Configuration et vérification de Port-Channel sur les appliances Firepower
Table des matières
Introduction
Ce document décrit comment configurer, vérifier et dépanner le Port-Channel sur les appliances Firepower.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Firepower Management Center (FMC)
- Firepower Chassis Manager (FCM)
- Firepower eXtensible Operating System (FXOS)
- Firepower Threat Defense (FTD)
- EtherChannel (EC)
Remarque : dans ce document, les termes EtherChannel et Port-Channel (PC) sont utilisés de manière interchangeable.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- 2 x FPR4120 sur FXOS 2.2(2.17), FTD 6.2.0.2.51
- 1 x FPR4110 sur FXOS 2.1(0.159), FTD 6.1.0.330
- 1 x FPR2110 sur FTD 6.2.1 (build 341)
- 1 x FPR1150 sur FTD 6.5.0
- WS-C3750X-24 sur 15.2(4)E5
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Ce document décrit la configuration, la vérification et le dépannage d’un canal de port sur les appareils Firepower (FPR1xxx, FPR21xx, FPR41xx, FPR93xx). Les exemples de configuration du document sont basés sur Firepower Threat Defense (FTD), mais de nombreux concepts (par exemple, la vérification et le dépannage) sont également parfaitement applicables à l'appliance de sécurité adaptatif (ASA).
Configurer
Canal de port sur FPR4100/FPR9300
Diagramme du réseau
Configurer un canal de port à partir de l’interface utilisateur de FXOS (FPR4100/FPR9300)
Le canal de port FTD sur les appareils Firepower est géré par le code de FXOS. Sur FPR4100/FPR9300, la configuration est effectuée à partir de Firepower Chassis Manager (FCM) :
Le canal de port est inactif (état failed [échec]) jusqu’à ce qu’il soit affecté à une unité logique :
Pour attribuer le canal de port à une unité logique :
Le résultat :
Points principaux
- Avant la version FXOS 2.4.x, FPR4100/FPR9300 prenait en charge le protocole LACP uniquement (pas de mode ON ni PAGP). À partir de la version FXOS 2.4.1.101, le mode ON est pris en charge pour les données et les EtherChannels qui transmettent des données.
- Assurez-vous que la ou les interfaces à ajouter dans le Port-Channel ne sont pas déjà ajoutées au périphérique logique. Si c'est le cas, ils n'apparaissent pas dans l'interface lorsque le Port-Channel est ajouté.
- Vous ne pouvez pas activer/désactiver individuellement les membres du canal de port, mais uniquement le canal de port lui-même.
- Vous ne pouvez pas supprimer un Port-Channel utilisé par un périphérique logique (par exemple, ASA ou FTD). Vous devez d’abord les dissocier.
- Le canal de port ne s’affiche pas tant que vous ne l’avez pas affecté à une unité logique. Si l’EtherChannel est retiré de l’unité logique ou si l’unité logique est supprimée, le canal de port repasse à l’état Suspended (suspendu).
- Définissez les ports de commutateur qui se connectent au mode Active pour une meilleure compatibilité.
Configuration du commutateur
Lorsque vous configurez le commutateur, afin d’éviter que le canal de port ne devienne instable, il est recommandé :
- d’utiliser plutôt la commande « interface range ».
- Arrêtez les membres de l'interface Port-Channel avant d'effectuer des modifications qui affectent le fonctionnement Port-Channel (par exemple, si le mode Port-Channel est modifié).
Exemple
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
Remarque : reportez-vous toujours à la section Guide de configuration du modèle de commutateur pour plus de détails.
Configurer un canal de port à partir de l’interface CLI de FXOS (FPR4100/FPR9300)
Étape 1. Vérifier les interfaces déjà affectées à l’unité logique de Cisco FTD
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
Étape 2. Vérifier les interfaces du châssis
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
Étape 3. Créer le canal de port
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
Étape 4. Attribuer une interface à l’unité logique de Cisco FTD :
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
Vérification
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
Supprimer le canal de port de l’interface CLI de FXOS (FPR4100/FPR9300)
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
Canal de port sur FPR21xx/FPR1xxx
Diagramme du réseau
Le canal de port FTD sur les appareils FPR21xx/FPR1xxx est géré par le code de FXOS, mais la configuration est effectuée à partir de Cisco FMC, car le code de FTD et de FXOS est intégré dans un seul ensemble de logiciels :
Les modes (LACP actif ou ON) sont configurés à partir de l’onglet Advanced (avancé) :
Les paramètres de conditions de duplex et de vitesse sont configurés à partir de l’onglet Hardware Configuration (configuration matérielle) :
Remarque : sur FPR2100, vous ne pouvez pas créer un Port-Channel à partir de l'interface de ligne de commande de FXOS, sauf si vous utilisez un ASA comme périphérique logique. Dans les versions ultérieures à ASA 9.13.x, ce n’est le cas qu’en mode plateforme. En mode Appliance (appareil) (11xx/21xx), il n’y a pas de FCM et toute la configuration d’interface est effectuée directement dans l’interface CLI de l’appareil ASA.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
Si une interface physique est en panne et que vous souhaitez l’activer, procédez comme suit :
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
Configuration de FDM
Considérez cette topologie :
Vous pouvez configurer des interfaces EtherChannel qui utilisent FDM à partir de la version 6.5 du logiciel. Accédez à Device > Interfaces > EtherChannels (appareil > interfaces > EtherChannels) et ajoutez un EtherChannel. Puisque, dans ce cas, l’EtherChannel est une solution de liaison, indiquez l’ID de l’EtherChannel, activez-le (Status [statut]) et ajoutez les membres. L’EtherChannel prend en charge le mode LACP actif et le mode On (sans protocole LACP). Dans ce cas, le mode LACP actif est configuré.
Ajoutez les sous-interfaces :
Le résultat :
Déployer les modifications attendues
Vérifier
Vérifier le canal de port sur FPR4100/FPR9300
Diagramme du réseau
Cisco FTD (ou ASA) n’a pas accès aux membres individuels du canal de port. Les interfaces logiques (sous-interfaces) sont configurées sur FMC :
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Pour vérifier l’état du canal de port et de ses membres, passez au mode FXOS :
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
Pour voir l’état des canaux de ports ainsi qu’un historique des derniers états :
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
Pour vérifier la distribution du trafic entre les membres de l’interface du canal de port :
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
Vérification du voisin LACP
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 = le commutateur est configuré avec l’ID de canal de port 5
Sur le commutateur :
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
Notez que Partner Oper Key s’affiche sous la forme 0xE (14) sur le commutateur contigu, bien que FXOS soit configuré avec l’ID de canal de port 15.
Capture de paquets LACP dans Wireshark :
| État du partenaire |
||||||||
| Province |
Expired |
Defaulted |
Distributed |
Collecté |
Synchronization |
Aggregation |
LACP Timeout |
LACP Activity |
| Valeur |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| Hex |
3 |
f |
||||||
Vérifier un canal de port sur FPR21xx/FPR1xxx
Diagramme du réseau
Vérification de base du canal de port
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
Vérification supplémentaire :
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
Vérifier les détails du canal de port :
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
Vérifier les détails du membre du canal de port :
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
Détails du port du membre :
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Vérification LACP
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Remarque : sur FPR21xx/FPR1xxx, le débit LACP par défaut est lent et ne peut pas être modifié
Compteurs LACP
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
Vérification de l’interface FPR2100
Manière dont les interfaces physiques sont mappées au commutateur interne FPR2100 :
| Interface |
Commutateur interne sur FPR2110/FPR2120 |
Commutateur interne sur FPR2130/FPR2140 |
| E1/1 |
1 |
1 |
| E1/2 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
Vérifier l’état de l’interface physique :
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
Compteurs de l’interface physique :
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
Tableau MAC du commutateur interne FPR2100. Notez que 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
Les ports e1/1 et e1/2 correspondent aux ports 0/0 et 0/1 du commutateur interne :
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
Dépannage
Aperçu du protocole LACP
Faits sur LACP :
- Le protocole LACP (Link Aggregation Control Protocol) de la norme IEEE (802.3ad) est un protocole L2 utilisé pour la négociation d’un canal de port.
- Le protocole LACP utilise le MAC de destination 0180.c200.002 et Ethernet de type 0x8809.
- Le protocole LACP et le mode ON (sans protocole LACP) sont les seuls modes pris en charge sur les appareils Firepower (le mode ON a été ajouté sur les FP4100/FP9300 dans la version 2.4.x de FXOS).
- Le protocole LACP peut être configuré dans l’un de 2 modes (actif ou passif). FXOS fonctionne toujours en mode actif.
- L’objectif principal du protocole LACP est d’éviter les erreurs de configuration des canaux de ports.
- Pour qu’un canal de port LACP s’active, il faut que les mêmes paramètres de vitesse/conditions de duplex soient définis dans les membres de l’interface de canal de port. Vous devez définir la vitesse au niveau du canal du port sur FXOS.
- L’acteur LACP est l’appareil local.
- Le partenaire LACP est l’appareil distant.
- Chaque appareil a un ID de système LACP qui est généralement le MAC du châssis. L’ID de système LACP est contenu dans chaque paquet LACP.
- Chaque paquet LACP a une taille d’environ 110 octets.
- Le protocole LACP peut fonctionner en débit rapide ou lent (normal). Pour FXOS, le débit par défaut est rapide (sauf pour 1xxx/21xx, où il est toujours lent), mais il peut également être configuré comme lent. Le mode LACP, du côté du commutateur, dépend du modèle de commutateur et du logiciel utilisé. Par exemple, un Cat3750 prend en charge le débit lent ou rapide à partir de la version 15.2(4)E. Consultez le guide de confirmation du commutateur pour en savoir plus.
- Au cours de la période de détection LACP, les LACP sont envoyés toutes les 1 s, quel que soit le débit LACP. Le débit du protocole LACP affecte uniquement l’intervalle de maintien (keepalive) du protocole LACP une fois que l’interface est active.
Avantages de la fonctionnalité LACP Keepalive
Le paquet de maintien (keepalive) LACP est utile dans les cas où l’interface distante n’est plus fonctionnelle, mais toujours active (aucune défaillance directe n’a été détectée). Cela peut être le cas d'un problème de pilote/couche 2 ou s'il y a un périphérique dans le chemin (par exemple, IPS) qui ne permet pas la détection des défaillances de liaison distante. Le paquet de maintien (keepalive) LACP a un délai d’expiration du débit homologue de 3. Par exemple, si l’homologue distant transmet toutes les secondes, l’appareil local déclare l’homologue distant hors service si aucun paquet LACP n’est reçu pendant 3 secondes. Dans le cas d’un débit lent, cela se produira après 90 secondes.
Voici les champs d’un paquet LACP tels qu’ils sont affichés dans Wireshark:
Remarque : lorsqu'un port-channel est terminé sur le FTD, la capture FXOS n'affiche pas les paquets LACP (en entrée ou en sortie)
Débit LACP rapide par rapport à débit lent
En général, il est recommandé d’utiliser le débit rapide des deux côtés (FXOS sur 4100/9300 utilise le débit rapide par défaut, sur FPR2100, le débit d’envoi LACP par défaut est lent). Le débit LACP rapide peut augmenter le débit de groupement du canal de port.
| FXOS avec configuration lente |
FXOS avec configuration rapide |
|
| Commutateur avec configuration lente |
Commutateur : demande de débit lent FXOS : demande de débit lent Le commutateur transmet à un débit de 1 LACP/30 sec. FXOS transmet à un débit de 1 LACP/30 sec. |
Commutateur : demande de débit lent FXOS : demande de débit rapide Le commutateur transmet à un débit de 1 LACP/sec. FXOS transmet à un débit de 1 LACP/30 sec. |
| Commutateur avec configuration rapide |
Commutateur : demande de débit rapide FXOS : demande de débit lent Le commutateur transmet à un débit de 1 LACP/30 sec. FXOS transmet à un débit de 1 LACP/sec. |
Commutateur : demande de débit rapide FXOS : demande de débit rapide Le commutateur transmet à un débit de 1 LACP/sec. FXOS transmet à un débit de 1 LACP/sec. |
Pour configurer le mode LACP dans FXOS (41xx/93xx) :
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
Dépanner le canal de port sur FPR4100/FPR9300
Diagramme du réseau
Les châssis FPR4100 et FPR9300 comportent un commutateur interne où se termine le canal de port. Étant donné que le commutateur interne est similaire à un Nexus 5K et que FXOS ne prend en charge que le protocole LACP, l’approche de dépannage est similaire à celle d’un Nexus 5K.
Vérification 1 – Vérifier l’état du canal de port
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
Vérifiez l’état de l’interface FXOS :
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
Vérification 2 – Vérifier que FXOS envoie et reçoit des protocoles LACP (exécuter la commande plusieurs fois)
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
Faites la même vérification sur le commutateur :
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
Vérifiez les détails LACP d’une interface FXOS individuelle :
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
Vérification 3 – Vérifier les ID LACP des appareils locaux et des appareils distants
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
Vérification 4 (facultative) – Obtenir ce résultat (peut être utilisé par Cisco TAC)
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
Vérification 5 – Rechercher dans la transition LACP FSM le port qui pose problème. Les messages sont affichés avec le résultat le plus ancien en haut.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
Vérification 6 – Obtenir l’historique des événements de canal de port (peut être utilisé par Cisco TAC)
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
Dépanner le canal de port sur FPR21xx/FPR1xxx
Diagramme du réseau
Vérification 1. Si le protocole LACP est utilisé, vérifier les compteurs LACP
Les deux côtés (commutateur et FXOS) envoient et reçoivent :
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
Une autre façon de les vérifier est la suivante :
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
Vérification 2. Vérifier l’état du commutateur en amont
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
Remarque : si Collecté et Distribué ne sont pas 'Oui' et que la valeur par défaut est 'Non', alors LACP n'est pas convergé.
Vérification 3. Vérifier que l’ID système LACP local n’est pas 0
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
Dépannage supplémentaire (commun à toutes les plateformes)
Vérification 1
Assurez-vous que les paramètres des deux côtés (pare-feu et commutateur) correspondent (par exemple, la vitesse est identique, le mode Port Channel est identique).
Vérification 2
Vérifier les défaillances de FXOS. Vous pouvez effectuer cette vérification à partir de l'interface utilisateur du châssis ou de l'interface de ligne de commande qui utilise cette commande :
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
Les défaillances sont affichées en ordre chronologique. Le champ Severity (gravité) reflète l’importance de la défaillance et la description en fournit un aperçu. L’accent est principalement mis sur la gravité, l’horodatage et la description. L’ordre de gravité des défaillances, de la plus grave à la moins grave, est le suivant :
- Critical (critique)
- Major (important)
- Minor (mineur)
- Avertissement
- Info/condition
- Cleared (effacée)
Pour plus de détails sur chaque erreur, consultez le guide FXOS Faults and Error Messages : FXOS Error and System Messages
Vérification 3
Si vous avez effectué des modifications récentes liées à la configuration du canal de port sur FMC, assurez-vous que la politique a été déployée de FMC à FTD
Vérification 4
Si le canal de port est en état de défaillance et que l’appareil appartient à une grappe, assurez-vous que la grappe est activée sur l’appareil. Il est normal que l’état du canal de port d’un appareil expulsé de la grappe soit défaillant.
Vérification 5
Si la configuration est adéquate, mais que l’interface ne s’affiche pas, vérifiez et remplacez le câble ou l’émetteur-récepteur SFP.
Vérification 6
Consultez les notes de mise à jour de Firepower pour connaître les problèmes connus liés au canal de port. Par exemple, si vous exécutez FXOS 2.6.1.169 et FTD 6.4.0.6, consultez les sections suivantes :
En outre, consultez les notes de mise à jour connexes pour FMC/FTD. Étant donné que, dans cet exemple, FTD exécute la version 6.4.0.5, il est nécessaire de consulter les notes de mise à jour 6.4.x :
Problèmes courants
Cas 1 . Non-concordance du mode d’EtherChannel
Considérez cette topologie :
Symptômes du problème
Sur Firepower, le canal de port est inactif et le protocole de négociation est LACP :
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
Sur FXOS, les compteurs LACP envoyés s'incrémentent toutes les 30 secondes, mais les compteurs de réception ne sont pas :
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
Cause première
Le canal de port sur le commutateur est actif, mais notez l’absence d’un protocole de négociation :
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
La configuration du port du commutateur le confirme :
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
Solution
Puisqu’il s’agit d’un appareil FPR21xx, il y a deux solutions possibles :
- Modifier le mode du canal de port du côté du commutateur de ON à LACP (actif ou passif)
- Modifier le mode du canal de port du côté de FTD de LACP à ON.
Dans ce scénario, la deuxième solution est choisie (définir le canal de port de FTD au mode ON) :
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
Les compteurs LACP ne s’affichent plus :
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
Cas 2 . Mauvaise conception de canal de port
Symptômes du problème
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
Les compteurs LACP de FXOS augmentent dans les deux sens :
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
Cause première
Le résultat de show lacp neighbor (afficher voisin lacp) affiche un ID de système partenaire différent sur chaque port :
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
Cela peut être visualisé comme suit :
Solution
- Dans le cas du 2960, vous devez configurer l’empilage (FlexStack).
- Dans le cas de 3750-X/3850, etc., vous devez configurer l’empilage (StackWise Plus).
- Dans le cas de 4500, 6500, 6800, vous devez utiliser un système de commutation virtuel (VSS).
- Dans le cas de Nexus 5K, 7K ou 9K, vous devez utiliser Virtual Port-Channel (vPC).
- Dans un autre cas, vous devez connecter FXOS au même commutateur physique.
Cas 3 . Canal de port de FXOS non attribué
Diagramme du réseau
Symptômes du problème
Du côté de FXOS, les membres du canal de port sont suspendus :
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
Même chose du côté du commutateur :
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
Les compteurs FXOS LACP affichent les paquets envoyés et reçus :
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
Côté commutateur, les compteurs LACP affichent également les paquets qui sont envoyés, mais pas reçus :
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
Cause première
Le problème, dans ce cas, est que le canal de port FXOS n’est pas affecté à l’unité logique (application FTD) :
Solution
Attribuez le canal de port à l’unité logique
Cas 4 . Alertes d'intégrité indiquant que Port-Channel ne reçoit aucun paquet
L’appareil (FTD) envoie des renseignements toutes les 5 minutes sur le trafic d’interface reçu sur chaque interface dont le nom est configuré et qui est active. Si aucun paquet n’a été reçu lors du dernier intervalle, des messages comme celui-ci s’affichent sur l’interface utilisateur de FMC :
Action recommandée
À partir de l'interface de ligne de commande FTD, vérifiez les résultats de la commande show traffic et concentrez-vous sur le débit d'entrée de 5 minutes, par exemple :
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
Cas 5 . Alerte d'intégrité sur FMC : Port-Channel dissocié ou interface ajoutée
L'alerte d'intégrité indique : "Interface avec nom_physique : "Port-Channel" dissocié." ou ""Interface avec nom_physique : \"name_if\" ajouté."
Action recommandée
Il s'agit d'un problème cosmétique connu suivi par l'ID de bogue Cisco CSCvb15074
Considérations relatives au canal de port
Considérations conceptuelles
Cas 1 . Lame FTD/ASA à haute disponibilité
Cette configuration n’est pas prise en charge. La raison en est que la configuration Port-Channel du côté du commutateur est incorrecte et entraîne un blocage du trafic sur le périphérique de secours. Une telle conception n’est prise en charge que lorsque vous configurez ASA ou FTD en mode étendu de grappe.
Avertissement : ce scénario est incorrect en cas de basculement (haute disponibilité)
Voici la conception de canal de port appropriée pour la haute disponibilité :
Références
Cas 2 . FTD/ASA en grappe
Chaque canal de port de l’interface de données de pare-feu fonctionne en mode étendu (il s’agit du seul mode pris en charge sur les plateformes Firepower). Pour ce qui est de la conception, du côté du commutateur, les ports de commutation d’une interface de données unique correspondent à un canal de port.
Par exemple, dans le cas du FP9300 (2 châssis, 6 lames), les ports de données peuvent être configurés comme suit :
D'autre part, la liaison de contrôle de cluster (CCL) utilise le mode de canal de port individuel et, selon les meilleures pratiques, la bande passante doit correspondre à la capacité maximale de chaque membre. De plus, dans le cas de Nexus, chaque canal de port appartient à un canal de port virtuel différent.
De même, pour le FP41xx :
Le CCL sera le suivant :
Cas 3 . Canal de port résilié sur FXOS
Canal de port résilié sur le châssis FXOS. Voici un exemple de cette conception :
Cas 4 . Canal de port passant par FXOS
Le Port-Channel passe par le châssis FXOS. Voici un exemple de cette conception :
Remarque : dans le deuxième scénario, aucun Port-Channel n'est configuré sur l'appliance Firepower.
Canal de port résilié sur FXOS ou canal de port passant par FXOS
| Fonctionnalité |
Commentaires |
| Canal de port résilié sur un châssis FXOS (MIO) |
Fonctionne à partir de la version 2.1.1 de FXOS |
| Port-Channel passe par le châssis FXOS (MIO) |
|
Autres facteurs à considérer
Convergence progressive du protocole LACP
Dans le cas d’une configuration de grappe (ASA ou FTD), il est recommandé d’activer la convergence progressive du protocole LACP sur Nexus.
Foire aux questions (FAQ)
Q. La distribution de hachage port-channel SSP est-elle fixe ou adaptative ?
FXOS utilise une distribution de hachage résiliente. Elle semble être équivalente au mode de distribution de hachage fixe décrit dans la documentation en ligne de Nexus 7000/9k. Dans le cadre du hachage résilient, si une liaison tombe en panne, les flux affectés à la liaison défaillante sont redistribués uniformément entre les liaisons actives. Les flux actuels à travers les liaisons actives ne sont pas hachés et leurs paquets ne sont pas livrés dans le désordre. Lorsqu’une liaison est ajoutée au canal de port ou au groupe ECMP, certains des flux hachés sur les liaisons actuelles sont hachés à nouveau sur la nouvelle liaison, mais pas sur toutes les liaisons actuelles.
Q. Que se passe-t-il si les ports de commutation connectés au Port-Channel sont désactivés ? Le FTD surveille-t-il la liaison physique ou le port-channel ?
Si tous les membres de l’interface de canal de port tombent en panne, le canal de port tombe également en panne. L’état de fonctionnement du canal de port est indiqué comme ayant défailli. Du point de vue de FTD, le canal de port est affiché comme en panne. D'autre part, dans cette règle, il y a une exception : Lorsque les commutateurs utilisent l'empilage. Avec le protocole LACP, l’ID du système utilise l’adresse MAC de la pile du commutateur actif et, si le commutateur actif change, il se peut que l’ID du système LACP change. Si l’ID du système LACP change, l’ensemble de EtherChannel oscille, et il y a une reconversion du protocole STP. Utilisez la commande stack-mac persistent timer pour contrôler si l'adresse MAC de la pile change après un basculement de commutateur actif.
Q. Souhaite utiliser la commande « port-channel min-bundle 2 » de sorte que si une liaison dans le port-channel tombe en panne, le port-channel tombe en panne et le pare-feu effectue un basculement.
Cette option n’est pas possible sur les châssis FXOS. Comme solution de contournement, et chaque fois que cela est possible, configurez la commande lacp min-links sur les commutateurs homologues.
Q. Comment capturer des paquets LACP ?
Cas 1 . Canal de port résilié sur l’unité logique (FTD/ASA)
- Le canal de port est résilié au niveau du châssis (FXOS).
- Vous ne pouvez pas capturer de paquets LACP (entrée ou sortie) au niveau du châssis (FXOS) ni au niveau de l’application (FTD/ASA).
Cas 2 . Canal de port passant par l’interface de FTD – interface de FTD déployée en tant que inline-set
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
Cas 3 . Canal de port par l’interface de FTD – interface de FTD déployée en tant que mode bridge-group :
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
Q. Comment migrer d’un port unique vers un Port-Channel ?
Ce changement est intrusif et nécessite une fenêtre de maintenance (MW). Une fois que vous avez réalisé la migration d’une interface unique vers un canal de port, toutes les configurations liées à l’interface unique en sont dissociées. Une fois que vous avez créé le Port-Channel, il est nécessaire de réassocier la même configuration au Port-Channel nouvellement configuré, par exemple, NAT, routage, VPN, etc. Pour FTD, il y a une note dans ce document :
Configure an EtherChannel (configurer un EtherChannel)
Pour un appareil ASA, la procédure est décrite dans le document suivant :
Converting In-Use Interfaces to a Redundant or EtherChannel Interface (conversion des interfaces en cours d’utilisation en une interface redondante ou EtherChannel)
Q. Comment modifier la liaison haute disponibilité (HA) FTD en Port-Channel ?
Ce changement est intrusif et nécessite une fenêtre de maintenance (MW). Vous devez interrompre la haute disponibilité et la reconfigurer. Dans la nouvelle paire à haute disponibilité, définissez le canal de port en tant que liaison à haute disponibilité. Documents connexes :
Configurer la haute disponibilité FTD sur les appareils Firepower
Q. Firepower avec ASA indique port-channel Up, état de l'interface physique down
Ceci est lié à l'ID de bogue Cisco CSCvp03354
Q. Le choix de l'ID de canal de port sur le FMC est-il important ? Doit-il correspondre à quelque chose du côté du commutateur ?
Non, cela n’a pas d’importance. Vous pouvez utiliser n’importe quel ID de canal de port.
Q. Sous l’onglet Port-Channel Advanced, est-il nécessaire de faire quelque chose pour l’adresse MAC active/en veille ?
Si vous prévoyez utiliser le canal de port en mode d’accès (sans solution de liaisons) et que vous utilisez la configuration à haute disponibilité, il est fortement recommandé de configurer MAC actif/en attente. Cette recommandation n’est pas spécifique à la configuration du canal de port, mais s’applique à toute configuration à haute disponibilité.
Q. Est-il possible de configurer des descriptions pour les membres d’interface d’un Port-Channel ?
Actuellement (FXOS 2.13.x), il n'est pas pris en charge. Consultez le dernier guide de configuration de FXOS pour en savoir plus.
Q. Est-il possible de modifier l'algorithme d'équilibrage de charge port-channel FXOS ?
Actuellement (FXOS 2.13.x), il n'est pas pris en charge. Consultez le dernier guide de configuration de FXOS pour en savoir plus.
Q. Est-il possible de configurer le nombre minimum (min-links) d'interfaces membres dans un port-channel afin de faire passer le port-channel dans l'état groupé ?
Actuellement (FXOS 2.13.x), il n'est pas pris en charge. Consultez le dernier guide de configuration de FXOS pour en savoir plus.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
3.0 |
15-May-2023 |
Mise à jour du formatage et du langage |
1.0 |
26-Mar-2020 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)