pouvez pas capturer les paquets LACP (entrée ou sortie) au niveau du châssis (FXOS) ni au niveau des applications (FTD/ASA).
Cas 2 . Port-Channel via l'interface FTD - FTD déployée en tant que jeu en ligne
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Cas 3 . Port-Channel via l'interface FTD - FTD déployée en tant que mode groupe de ponts :
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
Comment migrer d'un port unique vers un Port-Channel ?
Cette modification nécessite une fenêtre de maintenance (MW) et est intrusive. Une fois que vous avez migré d'une interface unique vers Port-Channel, toutes les configurations associées à l'interface unique sont dissociées de celle-ci. Une fois que vous avez créé le Port-Channel, il est nécessaire de réassocier la même configuration au Port-Channel nouvellement configuré, par exemple NAT, Routing, VPN, etc. Pour le FTD, il y a une note dans ce document :
Configurer un EtherChannel
Pour un périphérique ASA, la procédure est décrite dans ce document :
Conversion d'interfaces en cours d'utilisation en interface EtherChannel ou redondante
Comment modifier la liaison haute disponibilité FTD vers Port-Channel ?
Cette modification nécessite une fenêtre de maintenance (MW) et est intrusive. Vous devez rompre la HA et la reconfigurer. Dans la nouvelle paire HA, spécifiez comme liaison HA le Port-Channel. Document connexe :
Configurer la haute disponibilité FTD sur les appareils Firepower
Firepower avec ASA affiche le port channel Up et l'état de l'interface physique down
Ceci est lié à CSCvp03354
Quelle est l'importance de choisir pour l'ID Port-Channel sur le FMC ? Doit-il correspondre à quoi que ce soit du côté du commutateur ?
Non, ça n'a pas d'importance. Vous pouvez utiliser n'importe quel ID Port-Channel.
Sous l'onglet Port-Channel Advanced, devez-vous faire quoi que ce soit pour l'adresse MAC active/de secours ?
Si vous prévoyez d'utiliser le Port-Channel en mode d'accès (pas de liaison) et que vous utilisez la configuration haute disponibilité (HA), il est fortement recommandé de configurer l'adresse MAC active/de secours. Cette recommandation n'est pas spécifique au canal de port, mais s'applique à toute configuration de haute disponibilité.
Est-il possible de configurer des descriptions pour les membres d'interface d'un Port-Channel ?
Actuellement (FXOS 2.7.x), il n'est pas pris en charge. Consultez le guide de configuration FXOS le plus récent pour plus de détails.
Il est possible de modifier l'algorithme d'équilibrage de charge FXOS Port-Channel ?
Actuellement (FXOS 2.7.x), il n'est pas pris en charge. Consultez le guide de configuration FXOS le plus récent pour plus de détails.
Est-il possible de configurer le nombre minimum (liaisons min) d'interfaces membres dans un port-channel afin de faire passer le port-channel à l'état bundled ?
Actuellement (FXOS 2.7.x), il n'est pas pris en charge. Consultez le guide de configuration FXOS le plus récent pour plus de détails.
Informations connexes
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)