Problemen met LACP-poortkanaalfouten in firewallclusteromgeving oplossen

uitgeven

Port-channel1 op een FTD-toestel gaf de operationele status Failed (Mislukt) weer, zonder dat er LACP-PDU's werden verzonden of ontvangen. Het apparaat maakte deel uit van een FTD-cluster en Port-channel1 werd gebruikt als een data-interface, wat resulteerde in een impact op het verkeer toen het poortkanaal uitviel.

De specifieke waargenomen symptomen omvatten:

• LACP-buurtinformatie met partnersysteem-ID als 0,0-0-0-0-0-0 met poortnummer 0x0.

• Partner Oper Key en Port State worden weergegeven als 0x0.

• LACP-tellers worden niet verhoogd op het firewallchassis.

• Interfaces met de status "geschorst (geen LACP-PDU)".

• Op de aangrenzende switch nemen alleen de LACP Sent-tellers toe. De LACP Recv-tellers nemen niet toe.

De output van de LACP-buur van het getroffen apparaat toonde:

device(fxos)# show lacp neighbor
Flags:  S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
        A - Device is in Active mode       P - Device is in Passive mode
port-channel1 neighbors
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/2      0,0-0-0-0-0-0          0x0             5022089     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/3      0,0-0-0-0-0-0          0x0             4895677     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0

Op de firewall worden de LACP Sent/Recv-tellers niet verhoogd voor de leden van het poortkanaal:

device# connect fxos 
device(fxos)# show lacp counters 
                    LACPDUs         Marker      Marker Response    LACPDUs
Port              Sent   Recv     Sent   Recv     Sent   Recv      Pkts Err
---------------------------------------------------------------------
port-channel1
Ethernet1/4      11413   13114       0       0       0       0       0    <-- the LACP counters do not increase

De poort-kanaalinterface en de subinterfaces zijn in down/down-toestand:

# show interface ip brief
Interface                  IP-Address      OK?           Method Status      Protocol
Internal-Control0/0        unassigned      YES           unset  up          up
Internal-Data0/0           unassigned      YES           unset  up          up
Internal-Data0/1           unassigned      YES           unset  up          up
Internal-Data0/2           169.254.1.1     YES           unset  up          up
Internal-Data0/3           unassigned      YES           unset  up          up
Internal-Data0/4           unassigned      YES           unset  down        up
Port-channel1              unassigned      YES           unset  down        down
Port-channel1.90           192.0.2.15      YES           CONFIG down        down
Port-channel1.102          192.0.2.130     YES           CONFIG down        down
...

Logboeken aan de switch gaven aan dat de switch LACP-PDU's verzond, maar geen partner-LACP-PDU's ontving, waarbij de havens werden opgeschort:

Apr  2 18:44:20.614: %LINEPROTO-5-UPDOWN: Line protocol on Interface TwentyFiveGigE2/0/25, changed state to down
Apr  2 18:44:25.452: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  2 18:44:36.318: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:17:06.798: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:17:26.722: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:17:35.915: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:23:22.255: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:23:43.886: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:23:53.808: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.

milieu

• Softwareversie: FTD 7.6.2. Andere softwareversies, waaronder ASA, kunnen ook worden beïnvloed.

• FTD-clusterconfiguratie met gegevensinterfaces via een poortkanaal.

• Voor LACP geschikte poortkanalen die verbinding maken met upstream switch-infrastructuur.

resolutie

De resolutie betrof het vaststellen dat de betreffende FTD-eenheid het cluster had verlaten als gevolg van een storing in de health check van de poort-kanaalinterface. Toen clustering op het apparaat was uitgeschakeld, werden alle gegevensinterfaces door het ontwerp uitgeschakeld, waardoor LACP-PDU's werden gestopt en ophanging aan de switch en impact op het verkeer werden veroorzaakt.

Diagnostische stappen uitgevoerd

Stap 1: Verzamel debug- en supportbundels van zowel Cisco Firepower-apparaten als upstream-switch

Meerdere archieven voor probleemoplossing, LACP-foutopsporingsbestanden, kernbestanden en TS-bestanden (probleemoplossing) werden verzameld uit het FXOS-chassis voor analyse.

Stap 2: switch gedrag en LACP staat valideren

De technicus van de switch bevestigde dat de switch LACP-PDU's verzond, maar geen partner-PDU's ontving van het Firepower-apparaat.

Stap 3: Analyse van de interne LACP-statusovergangen

Analyse toonde aan dat interfaces in een opgeschorte toestand zijn gebracht vanwege ontbrekende partner-PDU's, waarbij LACP-tellers niet zijn toegenomen.

Tip: Controleer de uitvoer van de opdracht 'clustergeschiedenis weergeven' en de LINA-syslogs van de firewall om de reden van de clusterfout te bepalen.

In dit voorbeeld sluit het apparaat het cluster af vanwege een storing in de gegevensinterface:

# show cluster history
CONTROL_NODE          CONTROL_NODE          Event: Control node unit-1-1 is quitting
                                            due to interface health check
                                            failure on Port-channel1,
                                            1 times. Rejoin will be attempted
                                            after 5 min.
20:44:31 CEST Apr 2 2026
CONTROL_NODE          DISABLED              Client progression done

invorderingsprocedure

Stap 1: Clustering op de betreffende FTD-eenheid opnieuw inschakelen

# cluster enable

Deze opdracht zorgde ervoor dat de eenheid zich weer bij het cluster aansloot, gegevensinterfaces naar boven bracht, LACP-PDU's hervatte en de Port-channel1-functionaliteit herstelde.

Stap 2: LACP-herstel controleren

Nadat clustering opnieuw was ingeschakeld, werden de LACP-PDU's hervat en keerde Port-channel1 terug naar de normale werking aan zowel de firewall- als de switch-zijde.

Oorzaak

De hoofdoorzaak was een storing in de health check van de Port-channel-interface waardoor de FTD-eenheid het cluster verliet. Wanneer clustering is uitgeschakeld op een FTD-unit, worden alle gegevensinterfaces administratief uitgeschakeld door het ontwerp, waardoor de LACP-PDU-overdracht wordt gestopt en de upstream-switch de poort-kanaalinterfaces opschort.

Dit gedrag wordt verwacht.

Cisco bug ID CSCwo09449 werd ingediend om de onderhoudsvriendelijkheid van het product te verbeteren.

Verwante inhoud

• Cisco Bug ID CSCwo09449 - FXOS: verouderde TX- en RX LACP-tellers en geschorste datapoortkanalen wanneer clustering is uitgeschakeld