So beheben Sie LACP-Ausfall- oder Klappenprobleme

So beheben Sie LACP-Ausfall- oder Klappenprobleme

30708
Created On 08/30/22 18:37 PM - Last Modified 07/29/24 15:25 PM


Objective


Fehlerbehebung bei LACP-Ausfall oder Klappenproblem

Environment


  • Palo Alto Firewall
  • LACP-konfiguriert

Procedure


  1. Überprüfen Sie die Systemprotokolle, bei denen der Filter auf (Untertyp eq lacp) festgelegt ist, unter Benutzeroberfläche: Überwachung > Protokolle > System 
    show log system direction equal backward subtype equal lacp
  2. Überprüfen Sie die l2ctrld.log während des Zeitstempels des Problems aus Schritt 1. 
    less mp-log l2ctrld.log
    1. Wenn sich die Ethernet-Schnittstelle aus der aggregierten Schnittstelle herausbewegt hat und ähnliche Meldungen wie folgt angezeigt werden:
mp        l2ctrld.log         ethernet1/1 idx 64, current_while expired.
mp        l2ctrld.log         ethernet1/1 idx 64, rx state change CURRENT=>EXPIRED
mp        l2ctrld.log         ethernet1/1 idx 64 mux state change RX_TX=>ATTACHED, select_state Selected, partner state 0x37

state 0x37 ist der Hexamalwert von 00110111 binär. Basierend auf den zusätzlichen Informationen Hinweise, die Ihnen mitteilen sollten, dass der Partner passiv ist, eine lange Zeitüberschreitung hat, aggregierbar ist, synchron ist, keine eingehenden Frames sammelt, ausgehende Frames verteilt, dass die Partnerinformationen Standard sind und der Akteur rxm im abgelaufenen Zustand ist.

0x37 (00110111) ; bit0(0=passive); bit1(0=long); bit2 (1=aggregatable); bit3 (1=in sync); bit4=(0=not collecting incoming frames), bit5=(1=distributing outgoing frames), bit6(1=partner info is default),bit7(1=actor rxm is in expired state)
  1. Wenn die folgenden Meldungen angezeigt werden:
mp l2ctrld.log  ethernet2/13 idx 140 received pdu partner does not match local actor
mp l2ctrld.log  Recved LACPDU actor:
mp l2ctrld.log  sys_pri 4000, system_mac 00:23:04:ee:be:78, key 32793, port_pri 32768, port_num 313, state 0x45
partner
state 0x45 ist der Hexamalwert von 01000101 binär.Basierend auf den Notizen zu den zusätzlichen Informationen, die Ihnen mitteilen sollten, dass der Partner der Ansicht ist, dass die lokale Firewall passiv ist, eine kurze Zeitüberschreitung hat, individuell ist, nicht synchron ist, eingehende Frames nicht sammelt, ausgehende Frames verteilt, Partnerinformationen von der empfangenen lacpdu übernommen werden und der Akteur rxm sich im abgelaufenen Zustand befindet.  Dies liegt daran, dass die l2ctrld-Nachricht anzeigt, dass sich der Status 0x45 Partners in der empfangenen LACPDU befindet.
  1. Überprüfen Sie die Ausgabe der CLI: 
     show lacp aggregate-ethernet all
    Hinweis:
    1. Mindestens eine Seite muss aktiv sein
    2. Wenn die Übertragungsrate als langsam ausgewählt ist, bedeutet dies, dass der LACP-Abfrage- und Antwortaustausch alle 30 Sekunden erfolgt, was die Standardeinstellung ist.
    3. Wenn die Übertragungsrate so gewählt ist, dass sie schnell ist, bedeutet dies, dass die LACP-Abfrage und die Austauschantwort jede Sekunde erfolgt.
    4. Weitere Überprüfungen finden Sie unter Konfigurieren einer aggregierten Schnittstellengruppe.
  2. Überprüfen Sie, ob die physische Verbindung ausgefallen ist, bevor der LACP ausgefallen ist, was dazu führt, dass die Schnittstelle aus der aggregierten Gruppe verschoben wird. 
    less mp-log brdagent.log
show log system direction equal backward
  3. Wenn das Problem weiterhin besteht, aktivieren Sie die Debugs während des Fehlerbehebungsfensters: 
    debug l2ctrld global on debug
debug l2ctrld lacp on debug
    und erfassen Sie eine Paketerfassung auf der Datenebene mithilfe der CLI: 
    debug dataplane packet-diag set filter match lacp
debug dataplane packet-diag set filter on
debug dataplane packet-diag set capture on
    Wenn Sie mit dem Sammeln der Paketerfassungsebene fertig sind, gehen Sie wie folgt vor: 
    debug l2ctrld global on info
debug l2ctrld lacp on info
  4. Wenn Sie auf der Grundlage der gesammelten Informationen feststellen, dass das Problem auf der Seite der Firewall von Palo Alto Networks liegt, z. B. wenn LACPDU-Pakete nicht rechtzeitig gesendet werden, überprüfen Sie die Firewall-Ressourcen: MP CPU, DP CPU, Paketdeskriptor und Puffer, um festzustellen, ob die Ressourcenauslastung der Firewall zum Zeitpunkt des Problems hoch war.
  5. Zusätzliche Informationen: Der LACP-Status ist ein 8-Bit-Feld. Es steckt in jedem Leppdu. Der Akteursstatus ist ein lokaler Staat. Der Partnerstatus ist der Peerstatus.

    /* Zustand in LACPDU */ #define PAN_LACP_ACTIVITY 0x1 /* 1= aktiv, 0 = passiv */ #define PAN_LACP_TIMEOUT 0X2 /* 1 = kurz, 0 = lang */ #define PAN_LACP_AGGREGATION 0X4 /* 1 = aggregiert, 0 = individuell */ #define PAN_LACP_SYNCHRONIZATION 0X8 /* 1 = synchron, 0 = nicht synchron */ #define PAN_LACP_COLLECTING 0X10/* 1 = Eingehende Frames sammeln */











    #define PAN_LACP_DISTRIBUTING 0X20/* 1 = Verteilen ausgehender Frames */ #define PAN_LACP_DEFAULTED 0X40/* 1 = Partnerinfo ist Standard, 0 = Partnerinfo aus empfangener Lactdu */ #define PAN_LACP_EXPIRED 0X80/



    * 1 = Akteur rxm im Status EXPIRED. 0 sonst */
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYvYCAU&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language