Risoluzione dei problemi relativi all'errore del canale della porta LACP nell'ambiente cluster del firewall

Problema

La porta-canale1 su un accessorio FTD ha mostrato uno stato operativo di guasto, senza inviare o ricevere PDU LACP. Il dispositivo faceva parte di un cluster FTD e Port-channel1 è stato utilizzato come interfaccia dati, con conseguente impatto sul traffico quando il canale della porta si è interrotto.

I sintomi specifici osservati includono:

• Informazioni sul router adiacente LACP che mostrano l'ID del sistema partner come 0,0-0-0-0-0 con numero di porta 0x0.

• Chiave operativa partner e stato della porta visualizzati come 0x0.

• I contatori LACP non aumentano sullo chassis del firewall.

• Interfacce con stato "sospeso (senza PDU LACP)".

• Sullo switch adiacente, aumentano solo i contatori LACP inviati. I contatori di ricezione LACP non aumentano.

L'output del router adiacente LACP dal dispositivo interessato ha mostrato:

device(fxos)# show lacp neighbor
Flags:  S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
        A - Device is in Active mode       P - Device is in Passive mode
port-channel1 neighbors
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/2      0,0-0-0-0-0-0          0x0             5022089     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/3      0,0-0-0-0-0-0          0x0             4895677     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0

Sul firewall, i contatori LACP Inviato/Ricevuto non aumentano per i membri del canale della porta:

device# connect fxos 
device(fxos)# show lacp counters 
                    LACPDUs         Marker      Marker Response    LACPDUs
Port              Sent   Recv     Sent   Recv     Sent   Recv      Pkts Err
---------------------------------------------------------------------
port-channel1
Ethernet1/4      11413   13114       0       0       0       0       0    <-- the LACP counters do not increase

L'interfaccia del canale della porta e le relative sottointerfacce sono nello stato down/down:

# show interface ip brief
Interface                  IP-Address      OK?           Method Status      Protocol
Internal-Control0/0        unassigned      YES           unset  up          up
Internal-Data0/0           unassigned      YES           unset  up          up
Internal-Data0/1           unassigned      YES           unset  up          up
Internal-Data0/2           169.254.1.1     YES           unset  up          up
Internal-Data0/3           unassigned      YES           unset  up          up
Internal-Data0/4           unassigned      YES           unset  down        up
Port-channel1              unassigned      YES           unset  down        down
Port-channel1.90           192.0.2.15      YES           CONFIG down        down
Port-channel1.102          192.0.2.130     YES           CONFIG down        down
...

I log sul lato switch indicano che lo switch trasmette pacchetti LACP ma non riceve PDU LACP partner, con le porte sospese:

Apr  2 18:44:20.614: %LINEPROTO-5-UPDOWN: Line protocol on Interface TwentyFiveGigE2/0/25, changed state to down
Apr  2 18:44:25.452: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  2 18:44:36.318: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:17:06.798: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:17:26.722: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:17:35.915: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:23:22.255: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:23:43.886: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:23:53.808: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.

Ambiente

• Versione del software: FTD 7.6.2. Possono essere interessate anche altre versioni software, compresa l'ASA.

• Configurazione cluster FTD con interfacce dati tramite un canale porta.

• Canale della porta abilitato per LACP che si connette all'infrastruttura dello switch a monte.

Risoluzione

La risoluzione implicava l'identificazione che l'unità FTD interessata aveva lasciato il cluster a causa di un errore di controllo dello stato dell'interfaccia del canale della porta. Quando il clustering è stato disabilitato sull'unità, tutte le interfacce dati sono state arrestate per progettazione, arrestando le PDU LACP e causando la sospensione sul lato switch e l'impatto sul traffico.

Passi diagnostici eseguiti

Passaggio 1: Raccolta dei pacchetti di debug e supporto sia dal dispositivo Cisco Firepower che dallo switch upstream

Più archivi per la risoluzione dei problemi, file di debug LACP, file core e file TS (risoluzione dei problemi) sono stati raccolti dallo chassis FXOS per l'analisi.

Passaggio 2: Convalida comportamento switch e stato LACP

Il tecnico dello switch ha confermato che lo switch invia PDU LACP ma non riceve PDU partner dal dispositivo Firepower.

Passaggio 3: Analizza transizioni stato interno LACP

L'analisi ha mostrato come le interfacce siano passate in stato sospeso a causa di PDU partner mancanti, con i contatori LACP che non aumentano.

Suggerimento: Controllare l'output del comando 'show cluster history' e i syslog LINA del firewall per determinare la causa dell'errore del cluster.

In questo esempio, il dispositivo esce dal cluster a causa di un errore dell'interfaccia dati:

# show cluster history
CONTROL_NODE          CONTROL_NODE          Event: Control node unit-1-1 is quitting
                                            due to interface health check
                                            failure on Port-channel1,
                                            1 times. Rejoin will be attempted
                                            after 5 min.
20:44:31 CEST Apr 2 2026
CONTROL_NODE          DISABLED              Client progression done

Procedura di recupero

Passaggio 1: Riattiva clustering sull'unità FTD interessata

# cluster enable

Con questo comando l'unità viene nuovamente aggiunta al cluster, vengono attivate le interfacce dati, vengono riattivate le PDU LACP e viene ripristinata la funzionalità Port-channel1.

Passaggio 2: Verifica recupero LACP

Dopo aver riattivato il clustering, le PDU LACP sono riprese e Port-channel1 è tornata al normale funzionamento sia sul lato firewall che sul lato switch.

Causa

La causa principale è un errore di controllo dello stato dell'interfaccia del canale della porta che ha causato l'uscita dell'unità FTD dal cluster. Quando il clustering è disabilitato su un'unità FTD, tutte le interfacce dati vengono chiuse manualmente per progettazione, arrestando la trasmissione PDU LACP e causando la sospensione delle interfacce porta-canale da parte dello switch a monte.

Questo comportamento è previsto.

Per migliorare la funzionalità del prodotto, è stato archiviato l'ID bug Cisco CSCwo09449.

Contenuto correlato

• Cisco ID bug CSCwo09449 - FXOS: Contatori LACP TX e RX non aggiornati e canali porte dati sospesi quando il clustering è disabilitato