Dépannage de la perte de paquets sur FP2100 causée par l'interface physique en mode bidirectionnel non simultané

Introduction

Ce document décrit l'ID de bogue Cisco CSCwa7915, les conditions, les symptômes, le déclencheur et les options d'atténuation pour récupérer l'appliance.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Firepower eXtensible Operating System (FXOS)
• Appareil de sécurité adaptatif (ASA)
• Linux NAtivement (LINA)
• Firepower Threat Defense (FTD)

Components Used

Les informations contenues dans ce document sont basées sur le modèle matériel et la version logicielle suivants :

• Firepower 2110
• FTD 6.6.5 (fourni avec FXOS version 2.8.1.165)

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Conditions connues de sensibilité

Conditions connues actuelles liées à Cisco bug ID CSCwa79915 inclure :

1. Appareil de la gamme Firepower 2100.

2. Un ou plusieurs ports de châssis orientés externes qui s'exécutent en mode bidirectionnel non simultané (intentionnel ou résultant d'une non-correspondance de mode bidirectionnel).

3. Configuré avec toute version affectée du logiciel ASA (Adaptive Security Appliance) ou FTD (Firepower Threat Defense).

Symptômes des bogues

1. Les paquets provenant d'ASA/LINA (FTD) ne quittent jamais l'appliance.

L'observation la plus classique/courante de cet état est que toutes les interfaces de données affichent très peu de trafic en provenance de leurs interfaces.

Lorsqu’une capture est placée dans cette condition, elle indique que des requêtes ARP (Address Resolution Protocol) sont envoyées par d’autres hôtes sur le même sous-réseau et qu’une requête pour l’adresse de couche 2 de l’adresse IP LINA est reçue et que la capture LINA affiche une réponse. Cependant, ces réponses ARP ne semblent pas quitter le châssis, comme cela est révélé lorsqu'un analyseur de port commuté (SPAN) est exécuté sur le commutateur externe dans lequel les interfaces de châssis respectives attribuées au LINA sont connectées.

Par exemple :

firepower# show capture arp

4 packets captured

   1: 14:43:44.185872       arp who-has 10.255.255.1 tell 10.255.255.2   
   2: 14:43:44.186132       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f
   3: 14:43:45.205906       arp who-has 10.255.255.1 tell 10.255.255.2
   4: 14:43:45.206166       arp reply 10.255.255.1 is-at b0:8b:cf:8c:61:4f

Où 10.255.255.2 est l'adresse IP d'un hôte externe qui envoie des requêtes ARP à 10.255.255.1, qui appartient à l'une des interfaces de données LINA.

Les réponses ARP qui sont considérées comme transmises par le LINA lors de sa capture ne sont jamais réellement vues quitter le port du châssis physique respectif.

2. Les compteurs d’interface FXOS pour les paquets TX n’incrémentent pas.

Tout comme le symptôme où les hôtes externes ne reçoivent jamais de paquets de l'appliance affectée, comme le prouve tous les paquets envoyés par la LINA ne quittent pas le châssis, nous avons le symptôme où les compteurs de ports externes pour les paquets transmis (TX) n'incrémentent pas.

Dans cet exemple, l’interface concernée est Ethernet1/12. Une vérification des compteurs de l’interface FXOS (Firepower eXtensible Operating System) pour les paquets TX a montré que les compteurs n’avaient jamais été incrémentés, malgré l’indication du LINA que ces paquets avaient été transmis au commutateur interne du châssis.

firepower# scope eth-uplink
firepower/eth-uplink # scope fabric
firepower/eth-uplink/fabric # scope interface 1 12   <<< interface Eth1/12
firepower/eth-uplink/fabric/interface # show stats ether-tx-stats
Ether Tx Stats:
    Time Collected: 2021-12-09T17:29:45.621   <<< first execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

firepower/eth-uplink/fabric/interface # show stat ether-tx-stats

Ether Tx Stats:
    Time Collected: 2021-12-09T17:30:15.726   <<< second execution of the command
    Monitored Object: sys/switch-A/slot-1/switch-ether/port-8
    Suspect: No
    Total Packets (packets): 4823522   <<< Counter of packets transmitted (No delta seen)
    Unicast Packets (packets): 4823515
    Multicast Packets (packets): 0
    Broadcast Packets (packets): 7
    Total Bytes (bytes): 606771974
    Jumbo Packets (packets): 0
    Thresholded: 0

3. Abandon sur l'interface de fond de panier/données interne entre le commutateur de châssis interne et ASA/LINA.

Interface Internal1/3 est utilisé comme interface de fond de panier/liaison ascendante entre le commutateur sur le périphérique logique qui s'exécute sur le châssis.

firepower# 
firepower# connect local-mgmt 
firepower(local-mgmt)# show portmanager counters internal 1 3   <<< first execution of the command
Good Octets Received : 23510696205
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729185
Bad Packets Received : 0
BRDC Packets Received : 1704250
MC Packets Received : 320755
Size 64 : 21746457
Size 65 to 127 : 112073389
Size 128 to 255 : 7536865
Size 256 to 511 : 3053841
Size 512 to 1023 : 2490597
Size 1024 to Max : 0
Good Octets Sent : 27203100553
Good Packets Sent : 122656923
Excessive Collision : 0
MC Packets Sent : 1095115
BRDC Packets Sent : 90585686
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837069
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704180
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1

firepower(local-mgmt)# show portmanager counters internal 1 3 <<< second execution of the command
Good Octets Received : 23510700469
Bad Octets Received : 0
MAC Transmit Error : 0
Good Packets Received : 49729250     >>>> 49729250 – 49729185 = 65 packets received from FTD
Bad Packets Received : 0
BRDC Packets Received : 1704261
MC Packets Received : 320759
Size 64 : 21746518
Size 65 to 127 : 112074355
Size 128 to 255 : 7536866
Size 256 to 511 : 3053847
Size 512 to 1023 : 2490606
Size 1024 to Max : 0
Good Octets Sent : 27203179868
Good Packets Sent : 122657901
Excessive Collision : 0
MC Packets Sent : 1095130
BRDC Packets Sent : 90586649
Unrecognized MAC Received : 0
FC Sent : 0
Good FC Received : 0
Drop Events : 16837134   >>>>> 16837134 – 16837069 = 65 packets dropped (matching above counter)
Undersize Packets : 0
Fragments Packets : 0
Oversize Packets : 0
Jabber Packets : 0
MAC RX Error Packets Received : 0
Bad CRC : 0
Collisions : 0
Late Collision : 0
bad FC Received : 0
Good UC Packets Received : 47704230
Good UC Packets Sent : 30976122
Multiple Packets Sent : 0
Deferred Packets Sent : 0
Size 1024 to 15180 : 0
Size 1519 to Max : 0
txqFilterDisc : 0
linkChange : 1
firepower(local-mgmt)# 

Note: Dans un environnement de trafic actif, la vérification du compteur d'interface peut être difficile en raison du bruit. Vérifiez d'abord le mode bidirectionnel non simultané et corrigez-le.

Déclencheur de symptômes

Une vérification de l'état des interfaces actives indique que l'une des interfaces de données actives/actives est en mode bidirectionnel non simultané, ce qui est rare en général. 

firepower# 
firepower# connect local-mgmt 
firepower(local-mgmt)# show portmanager switch status 

Dev/Port      Mode         Link  Speed Duplex Loopback Mode
--------- ---------------- ----- ----- ------ -------------

0/0          QSGMII        Down   1G    Half   None 
0/1          QSGMII         Up    1G    Full   None 
0/2          QSGMII        Down   1G    Half   None 
0/3          QSGMII        Down   1G    Half   None 
0/4          QSGMII        Down   1G    Half   None 
0/5          QSGMII        Down   1G    Half   None 
0/6          QSGMII         Up    100   Half   None    <<<<< Up and Half-duplex
0/7          QSGMII        Down   1G    Half   None 
0/8          QSGMII        Down   1G    Half   None 
0/9          QSGMII         Up    1G    Full   None 
0/10         QSGMII         Up    1G    Full   None 
0/11         QSGMII         Up    1G    Full   None 
0/12         QSGMII         Up    1G    Full   None 
0/13         QSGMII        Down   10    Half   None 
0/14         QSGMII        Down   10    Half   None 
0/15         QSGMII        Down   10    Half   None 
0/16          n/a          Down   n/a   Full   N/A 
0/17          n/a          Down   n/a   Full   N/A 
0/18          n/a          Down   n/a   Full   N/A 
0/19          n/a          Down   n/a   Full   N/A 
0/20          n/a          Down   n/a   Full   N/A 
0/21          n/a          Down   n/a   Full   N/A 
0/22          n/a          Down   n/a   Full   N/A 
0/23          n/a          Down   n/a   Full   N/A 
0/24          KR            Up    10G   Full   None 
0/25          KR            Up    10G   Full   None 
0/26          KR           Down   10G   Full   None 
0/27          KR            Up    10G   Full   None 

Ce tableau fournit le mappage de l'interface du châssis physique au numéro de port du commutateur interne. Ce mappage est nécessaire pour comprendre le résultat de la commande show portmanager switch status. D'après le tableau, nous pouvons voir que pour le port de commutateur interne ID 0/6 (vu sur la sortie précédente de show portmanager switch status), le port de châssis physique associé est Ethernet1/8.

Interface Name	Internal Switch Port (2110/2120)	Internal Switch Port (2130/2140) 
Ethernet 1/1	               1	                 1 
Ethernet 1/2	               0	                 0 
Ethernet 1/3	               3	                 3 
Ethernet 1/4	               2	                 2 
Ethernet 1/5	               5	                 5 
Ethernet 1/6	               4	                 4 
Ethernet 1/7	               7	                 7 
Ethernet 1/8	               6	                 6 
Ethernet 1/9	               9	                 49 
Ethernet 1/10	               8	                 48 
Ethernet 1/11	               11	                 51 
Ethernet 1/12	               10	                 50 
Ethernet 1/13	               12	                 59 
Ethernet 1/14	               13	                 58 
Ethernet 1/15	               14	                 57 
Ethernet 1/16	               15	                 56 
Ethernet 2/1	               N/A	                 70 
Ethernet 2/2	               N/A	                 71 
Ethernet 2/3	               N/A	                 69 
Ethernet 2/4	               N/A	                 68 
Ethernet 2/5	               N/A	                 66 
Ethernet 2/6	               N/A	                 67 
Ethernet 2/7	               N/A	                 65 
Ethernet 2/8	               N/A	                 64 
Internal 1/1 	               26	                 81 (Eventing Port - NOT visible at Service Manager) 
Internal 1/2 	               27	                 80 (Unused - NOT visible at Service Manager) 
Internal 1/3 	 	       24    	                 52 (Internal backplane uplink to logical device, whether ASA or FTD) 

Options permettant d'atténuer le déclenchement et de restaurer l'appliance

La correction de toute non-correspondance de mode duplex est la seule façon d'empêcher l'effet secondaire observé sur l'interface de fond de panier, et cela peut être fait par l'une de ces méthodes et un rechargement de l'appliance.

1. Si le périphérique homologue n'est pas configuré avec le mode bidirectionnel automatique, sélectionnez Auto (méthode préférée).

2. S’il n’y a pas d’accès de gestion au périphérique homologue :

   2.1. Pour FTD géré par Firepower Management Center (FMC), désactivez l’option Auto-Negotiation sous Edit Physical Interface sur FMC.

   2.2. Pour le FTD géré par Firepower Device Manager (FDM), changez l'option Duplex de Auto à Full sous Interface Advanced Options.

   2.3. Pour ASA, désactivez la négociation automatique duplex à partir du niveau du châssis comme suit : 

firepower /eth-uplink # scope 
firepower /eth-uplink # scope fabric a
firepower /eth-uplink/fabric # scope interface 1 1
firepower /eth-uplink/fabric/interface # set auto-negotiation
no No
yes Yes

firepower /eth-uplink/fabric/interface # set auto-negotiation no
firepower /eth-uplink/fabric/interface* # commit-buffer
firepower /eth-uplink/fabric/interface #

Note: Les méthodes répertoriées à l'étape 2 sont des options théoriques qui peuvent fonctionner dans des conditions normales.

3. Connectez l’interface Firepower en mode bidirectionnel non simultané à un autre commutateur prenant en charge la négociation automatique des paramètres bidirectionnels ou configurez le port du commutateur pour activer la négociation automatique des paramètres bidirectionnels.

Note: Un rechargement de l'ensemble de l'appliance est toujours nécessaire après l'exécution de l'une des étapes, afin de récupérer l'interface de fond de panier de son état défaillant.

Informations d'ID de bogue Cisco

Ce bogue a été généré pour suivre une résolution logicielle du symptôme dans lequel l'interface interne1/3 du fond de panier est incapable de traiter tout trafic reçu du LINA après un certain temps.

Le bogue Cisco ayant l'ID CSCwa7915 sur le port physique en mode bidirectionnel non simultané entraîne l'abandon de tous les paquets LINA par le châssis.