La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
Questo documento descrive le condizioni, i sintomi, l'attivazione e le opzioni di mitigazione del bug Cisco ID CSCwa79915 per ripristinare l'appliance.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni di questo documento si basano sul modello hardware e sulla versione software seguenti:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Condizioni note correnti relative a Cisco bug ID CSCwa79915
includere:
1. Appliance Firepower serie 2100.
2. Una o più porte dello chassis dirette esterne che funzionano in modalità half-duplex (intenzionale o come risultato di una mancata corrispondenza duplex).
3. Configurato con qualsiasi versione interessata di software Adaptive Security Appliance (ASA) o Firepower Threat Defense (FTD).
L'osservazione più classica/comune di questo stato è che tutte le interfacce di dati mostrano un traffico molto ridotto dalle relative interfacce.
Quando un'acquisizione viene collocata in questa condizione, viene rivelato che le richieste Address Resolution Protocol (ARP) vengono inviate da altri host sulla stessa subnet e viene ricevuta una query per l'indirizzo di layer 2 dell'indirizzo IP Linux NAtively (LINA) e l'acquisizione LINA mostra una risposta. Tuttavia, queste risposte ARP non sembrano uscire dallo chassis, come viene rivelato quando si esegue un SPAN (Switched Port Analyzer) sullo switch esterno a cui sono collegate le rispettive interfacce dello chassis assegnate alla LINA.
Ad esempio:
firepower# show capture arp 4 packets captured 1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2 2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f 3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2 4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
Dove 10.255.255.2 è l'indirizzo IP di un host esterno che invia query ARP a 10.255.255.1, che appartiene a una delle interfacce dati LINA.
Le risposte ARP che vengono viste come trasmesse da LINA al momento della cattura non sono mai effettivamente viste lasciare la porta fisica dello chassis corrispondente.
Analogamente al sintomo in cui gli host esterni non ricevono mai pacchetti dall'accessorio interessato, come evidenziato da tutti i pacchetti inviati dalla LINA, non lasciano lo chassis, abbiamo il sintomo in cui i contatori delle porte esterne per i pacchetti trasmessi (TX) non aumentano.
In questo esempio, l'interfaccia interessata è Ethernet1/12. Un controllo dei contatori dell'interfaccia Firepower eXtensible Operating System (FXOS) per i pacchetti TX ha mostrato che i contatori non sono mai stati incrementati, nonostante la LINA abbia indicato che quei pacchetti sono stati trasmessi allo switch dello chassis interno.
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0 firepower/eth-uplink/fabric/interface # show stat ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen) Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0
L'interfaccia Internal1/3 viene utilizzata come interfaccia backplane/uplink tra lo switch sulla periferica logica in esecuzione sullo chassis.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
Nota: In un ambiente di traffico attivo, la verifica del contatore dell'interfaccia può essere difficile a causa del rumore, quindi prima verificare e correggere la modalità half-duplex.
Un controllo dello stato delle interfacce attive mostra che una delle interfacce dati active/UP è in modalità half-duplex, il che è insolito in generale.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
Questa tabella fornisce la mappatura dell'interfaccia dello chassis fisico al numero di porta dello switch interno. Questa mappatura è necessaria per comprendere l'output dello stato dello switch show portmanager. Come si evince dalla tabella, per l'ID porta 0/6 dello switch interno (come mostrato nell'output precedente dello stato show portmanager), la porta dello chassis fisico associata è Ethernet 1/8.
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
La correzione di una mancata corrispondenza duplex è l'unico modo per prevenire gli effetti collaterali sull'interfaccia del backplane. A tale scopo, è possibile utilizzare uno di questi metodi e ricaricare l'accessorio.
1. Se il dispositivo peer non è configurato con il duplex automatico, modificarlo in Auto (metodo preferito).
2. Se non è disponibile alcun accesso di gestione al dispositivo peer:
2.1. Per FTD gestito da Firepower Management Center (FMC), disabilitare l'opzione di negoziazione automatica in Modifica interfaccia fisica su FMC.
2.2. Per FTD gestito da Firepower Device Manager (FDM), modificare l'opzione duplex da Auto a Full in Opzioni avanzate interfaccia.
2.3. Per l'ASA, disabilitare la negoziazione automatica duplex dal livello dello chassis come segue:
firepower /eth-uplink # scope firepower /eth-uplink # scope fabric a firepower /eth-uplink/fabric # scope interface 1 1 firepower /eth-uplink/fabric/interface # set auto-negotiation no No yes Yes firepower /eth-uplink/fabric/interface # set auto-negotiation no firepower /eth-uplink/fabric/interface* # commit-buffer firepower /eth-uplink/fabric/interface #
Nota: I metodi elencati nel passaggio 2 sono opzioni teoriche che possono funzionare in condizioni normali.
3. Collegare l'interfaccia Firepower in modalità half-duplex a uno switch diverso che supporta la negoziazione automatica delle impostazioni duplex o configurare la porta dello switch in modo da abilitare la negoziazione automatica delle impostazioni duplex.
Nota: Dopo l'esecuzione di una qualsiasi delle operazioni, è necessario ricaricare l'intero accessorio per ripristinare l'interfaccia del backplane dallo stato di errore.
Questo bug è stato generato per tenere traccia di una risoluzione software del sintomo in cui l'interfaccia interna 1/3 del backplane non è in grado di elaborare alcun traffico ricevuto dalla LINA in un secondo momento.
Cisco ID bug CSCwa79915 La porta fisica in half-duplex fa sì che tutti i pacchetti provenienti da LINA vengano scartati dallo chassis.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
30-Aug-2022 |
Versione iniziale |