Firepower 어플라이언스에서 포트 채널 구성 및 확인
목차
소개
이 문서에서는 Firepower 어플라이언스에서 포트 채널을 구성, 확인 및 문제 해결하는 방법을 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- FMC(Firepower Management Center)
- FCM(Firepower Chassis Manager)
- FXOS(Firepower eXtensible Operating System)
- FTD(Firepower Threat Defense)
- EC(EtherChannel)
참고: 이 문서에서는 EtherChannel과 포트 채널(PC)이라는 용어를 혼용하여 사용합니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- FXOS 2.2(2.17)에서 FPR4120 2개, FTD 6.2.0.2.51
- FXOS 2.1(0.159)에서 FPR4110 1개, FTD 6.1.0.330
- FTD 6.2.1의 FPR2110 1개(빌드 341)
- FTD 6.5.0에서 FPR1150 1개
- WS-C3750X-24 on15.2(4)E5
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
이 문서에서는 Firepower 어플라이언스(FPR1xxx, FPR21xx, FPR41xx)의 포트 채널 구성, 확인 및 문제 해결에 대해 설명합니다. 문서 컨피그레이션 예는 FTD(Firepower Threat Defense)를 기반으로 하지만, ASA(Adaptive Security Appliance)에도 많은 개념(예: 확인 및 문제 해결)이 완벽하게 적용됩니다.
구성
FPR4100/FPR9300의 포트 채널
네트워크 다이어그램
FXOS 사용자 인터페이스에서 포트 채널 구성(FPR4100/FPR9300)
Firepower 어플라이언스의 FTD 포트 채널은 FXOS 코드로 관리됩니다. FPR4100/FPR9300에서는 Firepower Chassis Manager에서 구성이 실시됩니다.
포트 채널은 논리적 디바이스에 할당될 때까지 중단(실패 상태)됩니다.
논리적 디바이스에 포트 채널 할당:
결과:
중요 사항
- FXOS 2.4.x 릴리스 이전의 경우 FPR4100/FPR9300은 LACP만 지원합니다(Mode ON 또는 PAGP 없음). FXOS 2.4.1.101부터는 Mode ON이 데이터 및 데이터 공유 EtherChannel에 대해 지원됩니다.
- 포트 채널에 추가할 인터페이스가 논리적 디바이스에 이미 추가되어 있지 않은지 확인하십시오. 이 경우 Port-Channel을 추가할 때 인터페이스에 표시되지 않습니다.
- 개별 포트 채널 멤버는 활성화/비활성화할 수 없으며 포트 채널 자체만 활성화/비활성화할 수 있습니다.
- 논리적 디바이스(예: ASA 또는 FTD)에서 사용되는 포트 채널은 삭제할 수 없습니다. 먼저 연결을 해제해야 합니다.
- 포트 채널은 논리적 디바이스에 할당될 때까지 나타나지 않습니다. EtherChannel이 논리적 디바이스에서 제거되거나 논리적 디바이스가 삭제된 경우, 포트 채널은 일시 중단 상태로 전환됩니다.
- 최상의 호환성을 위해 Active(활성) 모드로 연결되는 스위치 포트를 설정합니다.
스위치 구성
스위치를 구성할 때 포트 채널 불안정성을 방지하려면 다음을 수행하는 것이 좋습니다.
- interface range 명령을 사용합니다.
- 포트 채널 작업에 영향을 주는 변경 사항을 적용하기 전에(예: 포트 채널 모드가 변경된 경우) 포트 채널 인터페이스 멤버를 종료합니다.
예
Switch(config)# interface range g1/0/2 - 3 Switch(config-if-range)# shutdown Switch(config-if-range)# switchport trunk encapsulation dot1q Switch(config-if-range)# switchport mode trunk Switch(config-if-range)# channel-group 5 mode active Switch(config-if-range)# no shutdown
참고: 자세한 내용은 스위치 모델 컨피그레이션 가이드 섹션을 참조하십시오.
FXOS CLI에서 포트 채널 구성(FPR4100/FPR9300)
1단계. FTD 논리적 디바이스에 이미 할당된 인터페이스를 확인합니다.
FP4110-7-A# scope ssa
FP4110-7-A /ssa # show logical-device
Logical Device:
Name Description Slot ID Mode Oper State Template Name
---------- ----------- ---------- ---------- ------------------------ -------------
mzafeiro_FTD 1 Standalone Ok ftd
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
2단계. 섀시 인터페이스를 확인합니다.
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
--------------- ------------------ ----------- ---------------- ------------
Ethernet1/1 Mgmt Enabled Up
Ethernet1/2 Data Disabled Admin Down Administratively down
Ethernet1/3 Data Disabled Admin Down Administratively down
Ethernet1/4 Data Disabled Failed SFP checksum error
Ethernet1/5 Data Disabled Sfp Not Present Unknown
Ethernet1/6 Data Disabled Sfp Not Present Unknown
Ethernet1/7 Data Disabled Sfp Not Present Unknown
Ethernet1/8 Data Disabled Sfp Not Present Unknown
Ethernet3/1 Data Disabled Admin Down Administratively down
Ethernet3/2 Data Disabled Admin Down Administratively down
Ethernet3/3 Data Disabled Admin Down Administratively down
Ethernet3/4 Data Disabled Admin Down Administratively down
Ethernet3/5 Data Disabled Admin Down Administratively down
Ethernet3/6 Data Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
48 Port-channel48 Cluster Disabled Admin Down Administratively down
3단계. Port-Channel을 생성합니다.
bsns-4110-2-A# scope eth-uplink bsns-4110-2-A /eth-uplink # scope fabric a bsns-4110-2-A /eth-uplink/fabric # create port-channel 15 bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/5 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # create member-port Ethernet1/6 bsns-4110-2-A /eth-uplink/fabric/port-channel/member-port* # exit bsns-4110-2-A /eth-uplink/fabric/port-channel* # set port-type data bsns-4110-2-A /eth-uplink/fabric/port-channel* # set speed 1gbps bsns-4110-2-A /eth-uplink/fabric/port-channel* # enable bsns-4110-2-A /eth-uplink/fabric/port-channel* # commit-buffer
4단계. 인터페이스를 FTD 논리적 디바이스에 할당합니다.
FP4110-7-A# scope ssa FP4110-7-A /ssa # scope logical-device mzafeiro_FTD FP4110-7-A /ssa/logical-device # create external-port-link PC15_ftd Port-channel15 ftd FP4110-7-A /ssa/logical-device/external-port-link* # commit-buffer FP4110-7-A /ssa/logical-device/external-port-link #
확인
FP4110-7-A# scope ssa
FP4110-7-A /ssa # scope logical-device mzafeiro_FTD
FP4110-7-A /ssa/logical-device # show external-port-link
External-Port Link:
Name Port or Port Channel Name App Name Description
--------------- ------------------------- ---------- -----------
Ethernet11_ftd Ethernet1/1 ftd
Ethernet16_ftd Ethernet1/6 ftd
PC15_ftd Port-channel15 ftd
FP4110-7-A# scope eth-uplink
FP4110-7-A /eth-uplink # scope fabric a
FP4110-7-A /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
15 Port-channel15 Data Enabled Up
48 Port-channel48 Cluster Disabled Admin Down Administratively down
FP4110-7-A /eth-uplink/fabric # enter port-channel 15
FP4110-7-A /eth-uplink/fabric/port-channel # show member-port
Member Port:
Port Name Membership Oper State State Reason
--------------- ------------------ ---------------- ------------
Ethernet1/2 Up Up
Ethernet1/3 Up Up
FXOS CLI(FPR4100/FPR9300)에서 Port-Channel을 삭제합니다.
FP4110-7-A# scope eth-uplink FP4110-7-A /eth-uplink # scope fabric a FP4110-7-A /eth-uplink/fabric # delete port-channel 15 FP4110-7-A /eth-uplink/fabric* # commit-buffer
FPR21xx/FPR1xxx의 포트 채널
네트워크 다이어그램
FPR21xx/FPR1xxx 어플라이언스의 FTD 포트 채널은 FXOS 코드로 관리되지만 FTD 및 FXOS 코드가 하나의 소프트웨어 번들에 통합되어 있으므로 FMC에서 구성이 이루어집니다.
모드(LACP 활성 또는 ON)는 Advanced(고급) 탭에서 구성됩니다.
Hardware Configuration(하드웨어 구성) 탭에서 듀플렉스 및 속도 설정을 구성합니다.
참고: FPR2100에서는 ASA를 논리적 디바이스로 사용하지 않는 한 FXOS CLI에서 포트 채널을 생성할 수 없습니다. ASA 9.13.x 이후에서는 플랫폼 모드에서만 이 기능을 사용할 수 있습니다. 어플라이언스 모드(11xx/21xx)에는 FCM이 없으며 모든 인터페이스 구성이 ASA CLI에서 직접 이루어집니다.
Fp2110 /eth-uplink/fabric* # create port-channel 16 Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/10 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # create member-port Ethernet1/11 Fp2110 /eth-uplink/fabric/port-channel/member-port* # exit Fp2110 /eth-uplink/fabric/port-channel* # commit-buffer Error: Changes not allowed. use: 'connect ftd' to make changes.
물리적 인터페이스가 중단된 상태에서 활성화하려는 경우 다음을 수행합니다.
firepower-2110# scope eth-uplink
firepower-2110 /eth-uplink # scope fabric a
firepower-2110 /eth-uplink/fabric # show interface
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/3 Data Enabled Up Up
Ethernet1/4 Data Disabled Link Down Down
Ethernet1/5 Data Disabled Link Down Down
Ethernet1/6 Data Disabled Link Down Down
Ethernet1/7 Data Disabled Link Down Down
Ethernet1/8 Data Disabled Link Down Down
Ethernet1/9 Data Disabled Link Down Down
Ethernet1/10 Data Disabled Link Down Down
Ethernet1/11 Data Disabled Link Down Down
Ethernet1/12 Data Disabled Link Down Down
Ethernet1/13 Data Disabled Link Down Down
Ethernet1/14 Data Disabled Link Down Down
Ethernet1/15 Data Disabled Link Down Down
Ethernet1/16 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric # enter interface Ethernet1/4
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Disabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface # enable
firepower-2110 /eth-uplink/fabric/interface* # commit-buffer
firepower-2110 /eth-uplink/fabric/interface # show
Interface:
Port Name Port Type Admin State Oper State State Reason
-------------- ------------------ ----------- ---------------- ------------
Ethernet1/4 Data Enabled Link Down Down
firepower-2110 /eth-uplink/fabric/interface #
FDM 구성
다음 토폴로지를 고려하십시오.
6.5 소프트웨어 릴리스부터 FDM을 사용하는 EtherChannel 인터페이스를 구성할 수 있습니다. Device(디바이스) > Interfaces(인터페이스) > EtherChannel로 이동하고 EtherChannel을 추가합니다. 이 경우 EtherChannel은 트렁크이므로 EtherChannel ID를 지정하고 (상태)로 활성화한 다음 멤버를 추가합니다. EtherChannel은 LACP 활성 및 Mode On(LACP 없음)을 지원합니다. 이 경우에는 LACP 활성 모드가 구성됩니다.
하위 인터페이스 추가:
결과:
예상되는 변경 사항을 구축합니다.
다음을 확인합니다.
FPR4100/FPR9300에서 포트 채널 확인
네트워크 다이어그램
FTD(또는 ASA)는 포트 채널 개별 멤버를 인식하지 않습니다. 논리적 인터페이스(하위 인터페이스)는 FMC에서 구성됩니다.
> system support diagnostic-cli firepower# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/0 unassigned YES unset up up Internal-Data0/1 unassigned YES unset up up Internal-Data0/2 169.254.1.1 YES unset up up Port-channel15 unassigned YES unset up up
firepower# show nameif Interface Name Security Port-channel15 INSIDE 0 Ethernet1/1 diagnostic 0
firepower# show interface Port-channel15 detail
Interface Port-channel15 "INSIDE", is up, line protocol is up
Hardware is EtherSVI, BW 20000 Mbps, DLY 1000 usec
MAC address 2c33.118e.07de, MTU 1500
IP address unassigned
Traffic Statistics for "INSIDE":
6767 packets input, 566328 bytes
0 packets output, 0 bytes
6736 packets dropped
1 minute input rate 4 pkts/sec, 375 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 4 pkts/sec
5 minute input rate 4 pkts/sec, 401 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 4 pkts/sec
Control Point Interface States:
Interface number is 6
Interface config status is active
Interface state is active
Port-Channel 및 해당 멤버의 상태를 확인하려면 FXOS 모드로 이동합니다.
FP4110-7-A# connect fxos
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
48 Po48(SD) Eth NONE --
마지막 상태 기록과 함께 포트 채널의 상태 확인:
FP4110-7-A(fxos)# show port-channel database
port-channel15
Last membership update is successful
2 ports in total, 2 ports up
First operational port is Ethernet1/3
Age of the port-channel is 0d:00h:35m:00s
Time since last bundle is 0d:00h:34m:56s
Last bundled member is Ethernet1/3
Ports: Ethernet1/2 [active ] [up]
Ethernet1/3 [active ] [up] *
port-channel48
Last membership update is successful
0 ports in total, 0 ports up
Age of the port-channel is 5d:06h:35m:27s
포트 채널 인터페이스 멤버 간의 트래픽 배포 확인:
FP4110-7-A(fxos)# show port-channel traffic
ChanId Port Rx-Ucst Tx-Ucst Rx-Mcst Tx-Mcst Rx-Bcst Tx-Bcst
------ --------- ------- ------- ------- ------- ------- -------
15 Eth1/2 20.83% 49.71% 17.75% 43.67% 20.11% 49.94%
15 Eth1/3 79.16% 50.28% 82.24% 56.32% 79.88% 50.05%
LACP 네이버 확인
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 1984 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,28-6f-7f-ec-59-800x104 2221 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3f
Partner Oper Key 0x5 = 스위치가 Port-Channel ID 5로 구성됩니다.
스위치에서:
Switch# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group 5 neighbors
Partner's information:
LACP port Admin Oper Port Port
Port Flags Priority Dev ID Age key Key Number State
Gi1/0/2 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x42 0x3F
Gi1/0/3 FA 32768 2c33.118e.07b3 0s 0x0 0xE 0x43 0x3F
참고: FXOS가 포트 채널 ID 15로 구성되어 있지만 인접한 스위치에서는 Partner Oper Key가 0xE(14)로 표시됩니다.
Wireshark의 LACP 패킷 캡처:
| 파트너 상태 |
||||||||
| 상태 |
Expired(만료됨) |
Defaulted(기본값 지정됨) |
Distributed(분산됨) |
수집됨 |
Synchronization(동기화) |
Aggregation(어그리게이션) |
LACP Timeout(LACP 시간 초과) |
LACP Activity(LACP 활동) |
| 가치 |
0 |
0 |
1 |
1 |
1 |
1 |
1 |
1 |
| 16진수 |
3 |
f |
||||||
FPR21xx/FPR1xxx에서 포트 채널 확인
네트워크 다이어그램
포트 채널 기본 확인
> connect fxos
FP2110-2# connect local-mgmt
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth LACP Eth1/1(P) Eth1/2(P)
추가 확인:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # show port-channel
Port Channel:
Port Channel Id Name Port Type Admin State Oper State State Reason
--------------- ---------------- ------------------ ----------- ---------------- ------------
11 Port-channel11 Data Enabled Up Up
포트 채널 세부 정보 확인:
FP2110-2 /eth-uplink/fabric # show port-channel detail
Port Channel:
Port Channel Id: 11
Name: Port-channel11
Port Type: Data
Description:
Admin State: Enabled
Oper State: Up
Auto negotiation: Yes
Speed: 1 Gbps
Duplex: Full Duplex
Oper Speed: 1 Gbps
Band Width (Gbps): 2
State Reason: Up
flow control policy: default
LACP policy name: default
oper LACP policy name: org-root/lacp-default
Lacp Mode: Active
Inline Pair Admin State: Enabled
Inline Pair Peer Port Name:
포트 채널 멤버 세부 정보 확인:
FP2110-2# scope eth-uplink
FP2110-2 /eth-uplink # scope fabric a
FP2110-2 /eth-uplink/fabric # scope port-channel 11 FP2110-2 /eth-uplink/fabric/port-channel # show member-port Member Port: Port Name Membership Oper State State Reason --------------- ------------------ ---------------- ------------ Ethernet1/1 Up Up Up Ethernet1/2 Up Up Up
멤버 포트 세부 정보:
FP2110-2 /eth-uplink/fabric/port-channel # show member-port detail
Member Port:
Port Name: Ethernet1/1
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
Port Name: Ethernet1/2
Membership: Up
Oper State: Up
State Reason: Up
Ethernet Link Profile name: default
Oper Ethernet Link Profile name: fabric/lan/eth-link-prof-default
Udld Oper State: Unknown
Current Task:
LACP 확인
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 13 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 5 s FA <-- the peer is requesting Fast Rate
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
참고: FPR21xx/FPR1xxx에서는 기본 LACP 속도가 느리고 변경할 수 없습니다.
LACP 카운터
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4436 3532 0 0 0 0 0
Eth1/2 4567 3532 0 0 0 0 0
FPR2100 인터페이스 확인
물리적 인터페이스가 FPR2100 내부 스위치에 매핑되는 방식:
| 인터페이스 |
FPR2110/FPR2120의 내부 스위치 |
FPR2130/FPR2140의 내부 스위치 |
| E1/1 |
1 |
1 |
| E2/1 |
0 |
0 |
| E1/3 |
3 |
3 |
| E1/4 |
2 |
2 |
| E1/5 |
5 |
5 |
| E1/6 |
4 |
4 |
| E1/7 |
7 |
7 |
| E1/8 |
6 |
6 |
| E1/9 |
9 |
49 |
| E1/10 |
8 |
48 |
| E1/11 |
11 |
51 |
| E1/12 |
10 |
50 |
| E1/13 |
12 |
59 |
| E1/14 |
13 |
58 |
| E1/15 |
14 |
57 |
| E1/16 |
15 |
56 |
| E2/1 |
- |
70 |
| E2/2 |
- |
71 |
| E2/3 |
- |
69 |
| E2/4 |
- |
68 |
| E2/5 |
- |
66 |
| E2/6 |
- |
67 |
| E2/7 |
- |
65 |
| E2/8 |
- |
64 |
물리적 인터페이스 상태 확인:
FP2110-2(local-mgmt)# show portmanager port-info ethernet 1 1
port_info:
if_index: 0x1081000
type: PORTMGR_IPC_MSG_PORT_TYPE_PHYSICAL
mac_address: 70:df:2f:18:d8:04
flowctl: PORTMGR_IPC_MSG_FLOWCTL_NONE
role: PORTMGR_IPC_MSG_PORT_ROLE_NPU
admin_state: PORTMGR_IPC_MSG_PORT_STATE_ENABLED
oper_state: PORTMGR_IPC_MSG_PORT_STATE_UP
admin_speed: PORTMGR_IPC_MSG_SPEED_AUTO
oper_speed: PORTMGR_IPC_MSG_SPEED_1GB
admin_mtu: 9216
admin_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
oper_duplex: PORTMGR_IPC_MSG_PORT_DUPLEX_FULL
pc_if_index: 0x200000b
pc_membership_status: PORTMGR_IPC_MSG_MMBR_UP
pc_protocol: PORTMGR_IPC_MSG_PORT_CHANNEL_PRTCL_LACP_ACTIVE
native_vlan: 1011
num_allowed_vlan: 1
allowed_vlan[0]: 1011
물리적 인터페이스 카운터:
FP2110-2(local-mgmt)# show portmanager counters ethernet 1 1 Good Octets Received : 2692986 Bad Octets Received : 0 MAC Transmit Error : 0 Good Packets Received : 37038 Bad Packets Received : 0 BRDC Packets Received : 22290 MC Packets Received : 12538 Size 64 : 34193 Size 65 to 127 : 1531 Size 128 to 255 : 1515 Size 256 to 511 : 374 Size 512 to 1023 : 95 Size 1024 to Max : 0 Good Octets Sent : 87296 Good Packets Sent : 682 Excessive Collision : 0 MC Packets Sent : 682 BRDC Packets Sent : 0 Unrecognized MAC Received : 0 FC Sent : 0 Good FC Received : 0 Drop Events : 0 Undersize Packets : 0 Fragments Packets : 0 Oversize Packets : 0 Jabber Packets : 0 MAC RX Error Packets Received : 0 Bad CRC : 0 Collisions : 0
FPR2100 내부 스위치 MAC 테이블.
참고: 01:80:C2:00:00:02 = LACP
FP2110-2(local-mgmt)# show portmanager switch mac-filters
port ix MAC mask action packets bytes
00 03e 70:DF:2F:18:D8:05 FF:FF:FF:FF:FF:FF FORWARD
043 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
044 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
045 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 5501 385360
3d0 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2101 141426
3e8 01:00:00:00:00:00 01:00:00:00:00:00 DROP 7946 1524820
01 03f 70:DF:2F:18:D8:04 FF:FF:FF:FF:FF:FF FORWARD
040 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD 687 87936
041 70:DF:2F:18:D8:2D FF:FF:FF:FF:FF:FF FORWARD
042 FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD 22351 1451504
3d1 00:00:00:00:00:00 01:00:00:00:00:00 DROP 2215 154542
3e9 01:00:00:00:00:00 01:00:00:00:00:00 DROP 11886 1006067
02 03c 70:DF:2F:18:D8:07 FF:FF:FF:FF:FF:FF FORWARD
049 01:80:C2:00:00:02 FF:FF:FF:FF:FF:FF FORWARD
04a 70:DF:2F:18:D8:6D FF:FF:FF:FF:FF:FF FORWARD
04b FF:FF:FF:FF:FF:FF FF:FF:FF:FF:FF:FF FORWARD
3d2 00:00:00:00:00:00 01:00:00:00:00:00 DROP
3ea 01:00:00:00:00:00 01:00:00:00:00:00 DROP
포트 e1/1 및 e1/2는 내부 스위치의 0/0 및 0/1에 해당합니다.
FP2110-2(local-mgmt)# show portmanager switch status Dev/Port Mode Link Speed Duplex Loopback Mode --------- ---------------- ----- ----- ------ ------------- 0/0 QSGMII Up 1G Full None 0/1 QSGMII Up 1G Full None 0/2 QSGMII Down 1G Half None 0/3 QSGMII Down 1G Half None 0/4 QSGMII Down 1G Half None 0/5 QSGMII Down 1G Half None 0/6 QSGMII Down 1G Half None 0/7 QSGMII Down 1G Half None 0/8 QSGMII Down 1G Half None 0/9 QSGMII Down 1G Half None 0/10 QSGMII Down 1G Half None 0/11 QSGMII Down 1G Half None 0/12 QSGMII Down 10 Half None 0/13 QSGMII Down 10 Half None 0/14 QSGMII Down 10 Half None 0/15 QSGMII Down 10 Half None 0/16 n/a Down n/a Full N/A 0/17 n/a Down n/a Full N/A 0/18 n/a Down n/a Full N/A 0/19 n/a Down n/a Full N/A 0/20 n/a Down n/a Full N/A 0/21 n/a Down n/a Full N/A 0/22 n/a Down n/a Full N/A 0/23 n/a Down n/a Full N/A 0/24 KR Up 10G Full None 0/25 KR Up 10G Full None 0/26 KR Down 10G Full None 0/27 KR Up 10G Full None
문제 해결
LACP 개요
LACP 사실:
- IEEE 표준(802.3ad) LACP(Link Aggregation Control Protocol)는 포트 채널 협상에 사용되는 L2 프로토콜입니다.
- LACP는 대상 MAC 0180.c200.0002 및 이더넷 유형 0x8809를 사용합니다.
- LACP 및 Mode On(LACP 없음)은 Firepower 어플라이언스에서 지원되는 유일한 모드입니다(Mode On은 2.4.x FXOS 릴리스의 FP4100/FP9300에서 추가되었음).
- LACP는 2가지 모드(활성 또는 수동) 중 하나로 구성할 수 있습니다. FXOS는 항상 활성 모드를 사용합니다.
- LACP의 주요 목표는 포트 채널의 잘못된 구성을 방지하는 것입니다.
- LACP PC를 가동하려면 포트 채널 인터페이스 멤버에 동일한 속도/듀플렉스 설정이 있어야 합니다. FXOS에서는 포트 채널 레벨에서 속도를 설정합니다.
- LACP 수행자 = 로컬 디바이스
- LACP 파트너 = 원격 디바이스
- 각 디바이스에는 일반적으로 섀시의 MAC인 LACP 시스템 ID가 있습니다. LACP 시스템 ID는 각 LACP 패킷 내에서 전송됩니다.
- 각 LACP 패킷의 크기는 최대 110바이트입니다.
- LACP는 빠른 속도 또는 느린(정상) 속도로 작동할 수 있습니다. FXOS의 경우 기본값은 빠른 속도(항상 느린 속도인 1xxx/21xx 제외)이지만 느린 속도로 구성할 수도 있습니다. 스위치 측의 LACP 모드는 사용되는 스위치 모델 및 SW에 따라 달라집니다. 예를 들어 Cat3750은 15.2(4)E부터 느린 속도와 빠른 속도를 모두 지원합니다. 자세한 내용은 스위치 확인 가이드를 확인하십시오.
- LACP 탐지 기간에는 LACP 속도가 무엇이든 1초마다 LACP가 전송됩니다. 인터페이스가 가동 상태가 되면 LACP 속도는 LACP 킵얼라이브 간격에만 영향을 미칩니다.
LACP Keepalive의 이점
LACP 킵얼라이브는 원격 인터페이스가 더 이상 작동하지 않지만 여전히 가동 중인 경우(직접 장애가 탐지되지 않은 경우)에 유용합니다. 드라이버/L2 문제의 경우이거나 경로에 원격 링크 장애의 탐지를 허용하지 않는 일부 디바이스(예: IPS)가 있는 경우일 수 있습니다. LACP Keepalive의 피어 속도 x 3의 시간 제한이 있습니다. 예를 들어 원격 피어가 1초마다 전송하는 경우 3초 내에 LACP 패킷이 수신되지 않으면 로컬 디바이스가 원격 피어를 아래로 선언합니다. 느린 속도의 경우에는 90초 후입니다.
Wireshark에 표시된 LACP 패킷의 모든 필드:
참고: 포트 채널이 FTD에서 종료되면 FXOS 캡처는 LACP 패킷(인그레스 또는 이그레스)을 표시하지 않습니다.
LACP 빠른 속도 및 느린 속도
일반적으로 양쪽 모두에서 빠른 속도를 사용하는 것이 좋습니다(4100/9300에서 FXOS는 기본적으로 빠른 속도를 사용, FPR2100에서는 기본 LACP 전송 속도가 느린 속도임). LACP 속도가 빠르면 포트 채널 번들링 속도가 증가할 수 있습니다.
| 느린 속도로 구성된 FXOS |
빠른 속도로 구성된 FXOS |
|
| 느린 속도로 구성된 스위치 |
스위치에서 느린 속도 요청 FXOS에서 느린 속도 요청 스위치에서 30초에 1개 LACP 전송 FXOS에서 30초에 1개 LACP 전송 |
스위치에서 느린 속도 요청 FXOS에서 빠른 속도 요청 스위치에서 1초에 1개 LACP 전송 FXOS에서 30초에 1개 LACP 전송 |
| 빠른 속도로 구성된 스위치 |
스위치에서 빠른 속도 요청 FXOS에서 느린 속도 요청 스위치에서 30초에 1개 LACP 전송 FXOS에서 1초에 1개 LACP 전송 |
스위치에서 빠른 속도 요청 FXOS에서 빠른 속도 요청 스위치에서 1초에 1개 LACP 전송 FXOS에서 1초에 1개 LACP 전송 |
FXOS에서 LACP 모드 구성(41xx/93xx):
KSEC-FPR4100-1# scope org
KSEC-FPR4100-1 /org # show lacppolicy
LACP policy:
Name LACP rate
---------- ---------
default Fast
KSEC-FPR4100-1 /org # scope lacppolicy default
KSEC-FPR4100-1 /org/lacppolicy # set lacp-rate
fast lacp rate fast
normal lacp rate normal
FPR4100/FPR9300에서 포트 채널 문제 해결
네트워크 다이어그램
FPR4100 및 FPR9300 섀시에는 포트 채널이 종료되는 내부 스위치가 포함되어 있습니다. 내부 스위치는 Nexus 5K와 유사하며 FXOS는 LACP만 지원하므로 문제 해결 방식은 Nexus 5K와 유사합니다.
확인 1 - 포트 채널 상태를 확인합니다.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SU) Eth LACP Eth1/2(P) Eth1/3(P)
FXOS 인터페이스 상태 확인:
FP4110-7-A(fxos)# show interface brief -------------------------------------------------------------------------------- Ethernet VLAN Type Mode Status Reason Speed Port Interface Ch # -------------------------------------------------------------------------------- Eth1/1 1 eth 1qtunl up none 1000(D) -- Eth1/2 1 eth 1qtunl up none 1000(D) 15 Eth1/3 1 eth 1qtunl up none 1000(D) 15 Eth1/4 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/5 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/6 1 eth 1qtunl down Administratively down 1000(D) -- Eth1/7 1 eth 1qtunl down Administratively down 10G(D) -- Eth1/8 1 eth 1qtunl down SFP not inserted 10G(D) -- Eth1/9 1 eth vntag up none 40G(D) -- Eth1/10 1 eth access down Administratively down 40G(D) -- Eth1/11 1 eth access down Administratively down 1000(D) -- Eth1/12 1 eth access down Administratively down 1000(D) --
확인 2 - FXOS에서 LACP를 보내고 받는지 확인합니다(명령을 몇 번 실행).
FP4110-7-A(fxos)# show lacp counters interface port-channel 15
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 223019 207280 0 0 0 0 0
Ethernet1/3 296532 207744 0 0 0 0 0
스위치에서 동일한 사항 확인:
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 627 596 0 0 0 0 0
Gi1/0/3 623 593 0 0 0 0 0
개별 FXOS 인터페이스의 LACP 세부 정보 확인:
FP4110-7-A(fxos)# show lacp interface ethernet 1/2 Interface Ethernet1/2 is up Channel group is 15 port channel is Po15 PDUs sent: 222828 PDUs rcvd: 207074 Markers sent: 0 Markers rcvd: 0 Marker response sent: 0 Marker response rcvd: 0 Unknown packets rcvd: 0 Illegal packets rcvd: 0 Lag Id: [ [(8000, 28-6f-7f-ec-59-80, 5, 8000, 103), (8000, 2c-33-11-8e-7-b3, e, 8000, 42)] ] Operational as aggregated link since Tue Oct 31 19:14:57 2017 Local Port: Eth1/2 MAC Address= 2c-33-11-8e-7-b3 System Identifier=0x8000,2c-33-11-8e-7-b3 Port Identifier=0x8000,0x42 Operational key=14 LACP_Activity=active LACP_Timeout=Short Timeout (1s) Synchronization=IN_SYNC Collected=true Distributing=true
확인 3 - 로컬 및 원격 디바이스의 LACP ID를 확인합니다.
FP4110-7-A(fxos)# show lacp port-channel interface port-channel 15 port-channel15 System Mac=2c-33-11-8e-7-b3 Local System Identifier=0x8000,2c-33-11-8e-7-b3 Admin key=0xe Operational key=0xe Partner System Identifier=0x8000,28-6f-7f-ec-59-80 Operational key=0x5 Max delay=0 Aggregate or individual=1 Member Port List=
선택 4(선택 사항) - 이 출력을 수집합니다(Cisco TAC에서 사용 가능).
FP4110-7-A(fxos)# show lacp internal event-history errors
1) Event:E_DEBUG, length:74, at 574387 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_proto_set_ntt(1780): Restarting periodic tx timer in 0x210 msecs
2) Event:E_DEBUG, length:467, at 544757 usecs after Tue Oct 31 19:14:57 2017
[102] lacp_ac_init_port_channel_member(1660): TYPE1 UPDATE lacp_ac_init_port
_channel_member port-channel port-channel15(0x1600000e) lacp_mcec_type1_upd_sent
...
확인 5 - 문제가 있는 특정 포트에 대한 LACP FSM 전환 확인. 출력 상단에 가장 오래된 메시지가 표시됩니다.
FP4110-7-A(fxos)# show lacp internal event-history interface ethernet 1/2
>>>>FSM: <Ethernet1/2> has 975 logged transitions<<<<<
1) FSM:<Ethernet1/2> Transition at 257150 usecs after Sun Oct 29 12:35:16 2017
Previous state: [LACP_ST_WAIT_FOR_HW_TO_PROGRAM_RECEIVE_PATH]
Triggered event: [LACP_EV_PORT_RECEIVE_PATH_ENABLED_AS_CHANNEL_MEMBER_MESSAGE]
Next state: [LACP_ST_PORT_MEMBER_RECEIVE_ENABLED]
...
4) FSM:<Ethernet1/2> Transition at 966987 usecs after Sun Oct 29 12:35:19 2017
Previous state: [LACP_ST_PORT_MEMBER_COLLECTING_AND_DISTRIBUTING_ENABLED]
Triggered event: [LACP_EV_PARTNER_PDU_IN_SYNC] <--- Good (Received LACP with ‘Synchronization = 1’
Next state: [LACP_ST_PORT_IS_DOWN_OR_LACP_IS_DISABLED]
...
207) FSM:<Ethernet1/4> Transition at 482767 usecs after Sun Oct 29 13:18:40 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC]
Next state: [FSM_ST_NO_CHANGE]
208) FSM:<Ethernet1/4> Transition at 363720 usecs after Sun Oct 29 13:18:41 2017
Previous state: [LACP_ST_ATTACHED_TO_AGGREGATOR]
Triggered event: [LACP_EV_PARTNER_PDU_OUT_OF_SYNC] <--- Bad (Received LACP with ‘Synchronization = 0’
Next state: [FSM_ST_NO_CHANGE]
확인 6 - 포트 채널 이벤트 기록 수집(Cisco TAC에서 사용 가능)
FP4110-7-A(fxos)# show port-channel internal event-history all
Low Priority Pending queue: len(0), max len(1) [Tue Oct 31 19:37:03 2017] High Priority Pending queue: len(0), max len(12) [Tue Oct 31 19:37:03 2017] PCM Control Block info: pcm_max_channels : 4096 pcm_max_channel_in_use : 48 pc count : 2 hif-pc count : 0 Max PC Cnt : 104 Load-defer timeout : 120 ==================================================== PORT CHANNELS: 2LvPC PO in system : 0 port-channel15 channel : 15 bundle : 65535 ... >>>>FSM: <eth-port-channel 15> has 66 logged transitions<<<<< 1) FSM:<eth-port-channel 15> Transition at 174796 usecs after Tue Oct 31 18:05:0 8 2017 Previous state: [PCM_PC_ST_INIT] Triggered event: [PCM_PC_EV_CREATE_INIT] Next state: [FSM_ST_NO_CHANGE] 2) Event:ESQ_START length:38, at 174810 usecs after Tue Oct 31 18:05:08 2017 Instance:369098766, Seq Id:0x1, Ret:SUCCESS Seq Type:SERIAL ...
FPR21xx/FPR1xxx에서 포트 채널 문제 해결
네트워크 다이어그램
1을 선택합니다. LACP를 사용하는 경우 LACP 카운터를 확인합니다.
양쪽(스위치 및 FXOS)에서의 발신 및 수신 확인:
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 4435 3532 0 0 0 0 0
Eth1/2 4566 3532 0 0 0 0 0
동일한 사항을 확인하는 또 다른 방법:
FP2110-2(local-mgmt)# show pktmgr counters
Ports Tx Tx Tx Rx Rx Rx Rx
Packets Drops Bytes Packets Drops Bytes Forwards
----------------------------------------------------------------------------
Eth1/1 4575 0 567300 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/2 4706 0 583544 3537 0 452736 3537 < LACP PDUs forwarded internally to LACP process
Eth1/3 0 0 0 0 0 0 0
Eth1/4 0 0 0 0 0 0 0
Eth1/5 0 0 0 0 0 0 0
Eth1/6 0 0 0 0 0 0 0
Eth1/7 0 0 0 0 0 0 0
Eth1/8 0 0 0 0 0 0 0
Eth1/9 0 0 0 0 0 0 0
Eth1/10 0 0 0 0 0 0 0
Eth1/11 0 0 0 0 0 0 0
Eth1/12 0 0 0 0 0 0 0
Eth1/13 0 0 0 0 0 0 0
Eth1/14 0 0 0 0 0 0 0
Eth1/15 0 0 0 0 0 0 0
Eth1/16 0 0 0 0 0 0 0
Misc. 0 0 0 0 0 0 n/a
2를 선택합니다. 업스트림 스위치 상태를 확인합니다.
FP2110-2(local-mgmt)# show lacp neighbor
Flags: S - Device is requesting Slow LACPDUs
F - Device is requesting Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
Channel group: 11
Partner (internal) information:
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/1 32768,286f.7fec.5980 0x10e 9 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributing: Defaulted: Expired:
Yes Yes No No
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,286f.7fec.5980 0x10f 24 s FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0x3f
Port State Flags Decode:
Activity: Timeout: Aggregation: Synchronization:
Active Long Yes Yes
Collected: Distributed: Defaulted: Expired:
Yes Yes No No
참고: Collected and Distributed가 Yes가 아니고 Default가 No인 경우 LACP는 통합되지 않습니다.
3. 로컬 LACP 시스템 ID가 0이 아닌지 확인합니다.
FP2110-2(local-mgmt)# show lacp sys-id 32768, 70df.2f18.d813
추가 문제 해결(모든 플랫폼 공통)
확인 1
양쪽(방화벽 및 스위치)에 일치하는 설정이 있는지 확인합니다(예: Speed(속도)는 동일하고 Port-Channel(포트 채널) 모드는 동일).
확인 2
FXOS 결함을 확인합니다. 섀시 UI(사용자 인터페이스) 또는 이 명령을 사용하는 CLI에서 이 검사를 수행할 수 있습니다.
FPR4100# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Major F0479 2020-03-19T11:50:44.322 543322 Virtual interface 781 link state is down Major F0373 2020-03-19T10:55:13.778 34178 Fan 1 in Fan Module 1-5 under chassis 1 operability: inoperable Minor F0480 2020-03-19T10:55:13.777 34177 Fan module 1-5 in chassis 1 operability: degraded Major F1767 2020-03-19T10:54:04.162 531228 The password encryption key has not been set. Major F0727 2020-03-19T09:50:02.891 522921 lan Member 1/5 of Port-Channel 10 on fabric interconnect A is down, membership: suspended Major F0282 2020-03-19T09:49:31.462 522922 lan port-channel 10 on fabric interconnect A oper state: failed, reason: No operational members Major F0277 2020-03-19T09:49:31.437 522929 ether port 1/5 on fabric interconnect A oper state: failed, reason: Other Info F0279 2020-01-17T11:06:45.472 300958 ether port 1/7 on fabric interconnect A oper state: sfp-not-present Info F0279 2020-01-17T11:06:37.941 300903 ether port 1/6 on fabric interconnect A oper state: sfp-not-present Minor F1437 2020-01-16T10:11:39.675 291723 Config backup may be outdated
결함은 시간순으로 표시됩니다. 심각도에는 결함의 중요성이 반영되며, 설명에는 간략한 개요가 제공됩니다. 주로 심각도, 타임스탬프 및 설명에 중점을 둡니다. 결함 심각도 순서는 다음과 같습니다.
- Critical(심각)
- Major(중요)
- Minor(경미)
- 경고
- Info/Condition(정보/조건)
- Cleared(해결됨)
각 결함에 대한 자세한 내용은 FXOS Faults and Error Messages(FXOS 결함 및 오류 메시지) 가이드: FXOS Error and System Messages(FXOS 오류 및 시스템 메시지)를 참조하십시오.
확인 3
FMC에서 포트 채널 컨피그레이션과 관련된 최근 변경 사항을 수행한 경우 정책이 FMC에서 FTD로 구축되었는지 확인합니다.
확인 4
Port-Channel이 Failed(실패) 상태이고 디바이스가 Cluster(클러스터)에 속하는 경우, 디바이스에서 Cluster(클러스터)가 활성화되었는지 확인합니다. 클러스터에서 시작되는 디바이스는 Port-Channel이 실패 상태에 있는 것이 정상입니다.
확인 5
컨피그레이션이 올바르지만 인터페이스가 UP되지 않으면 케이블 및/또는 SFP(Small Form-Factor Pluggable) 트렌시버를 확인하고 교체합니다.
확인 6
Firepower 릴리스 노트에서 포트 채널과 관련된 알려진 문제를 확인합니다. 예를 들어 FXOS 버전 2.6.1.169 및 FTD 6.4.0.6을 실행하는 경우 다음 섹션을 확인하십시오.
추가로 관련 FMC/FTD 릴리스 노트를 확인하십시오. 이 예시에서 FTD는 6.4.0.5를 실행하므로 6.4.x 릴리스 노트를 확인해야 합니다.
일반적인 문제
사례 1. EtherChannel 모드 불일치
다음 토폴로지를 고려하십시오.
문제 증상
Firepower에서 포트 채널이 중단되고 협상 프로토콜이 LACP입니다.
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(D) Eth LACP Eth1/1(D) Eth1/2(D)
FXOS에서 LACP Sent 카운터는 30초마다 증가하지만 Receive 카운터에서는 다음을 수행하지 않습니다.
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11356 3762 0 0 0 0 0
Eth1/2 11393 3761 0 0 0 0 0
FP2110-2(local-mgmt)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 11
Eth1/1 11357 3762 0 0 0 0 0
Eth1/2 11394 3761 0 0 0 0 0
근본 원인
스위치의 포트 채널이 작동하지만 협상 프로토콜이 없음을 확인합니다.
Switch# show etherchannel 22 summary … Number of channel-groups in use: 15 Number of aggregators: 15 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 22 Po22(SU) - Gi1/0/13(P) Gi1/0/14(P)
스위치 포트 구성에서 이를 확인합니다.
Switch# show run int g1/0/13 interface GigabitEthernet1/0/13 lacp rate fast channel-group 22 mode on end Switch# show run int g1/0/14 interface GigabitEthernet1/0/14 lacp rate fast channel-group 22 mode on end
솔루션
이 제품은 FPR21xx 어플라이언스이므로 두 가지 가능한 솔루션이 있습니다.
- 스위치 측의 포트 채널 모드를 ON에서 LACP(활성 또는 수동)로 변경합니다.
- FTD 측의 포트 채널 모드를 LACP에서 ON으로 변경합니다.
이 시나리오에서는 두 번째 솔루션을 선택했습니다(FTD 포트 채널을 모드 ON으로 설정).
FP2110-2(local-mgmt)# show portchannel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
11 Po11(U) Eth ON Eth1/1(P) Eth1/2(P)
LACP 카운터가 더 이상 표시되지 않습니다.
FP2110-2(local-mgmt)# show lacp counters FP2110-2(local-mgmt)#
사례 2. 잘못된 포트 채널 설계
문제 증상
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(P) Eth1/3(s)
48 Po48(SD) Eth NONE --
FXOS LACP 카운터가 양방향으로 증가합니다.
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451268 0 0 0 0 0
Ethernet1/3 419215 446806 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 419219 451269 0 0 0 0 0
Ethernet1/3 419216 446807 0 0 0 0 0
근본 원인
show lacp neighbor의 출력은 각 포트에서 다른 파트너 시스템 ID를 보여줍니다.
FP4110-7-A(fxos)# show lacp neighbor
Flags: S - Device is sending Slow LACPDUs F - Device is sending Fast LACPDUs
A - Device is in Active mode P - Device is in Passive mode
port-channel15 neighbors
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/2 32768,28-6f-7f-ec-59-800x103 419611 FA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x5 0x3d
Partner's information
Partner Partner Partner
Port System ID Port Number Age Flags
Eth1/3 32768,4-62-73-d2-65-0 0x12f 419610 SA
LACP Partner Partner Partner
Port Priority Oper Key Port State
32768 0x16 0xd
이는 다음과 같이 시각화할 수 있습니다.
솔루션
- 2960의 경우 스태킹(FlexStack)을 구성해야 합니다.
- 3750-X/3850 등의 경우 스태킹을 구성해야 합니다(StackWise Plus).
- 4500, 6500, 6800의 경우 VSS(Virtual Switching System)를 사용해야 합니다.
- Nexus 5K, 7K 또는 9K의 경우 vPC(Virtual Port-Channel)를 사용해야 합니다.
- 다른 경우에는 동일한 물리적 스위치에 FXOS를 연결해야 합니다.
사례 3. FXOS 포트 채널 할당되지 않음
네트워크 다이어그램
문제 증상
FXOS 측에서 포트 채널 멤버가 일시 중단됩니다.
FP4110-7-A(fxos)# show port-channel summary
Flags: D - Down P - Up in port-channel (members)
I - Individual H - Hot-standby (LACP only)
s - Suspended r - Module-removed
S - Switched R - Routed
U - Up (port-channel)
M - Not in use. Min-links not met
--------------------------------------------------------------------------------
Group Port- Type Protocol Member Ports
Channel
--------------------------------------------------------------------------------
15 Po15(SD) Eth LACP Eth1/2(s) Eth1/3(s)
48 Po48(SD) Eth NONE --
스위치 측에서도 마찬가지입니다.
Switch# show etherchannel 5 summary … Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 5 Po5(SD) LACP Gi1/0/2(s) Gi1/0/3(s)
FXOS LACP 카운터는 전송 및 수신된 패킷을 표시합니다.
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 420839 452531 0 0 0 0 0
Ethernet1/3 420793 447409 0 0 0 0 0
FP4110-7-A(fxos)# show lacp counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
port-channel15
Ethernet1/2 421026 452537 0 0 0 0 0
Ethernet1/3 420981 447416 0 0 0 0 0
스위치 측에서 LACP 카운터는 전송되었지만 수신되지 않은 패킷도 표시합니다.
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452539 420223 0 0 0 0 0
Gi1/0/3 447232 415274 0 0 0 0 0
Switch# show lacp 5 counters
LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 5
Gi1/0/2 452540 420223 0 0 0 0 0
Gi1/0/3 447233 415274 0 0 0 0 0
근본 원인
이 경우 문제는 FXOS 포트 채널이 논리적 디바이스(FTD 애플리케이션)에 할당되지 않는다는 것입니다.
솔루션
논리적 디바이스에 포트 채널 할당.
사례 4. 포트 채널에 대한 상태 알림이 패킷을 수신하지 않습니다.
디바이스(FTD)는 이름이 구성되어 있고 가동 중인 각 인터페이스에서 수신된 인터페이스 트래픽에 대한 정보를 5분마다 송신합니다. 마지막 간격에 수신된 패킷이 없는 경우 다음과 같은 메시지가 FMC UI에 표시됩니다.
권장 조치
FTD CLI에서 show traffic 출력을 확인하고 5분 입력 속도에 초점을 맞춥니다. 예를 들면 다음과 같습니다.
Interface Port-channel10.14
INSIDE:
received (in 237938.740 secs):
2 packets 84 bytes
0 pkts/sec 0 bytes/sec
transmitted (in 237938.740 secs):
5 packets 140 bytes
0 pkts/sec 0 bytes/sec
1 minute input rate 0 pkts/sec, 0 bytes/sec
1 minute output rate 0 pkts/sec, 0 bytes/sec
1 minute drop rate, 0 pkts/sec
5 minute input rate 0 pkts/sec, 0 bytes/sec
5 minute output rate 0 pkts/sec, 0 bytes/sec
5 minute drop rate, 0 pkts/sec
사례 5. FMC의 상태 알림: 포트 채널 연결 해제됨 또는 인터페이스 추가됨
상태 알림에는 "물리적 이름이 "Port-Channel"인 인터페이스가 연결되지 않았습니다." 또는 "물리적 이름이 \"name_if\"인 인터페이스가 추가되었습니다."라고 표시됩니다.
권장 조치
이는 Cisco 버그 ID CSCvb에서 추적한 알려진 외관 문제입니다15074
포트 채널 고려 사항
설계 고려 사항
사례 1. HA의 FTD/ASA 블레이드
이 설정은 지원되지 않습니다. 그 이유는 스위치 측의 포트 채널 컨피그레이션이 잘못되어 대기 디바이스의 트래픽 차단으로 이어지기 때문입니다. 이러한 설계는 클러스터 스팬 모드에서 ASA 또는 FTD를 구성하는 경우에만 지원됩니다.
경고: 장애 조치(고가용성)에서 이 시나리오는 부정확합니다.
다음은 고가용성을 위한 적절한 포트 채널 설계입니다.
관련 정보
사례 2. 클러스터의 FTD/ASA
각 방화벽 데이터 인터페이스 포트 채널은 스팬 모드(Firepower 플랫폼에서 지원되는 유일한 모드)를 사용합니다. 설계 측면에서 볼 때 스위치 측면에서 단일 데이터 인터페이스의 스위치 포트는 하나의 포트 채널에 속합니다.
예를 들어 FP9300(섀시 2개, 블레이드 6개)의 경우 데이터 포트는 다음과 같이 구성할 수 있습니다.
반면 CCL(Cluster Control Link)은 개별 포트 채널 모드를 사용하며 모범 사례에 따라 대역폭이 각 멤버의 최대 용량과 일치해야 합니다. 추가로 Nexus의 경우 각 포트 채널은 다른 vPC에 속합니다.
마찬가지로 FP41xx의 경우:
CCL:
사례 3. FXOS에서 Port-ChannelTerminated
포트 채널이 FXOS 섀시에서 종료되었습니다. 다음은 이 설계의 예시입니다.
사례 4. 포트 채널 - FXOS
포트 채널은 FXOS 섀시를 통과합니다. 다음은 이 설계의 예시입니다.
참고: 두 번째 시나리오에서는 Firepower 어플라이언스에 포트 채널이 구성되어 있지 않습니다.
FXOS에서 종료되는 포트 채널과 FXOS를 통한 포트 채널
| 기능 |
의견 |
| FXOS 섀시에서 포트 채널이 종료됨(MIO) |
FXOS 2.1.1부터 작동 |
| 포트 채널이 FXOS 섀시(MIO)를 통해 전달됨 |
|
추가 고려 사항
LACP 단계적 통합
클러스터 설정(ASA 또는 FTD)의 경우 Nexus에서 LACP Graceful Convergence를 활성화하는 것이 좋습니다.
FAQ(자주 묻는 질문)
Q. SSP 포트 채널 해시 배포가 고정됩니까 아니면 수정됩니까?
FXOS는 복원형 해시 배포를 사용합니다. 이는 Nexus 7000/9k 온라인 설명서에 설명하는 고정 해시 배포 모드와 같은 것으로 보입니다. 탄력적 해싱에서 링크가 실패하면 장애가 발생한 링크에 할당된 플로우가 활성 링크 간에 균일하게 재배포됩니다. 활성 링크를 통한 현재 흐름은 재해시되지 않으며 패킷이 순서에 따라 전달되지 않습니다. 링크가 포트 채널 또는 ECMP 그룹에 추가되면 현재 링크로 해시된 흐름 중 일부가 새 링크로 재해시되지만 모든 현재 링크에서 재해시되지는 않습니다.
Q. 포트 채널에 연결된 스위치포트가 다운되면 어떻게 됩니까? FTD는 물리적 링크 또는 포트 채널을 모니터링합니까?
모든 포트 채널 인터페이스 멤버가 중단되면 포트 채널도 중단됩니다. 포트 채널 작동 상태가 실패로 표시됩니다. FTD 관점에서 포트 채널은 중단된 상태로 표시됩니다. 반면, 이 규칙에는 예외가 있습니다. 스위치가 스태킹을 사용하는 경우입니다. LACP에서는 시스템 ID가 활성 스위치의 스택 MAC 주소를 사용하고, 활성 스위치가 변경되면 LACP 시스템 ID가 변경될 수 있습니다. LACP 시스템 ID가 변경되면 전체 EtherChannel이 플랩되고 STP 재통합이 이루어집니다. stack-mac persistent timer 명령을 사용하여 활성 스위치 장애 조치 후 스택 MAC 주소가 변경되는지 여부를 제어합니다.
Q. "port-channel min-bundle 2" 명령을 사용하려고 합니다. 그러면 포트 채널의 링크 하나가 다운되면 포트 채널이 다운되고 방화벽이 페일오버를 수행합니다.
FXOS 섀시에서는 이 옵션을 사용할 수 없습니다. 해결 방법으로서, 그리고 가능하면 피어 스위치에서 lacp min-links 명령을 구성합니다.
Q. LACP 패킷을 캡처하는 방법은?
사례 1. 논리적 어플라이언스(FTD/ASA)에서 포트 채널이 종료됨
- 포트 채널은 실제로 섀시 레벨(FXOS)에서 종료됩니다.
- 섀시 레벨(FXOS) 및 애플리케이션 레벨(FTD/ASA)에서는 LACP 패킷(인그레스 또는 이그레스)을 캡처할 수 없습니다.
사례 2. 인라인 집합으로 구축된 FTD - FTD 인터페이스를 통한 포트 채널:
inline-set set1
snort fail-open down
interface-pair INSIDE OUTSIDE
!
interface Ethernet1/2
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
!
interface Ethernet1/3
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
LACP Ethertype is 0x8809 (dec 34825):
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1: 21:15:00.403131 2894.0f57.271d 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0016 8000
0223 3d00 0000 0214 8000 0017 dfd6 ec00
0015 8000 0222 3d00 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
사례 3. 브리지 그룹 모드로 구축된 FTD - FTD 인터페이스를 통한 포트 채널:
interface Ethernet1/2
bridge-group 1
nameif INSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface Ethernet1/3
bridge-group 1
nameif OUTSIDE
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
!
interface BVI1
ip address 192.168.201.134 255.255.255.0
firepower# capture CAP interface INSIDE ethernet-type 34825
firepower# show capture CAP
1 packet captured
1: 21:21:29.731987 2894.0f57.271c 0180.c200.0002 0x8809 Length: 124 <-- LACP packet
0101 0114 8000 0017 dfd6 ec00 0015 8000
0222 7d00 0000 0214 0000 0000 0000 0000
0000 0000 0000 0000 0000 0310 8000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000 0000
0000 0000 0000 0000 0000 0000 0000
1 packet shown
Q. 단일 포트에서 포트 채널로 마이그레이션하려면 어떻게 해야 합니까?
이 변경에는 MW(유지 보수 기간)가 필요하며 침입이 이루어집니다. 단일 인터페이스에서 포트 채널로 마이그레이션하면 단일 인터페이스와 관련된 모든 구성이 연결 해제됩니다. 포트 채널을 생성한 후에는 동일한 컨피그레이션을 새로 구성된 포트 채널(예: NAT, 라우팅, VPN 등)과 다시 연결해야 합니다. FTD의 경우 이 설명서에 참고 사항이 있습니다.
EtherChannel 구성
ASA 디바이스의 경우 이 설명서에서 절차를 설명합니다.
사용 중 인터페이스를 이중 또는 EtherChannel 인터페이스로 변환
Q. FTD HA(고가용성) 링크를 포트 채널로 변경하려면 어떻게 해야 합니까?
이 변경에는 MW(유지 보수 기간)가 필요하며 침입이 이루어집니다. HA를 해제하고 다시 구성해야 합니다. 새 HA 쌍에서 HA 링크를 포트 채널로 지정합니다. 관련 설명서:
Firepower 어플라이언스에서 FTD 고가용성 설정
Q. ASA의 Firepower은 포트 채널 작동, 물리적 인터페이스 상태 작동 중지 상태로 표시됩니다.
이는 Cisco 버그 ID CSCvp와 관련이 있습니다03354
Q. FMC의 포트 채널 ID에 대해 무엇을 선택해야 합니까? 스위치 측의 항목과 일치해야 합니까?
아니요, 상관 없습니다. 원하는 포트 채널 ID를 사용할 수 있습니다.
Q. Port-Channel Advanced(포트 채널 고급) 탭에서 액티브/스탠바이 MAC에 대해 수행해야 할 작업이 있습니까?
액세스 모드(트렁크 없음)에서 포트 채널을 사용하고 고가용성(HA) 설정을 사용할 경우 액티브/스탠바이 MAC를 구성하는 것이 좋습니다. 이 권장 사항은 포트 채널에 관한 권장 사항은 아니지만 모든 HA 설정에 적용할 수 있습니다.
Q. 포트 채널의 인터페이스 멤버에 대한 설명을 구성할 수 있습니까?
현재(FXOS 2.13.x) 지원되지 않습니다. 자세한 내용은 최신 FXOS 구성 가이드를 확인하십시오.
Q. FXOS 포트 채널 로드 밸런싱 알고리즘을 변경할 수 있습니까?
현재(FXOS 2.13.x) 지원되지 않습니다. 자세한 내용은 최신 FXOS 구성 가이드를 확인하십시오.
Q. 포트 채널을 번들 상태로 전환하기 위해 포트 채널에서 멤버 인터페이스의 최소 개수(최소 링크)를 구성할 수 있습니까?
현재(FXOS 2.13.x) 지원되지 않습니다. 자세한 내용은 최신 FXOS 구성 가이드를 확인하십시오.
관련 정보
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
4.0 |
11-Apr-2024 |
업데이트된 스타일 요구 사항 및 서식 |
3.0 |
15-May-2023 |
업데이트된 서식 및 언어 |
1.0 |
26-Mar-2020 |
최초 릴리스 |
피드백