Comment résoudre le problème de panne ou de rabat de LACP

Comment résoudre le problème de panne ou de rabat de LACP

30956
Created On 08/30/22 18:37 PM - Last Modified 07/29/24 15:25 PM


Objective


Dépannage du problème de panne ou de volet de LACP

Environment


  • Pare-feu De Palo Alto
  • LACP configuré

Procedure


  1. Vérifiez les journaux système avec le filtre défini sur (sous-type eq lacp) sous UI : Monitor > Logs > System 
    show log system direction equal backward subtype equal lacp
  2. Vérifiez le fichier l2ctrld.log pendant l’horodatage du problème recueilli à l’étape 1. 
    less mp-log l2ctrld.log
    1. Si l’interface Ethernet a quitté l’interface agrégée et que vous voyez des messages similaires à ceux ci-dessous :
mp        l2ctrld.log         ethernet1/1 idx 64, current_while expired.
mp        l2ctrld.log         ethernet1/1 idx 64, rx state change CURRENT=>EXPIRED
mp        l2ctrld.log         ethernet1/1 idx 64 mux state change RX_TX=>ATTACHED, select_state Selected, partner state 0x37

L’état 0x37 est la valeur heximale de 00110111 en binaire. Sur la base des notes d’informations supplémentaires qui devraient vous indiquer que le partenaire est passif, qu’il a un long délai d’expiration, qu’il est agrégeable, qu’il est synchronisé, qu’il ne collecte pas les trames entrantes, qu’il distribue les trames sortantes, que les informations sur le partenaire sont par défaut et que l’acteur rxm est dans un état expiré.

0x37 (00110111) ; bit0(0=passive); bit1(0=long); bit2 (1=aggregatable); bit3 (1=in sync); bit4=(0=not collecting incoming frames), bit5=(1=distributing outgoing frames), bit6(1=partner info is default),bit7(1=actor rxm is in expired state)
  1. Si les messages ci-dessous s’affichent :
mp l2ctrld.log  ethernet2/13 idx 140 received pdu partner does not match local actor
mp l2ctrld.log  Recved LACPDU actor:
mp l2ctrld.log  sys_pri 4000, system_mac 00:23:04:ee:be:78, key 32793, port_pri 32768, port_num 313, state 0x45
partner
L’état 0x45 est la valeur heximale de 01000101 en binaire.Sur la base des notes d’informations supplémentaires qui devraient vous indiquer que le partenaire pense que le pare-feu local est passif, qu’il a un délai d’expiration court, qu’il est individuel, qu’il n’est pas synchronisé, qu’il ne collecte pas les trames entrantes, qu’il distribue les trames sortantes, que les informations sur le partenaire sont extraites du lacpdu reçu et que l’acteur rxm est dans un état expiré.  Cela est dû au fait que le message l2ctrld indique que le partenaire 0x45 d’état se trouve dans le LACPDU reçu .
  1. Vérifiez la sortie de l’interface de ligne de commande : 
     show lacp aggregate-ethernet all
    Remarque :
    1. Au moins une partie doit être active
    2. Si le taux de transmission est sélectionné pour être lent, cela signifie que l’échange de requêtes et de réponses LACP a lieu toutes les 30 secondes, ce qui est la valeur par défaut.
    3. Si le taux de transmission est sélectionné pour être rapide , cela signifie que la réponse de requête et d’échange LACP est toutes les secondes.
    4. Pour d’autres vérifications, reportez-vous à la section Configurer un groupe d’interfaces d’agrégation.
  2. Vérifiez si la liaison physique est tombée en panne avant que le LACP ne tombe en panne, ce qui entraîne le déplacement de l’interface hors du groupe agrégé. 
    less mp-log brdagent.log
show log system direction equal backward
  3. Si le problème persiste, activez les débogages pendant la fenêtre de dépannage : 
    debug l2ctrld global on debug
debug l2ctrld lacp on debug
    et collectez une capture de paquets sur le plan de données à l’aide de l’interface de ligne de commande : 
    debug dataplane packet-diag set filter match lacp
debug dataplane packet-diag set filter on
debug dataplane packet-diag set capture on
    Une fois que vous avez terminé de collecter le niveau de capture de paquets, descendez les débogages : 
    debug l2ctrld global on info
debug l2ctrld lacp on info
  4. Si, sur la base des informations collectées, vous déterminez que le problème se situe du côté du pare-feu de Palo Alto Networks, par exemple, il n’envoie pas de paquets LACPDU en temps opportun, vérifiez les ressources du pare-feu : MP CPU, DP CPU, descripteur de paquets et Buffer pour voir si, au moment du problème, l’utilisation des ressources sur le pare-feu était élevée.
  5. Informations complémentaires : L’état LACP est un champ de 8 bits. C’est dans chaque lacpdu. L’état de l’acteur est l’état local. L’état partenaire est l’état homologue.

    /* état en lacpdu */ #define PAN_LACP_ACTIVITY 0x1 /* 1= actif, 0 = passif */ #define PAN_LACP_TIMEOUT 0X2 /* 1 = court, 0 = long */ #define PAN_LACP_AGGREGATION 0X4 /* 1 = agrégatible, 0 = individuel */ #define PAN_LACP_SYNCHRONIZATION 0X8 /* 1 = synchronisé, 0 = désynchronisé */ #define PAN_LACP_COLLECTING 0X10/* 1 = collecte des trames entrantes */











    #define PAN_LACP_DISTRIBUTING 0X20/* 1 = distribution des trames sortantes */ #define PAN_LACP_DEFAULTED 0X40/* 1 = informations sur le partenaire par défaut, 0 = informations sur le partenaire prises à partir de lacpdu reçu */ #define PAN_LACP_EXPIRED 0X80/



    * 1 = acteur rxm à l’état EXPIRÉ. 0 sinon */
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYvYCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language