Solucionar problemas de falha de canal de porta do LACP no ambiente de cluster de firewall

Problema

Port-channel1 em um dispositivo FTD mostrou um status operacional como Failed, sem PDUs LACP sendo enviadas ou recebidas. O dispositivo fazia parte de um cluster de FTD e o canal de porta 1 foi usado como uma interface de dados, resultando em impacto no tráfego quando o canal de porta foi desativado.

Os sintomas específicos observados incluíram:

• Informações de vizinhos do LACP mostrando o ID do sistema do parceiro como 0,0-0-0-0-0-0 com o número de porta 0x0.

• Chave operacional do parceiro e Estado da porta exibidos como 0x0.

• Os contadores LACP não são incrementados no chassi do firewall.

• Interfaces mostrando o status "suspenso (sem PDU LACP)".

• No switch adjacente, somente os contadores de Envio de LACP aumentam. Os contadores de Recebimento de LACP não aumentam.

A saída do vizinho LACP do dispositivo afetado mostrou:

device(fxos)# show lacp neighbor
Flags:  S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
        A - Device is in Active mode       P - Device is in Passive mode
port-channel1 neighbors
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/2      0,0-0-0-0-0-0          0x0             5022089     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0
Partner's information
            Partner                Partner                     Partner
Port        System ID              Port Number     Age         Flags
Eth1/3      0,0-0-0-0-0-0          0x0             4895677     SP
            LACP Partner           Partner                     Partner
            Port Priority          Oper Key                    Port State
            0                      0x0                         0x0

No firewall, os contadores de Envio/Recebimento de LACP não aumentam para os membros do canal de porta:

device# connect fxos 
device(fxos)# show lacp counters 
                    LACPDUs         Marker      Marker Response    LACPDUs
Port              Sent   Recv     Sent   Recv     Sent   Recv      Pkts Err
---------------------------------------------------------------------
port-channel1
Ethernet1/4      11413   13114       0       0       0       0       0    <-- the LACP counters do not increase

A interface port-channel e suas subinterfaces estão no estado down/down:

# show interface ip brief
Interface                  IP-Address      OK?           Method Status      Protocol
Internal-Control0/0        unassigned      YES           unset  up          up
Internal-Data0/0           unassigned      YES           unset  up          up
Internal-Data0/1           unassigned      YES           unset  up          up
Internal-Data0/2           169.254.1.1     YES           unset  up          up
Internal-Data0/3           unassigned      YES           unset  up          up
Internal-Data0/4           unassigned      YES           unset  down        up
Port-channel1              unassigned      YES           unset  down        down
Port-channel1.90           192.0.2.15      YES           CONFIG down        down
Port-channel1.102          192.0.2.130     YES           CONFIG down        down
...

Os registros do lado do switch indicaram que o switch estava transmitindo LACP, mas não recebendo PDUs de LACP do parceiro, com portas sendo suspensas:

Apr  2 18:44:20.614: %LINEPROTO-5-UPDOWN: Line protocol on Interface TwentyFiveGigE2/0/25, changed state to down
Apr  2 18:44:25.452: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  2 18:44:36.318: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:17:06.798: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:17:26.722: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:17:35.915: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.
Apr  3 02:23:22.255: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to down
Apr  3 02:23:43.886: %LINK-5-UPDOWN: Interface TwentyFiveGigE2/0/25, changed state to up
Apr  3 02:23:53.808: %ETC-5-L3DONTBNDL2: Twe2/0/25 suspended: LACP currently not enabled on the remote port.

Ambiente

• Versão de software: FTD 7.6.2. Outras versões de software, incluindo ASA, também podem ser afetadas.

• Configuração de cluster FTD com interfaces de dados usando um canal de porta.

• Canal de porta habilitado para LACP que se conecta à infraestrutura de switch upstream.

Resolução

A resolução envolvia a identificação de que a unidade de FTD afetada havia deixado o cluster devido a uma falha na verificação de integridade da interface do canal de porta. Quando o clustering foi desabilitado na unidade, todas as interfaces de dados foram desativadas por design, o que interrompeu as PDUs do LACP e causou a suspensão do switch e o impacto no tráfego.

Etapas de Diagnóstico Realizadas

Passo 1: Coletar pacotes de depuração e suporte do dispositivo Cisco Firepower e do switch upstream

Vários arquivos de solução de problemas, arquivos de depuração LACP, arquivos principais e arquivos TS (solução de problemas) foram coletados do chassi FXOS para análise.

Passo 2: Validar o comportamento do switch e o estado do LACP

O engenheiro de switch confirmou que o switch estava enviando PDUs de LACP, mas não estava recebendo PDUs de parceiro do dispositivo Firepower.

Passo 3: Analisar as transições de estado interno do LACP

A análise mostrou que as interfaces foram movidas para um estado suspenso devido a PDUs de parceiro ausentes, com os contadores LACP não sendo incrementados.

Tip: Verifique a saída do comando 'show cluster history' e os syslogs LINA do firewall para determinar o motivo da falha do cluster.

Neste exemplo, o dispositivo saiu do cluster devido a uma falha na interface de dados:

# show cluster history
CONTROL_NODE          CONTROL_NODE          Event: Control node unit-1-1 is quitting
                                            due to interface health check
                                            failure on Port-channel1,
                                            1 times. Rejoin will be attempted
                                            after 5 min.
20:44:31 CEST Apr 2 2026
CONTROL_NODE          DISABLED              Client progression done

Procedimento de recuperação

Passo 1: Reativar clustering na unidade FTD afetada

# cluster enable

Esse comando fez com que a unidade se unisse novamente ao cluster, ativasse as interfaces de dados, reiniciasse as PDUs do LACP e restaurasse a funcionalidade do canal de porta 1.

Passo 2: Verificar a recuperação do LACP

Depois de reativar o clustering, as PDUs do LACP foram retomadas e o Port-channel1 voltou à operação normal nos lados do firewall e do switch.

Causa

A causa raiz foi uma falha de verificação de integridade da interface do canal da porta que fez com que a unidade FTD deixasse o cluster. Quando a organização por clusters é desativada em uma unidade FTD, todas as interfaces de dados são desativadas administrativamente por projeto, o que interrompe a transmissão de PDU do LACP e faz com que o switch upstream suspenda as interfaces de canal de porta.

Este comportamento é esperado.

A ID de bug da Cisco CSCwo09449 foi preenchida para melhorar a facilidade de manutenção do produto.

Conteúdo relacionado

• ID de bug Cisco CSCwo09449 - FXOS: contadores de LACP TX e RX obsoletos e canais de porta de dados suspensos quando o clustering está desabilitado