Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit l'ID de bogue Cisco CSCwa7915, les conditions, les symptômes, le déclencheur et les options d'atténuation pour récupérer l'appliance.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur le modèle matériel et la version logicielle suivants :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Conditions connues actuelles liées à Cisco bug ID CSCwa79915
inclure :
1. Appareil de la gamme Firepower 2100.
2. Un ou plusieurs ports de châssis orientés externes qui s'exécutent en mode bidirectionnel non simultané (intentionnel ou résultant d'une non-correspondance de mode bidirectionnel).
3. Configuré avec toute version affectée du logiciel ASA (Adaptive Security Appliance) ou FTD (Firepower Threat Defense).
L'observation la plus classique/courante de cet état est que toutes les interfaces de données affichent très peu de trafic en provenance de leurs interfaces.
Lorsqu’une capture est placée dans cette condition, elle indique que des requêtes ARP (Address Resolution Protocol) sont envoyées par d’autres hôtes sur le même sous-réseau et qu’une requête pour l’adresse de couche 2 de l’adresse IP LINA est reçue et que la capture LINA affiche une réponse. Cependant, ces réponses ARP ne semblent pas quitter le châssis, comme cela est révélé lorsqu'un analyseur de port commuté (SPAN) est exécuté sur le commutateur externe dans lequel les interfaces de châssis respectives attribuées au LINA sont connectées.
Par exemple :
firepower# show capture arp 4 packets captured 1: 14:43:44.185872 arp who-has 10.255.255.1 tell 10.255.255.2 2: 14:43:44.186132 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f 3: 14:43:45.205906 arp who-has 10.255.255.1 tell 10.255.255.2 4: 14:43:45.206166 arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
Où 10.255.255.2 est l'adresse IP d'un hôte externe qui envoie des requêtes ARP à 10.255.255.1, qui appartient à l'une des interfaces de données LINA.
Les réponses ARP qui sont considérées comme transmises par le LINA lors de sa capture ne sont jamais réellement vues quitter le port du châssis physique respectif.
Tout comme le symptôme où les hôtes externes ne reçoivent jamais de paquets de l'appliance affectée, comme le prouve tous les paquets envoyés par la LINA ne quittent pas le châssis, nous avons le symptôme où les compteurs de ports externes pour les paquets transmis (TX) n'incrémentent pas.
Dans cet exemple, l’interface concernée est Ethernet1/12. Une vérification des compteurs de l’interface FXOS (Firepower eXtensible Operating System) pour les paquets TX a montré que les compteurs n’avaient jamais été incrémentés, malgré l’indication du LINA que ces paquets avaient été transmis au commutateur interne du châssis.
firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12 <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:29:45.621 <<< first execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0 firepower/eth-uplink/fabric/interface # show stat ether-tx-stats Ether Tx Stats: Time Collected: 2021-12-09T17:30:15.726 <<< second execution of the command Monitored Object: sys/switch-A/slot-1/switch-ether/port-8 Suspect: No Total Packets (packets): 4823522 <<< Counter of packets transmitted (No delta seen) Unicast Packets (packets): 4823515 Multicast Packets (packets): 0 Broadcast Packets (packets): 7 Total Bytes (bytes): 606771974 Jumbo Packets (packets): 0 Thresholded: 0
Interface Internal1/3 est utilisé comme interface de fond de panier/liaison ascendante entre le commutateur sur le périphérique logique qui s'exécute sur le châssis.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250 >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134 >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)#
Note: Dans un environnement de trafic actif, la vérification du compteur d'interface peut être difficile en raison du bruit. Vérifiez d'abord le mode bidirectionnel non simultané et corrigez-le.
Une vérification de l'état des interfaces actives indique que l'une des interfaces de données actives/actives est en mode bidirectionnel non simultané, ce qui est rare en général.
firepower#
firepower# connect local-mgmt
firepower(local-mgmt)# show portmanager switch status
Dev/Port Mode Link Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------
0/0 QSGMII Down 1G Half None
0/1 QSGMII Up 1G Full None
0/2 QSGMII Down 1G Half None
0/3 QSGMII Down 1G Half None
0/4 QSGMII Down 1G Half None
0/5 QSGMII Down 1G Half None
0/6 QSGMII Up 100 Half None <<<<< Up and Half-duplex
0/7 QSGMII Down 1G Half None
0/8 QSGMII Down 1G Half None
0/9 QSGMII Up 1G Full None
0/10 QSGMII Up 1G Full None
0/11 QSGMII Up 1G Full None
0/12 QSGMII Up 1G Full None
0/13 QSGMII Down 10 Half None
0/14 QSGMII Down 10 Half None
0/15 QSGMII Down 10 Half None
0/16 n/a Down n/a Full N/A
0/17 n/a Down n/a Full N/A
0/18 n/a Down n/a Full N/A
0/19 n/a Down n/a Full N/A
0/20 n/a Down n/a Full N/A
0/21 n/a Down n/a Full N/A
0/22 n/a Down n/a Full N/A
0/23 n/a Down n/a Full N/A
0/24 KR Up 10G Full None
0/25 KR Up 10G Full None
0/26 KR Down 10G Full None
0/27 KR Up 10G Full None
Ce tableau fournit le mappage de l'interface du châssis physique au numéro de port du commutateur interne. Ce mappage est nécessaire pour comprendre le résultat de la commande show portmanager switch status. D'après le tableau, nous pouvons voir que pour le port de commutateur interne ID 0/6 (vu sur la sortie précédente de show portmanager switch status), le port de châssis physique associé est Ethernet1/8.
Interface Name Internal Switch Port (2110/2120) Internal Switch Port (2130/2140)
Ethernet 1/1 1 1
Ethernet 1/2 0 0
Ethernet 1/3 3 3
Ethernet 1/4 2 2
Ethernet 1/5 5 5
Ethernet 1/6 4 4
Ethernet 1/7 7 7
Ethernet 1/8 6 6
Ethernet 1/9 9 49
Ethernet 1/10 8 48
Ethernet 1/11 11 51
Ethernet 1/12 10 50
Ethernet 1/13 12 59
Ethernet 1/14 13 58
Ethernet 1/15 14 57
Ethernet 1/16 15 56
Ethernet 2/1 N/A 70
Ethernet 2/2 N/A 71
Ethernet 2/3 N/A 69
Ethernet 2/4 N/A 68
Ethernet 2/5 N/A 66
Ethernet 2/6 N/A 67
Ethernet 2/7 N/A 65
Ethernet 2/8 N/A 64
Internal 1/1 26 81 (Eventing Port - NOT visible at Service Manager)
Internal 1/2 27 80 (Unused - NOT visible at Service Manager)
Internal 1/3 24 52 (Internal backplane uplink to logical device, whether ASA or FTD)
La correction de toute non-correspondance de mode duplex est la seule façon d'empêcher l'effet secondaire observé sur l'interface de fond de panier, et cela peut être fait par l'une de ces méthodes et un rechargement de l'appliance.
1. Si le périphérique homologue n'est pas configuré avec le mode bidirectionnel automatique, sélectionnez Auto (méthode préférée).
2. S’il n’y a pas d’accès de gestion au périphérique homologue :
2.1. Pour FTD géré par Firepower Management Center (FMC), désactivez l’option Auto-Negotiation sous Edit Physical Interface sur FMC.
2.2. Pour le FTD géré par Firepower Device Manager (FDM), changez l'option Duplex de Auto à Full sous Interface Advanced Options.
2.3. Pour ASA, désactivez la négociation automatique duplex à partir du niveau du châssis comme suit :
firepower /eth-uplink # scope firepower /eth-uplink # scope fabric a firepower /eth-uplink/fabric # scope interface 1 1 firepower /eth-uplink/fabric/interface # set auto-negotiation no No yes Yes firepower /eth-uplink/fabric/interface # set auto-negotiation no firepower /eth-uplink/fabric/interface* # commit-buffer firepower /eth-uplink/fabric/interface #
Note: Les méthodes répertoriées à l'étape 2 sont des options théoriques qui peuvent fonctionner dans des conditions normales.
3. Connectez l’interface Firepower en mode bidirectionnel non simultané à un autre commutateur prenant en charge la négociation automatique des paramètres bidirectionnels ou configurez le port du commutateur pour activer la négociation automatique des paramètres bidirectionnels.
Note: Un rechargement de l'ensemble de l'appliance est toujours nécessaire après l'exécution de l'une des étapes, afin de récupérer l'interface de fond de panier de son état défaillant.
Ce bogue a été généré pour suivre une résolution logicielle du symptôme dans lequel l'interface interne1/3 du fond de panier est incapable de traiter tout trafic reçu du LINA après un certain temps.
Le bogue Cisco ayant l'ID CSCwa7915 sur le port physique en mode bidirectionnel non simultané entraîne l'abandon de tous les paquets LINA par le châssis.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
30-Aug-2022 |
Première publication |