LACPがダウンまたはフラップの問題のトラブルシューティング方法
31119
Created On 08/30/22 18:37 PM - Last Modified 07/29/24 15:25 PM
Objective
LACPがダウンまたはフラップの問題のトラブルシューティング
Environment
- パロアルトファイアウォール
- LACP 設定済み
Procedure
- [UI: Monitor > Logs > System] でフィルタを (subtype eq lacp) に設定して、システム ログを確認します。
show log system direction equal backward subtype equal lacp
- 手順 1 で収集した問題のタイムスタンプ中の l2ctrld.log を確認します。
less mp-log l2ctrld.log
- イーサネット インターフェイスが集約インターフェイスから移動し、次のようなメッセージが表示される場合:
mp l2ctrld.log ethernet1/1 idx 64, current_while expired. mp l2ctrld.log ethernet1/1 idx 64, rx state change CURRENT=>EXPIRED mp l2ctrld.log ethernet1/1 idx 64 mux state change RX_TX=>ATTACHED, select_state Selected, partner state 0x37
状態 0x37 は、2 進数での 00110111 の 16 進値です。 パートナーがパッシブであること、タイムアウトが長いこと、集約可能であること、同期していること、着信フレームを収集していないこと、発信フレームを分散していること、パートナー情報がデフォルトであること、アクターrxmが期限切れ状態にあることを示す追加情報のメモに基づいています。
0x37 (00110111) ; bit0(0=passive); bit1(0=long); bit2 (1=aggregatable); bit3 (1=in sync); bit4=(0=not collecting incoming frames), bit5=(1=distributing outgoing frames), bit6(1=partner info is default),bit7(1=actor rxm is in expired state)
- 以下のメッセージが表示された場合:
mp l2ctrld.log ethernet2/13 idx 140 received pdu partner does not match local actor mp l2ctrld.log Recved LACPDU actor: mp l2ctrld.log sys_pri 4000, system_mac 00:23:04:ee:be:78, key 32793, port_pri 32768, port_num 313, state 0x45 partner
状態 0x45 は、2 進数での 01000101 の 16 進値です。追加情報のメモに基づいて、パートナーは、ローカルファイアウォールがパッシブであり、タイムアウトが短く、個別であり、同期されておらず、着信フレームを収集しておらず、発信フレームを分散しており、パートナー情報は受信したlacpduから取得され、アクターrxmは期限切れ状態にあることがわかります。 これは、l2ctrld メッセージが、パートナー 0x45状態が 受信した LACPDU にあることを示しているためです。
- CLI の出力を確認します。
show lacp aggregate-ethernet all
手記:- 少なくとも 1 つの側がアクティブである必要があります
- 伝送速度が低速に選択されている場合、LACP クエリと応答の交換は 30 秒ごと ( デフォルト) になります。
- 伝送速度が高速 に選択されている場合、LACPクエリと交換の応答は毎秒であることを意味します。
- その他のチェックについては、「集約インターフェイス グループの設定」を参照してください。
- LACPがダウンする前に物理リンクがダウンし、インターフェイスが集約グループから移動されたかどうかを確認します。
less mp-log brdagent.log show log system direction equal backward
- 問題が進行中の場合は、トラブルシューティングウィンドウ中にデバッグを有効にします。
debug l2ctrld global on debug debug l2ctrld lacp on debug
CLIを使用してデータプレーンでパケットキャプチャを収集します。debug dataplane packet-diag set filter match lacp debug dataplane packet-diag set filter on debug dataplane packet-diag set capture on
デバッグのパケットキャプチャレベルの収集が完了したら、次のようにします。debug l2ctrld global on info debug l2ctrld lacp on info
- 収集した情報に基づいて、問題が Palo Alto Networks のファイアウォール側にあると判断した場合 (たとえば、PARO Alto Networks が LACPDU パケットをタイムリーに送信していないなど)、ファイアウォール リソース(MP CPU、DP CPU、パケット記述子、バッファ)をチェックして、問題発生時にファイアウォールのリソース使用率が高かったかどうかを確認します。
- 追加情報:LACP状態は8ビットフィールドです。 各ラックドゥにあります。 アクターの状態はローカル状態です。 パートナーの状態はピア状態です。
/* lacpdu の状態 */ #define PAN_LACP_ACTIVITY 0x1 /* 1= アクティブ、0 = パッシブ */ #define PAN_LACP_TIMEOUT 0X2 /* 1 = ショート、0 = ロング */ #define PAN_LACP_AGGREGATION 0X4 /* 1 = 集約可能、0 = 個別 */ #define PAN_LACP_SYNCHRONIZATION 0X8 /* 1 = 同期中、0 = 非同期 */ #define PAN_LACP_COLLECTING 0X10/
* 1 = 受信フレームの収集 */
#define PAN_LACP_DISTRIBUTING 0X20/* 1 = 発信フレームの分散 */ #define PAN_LACP_DEFAULTED 0X40/* 1 = パートナー情報がデフォルト、0 = 受信した lacpdu から取得したパートナー情報 */ #define PAN_LACP_EXPIRED 0X80/
* 1 = EXPIRED 状態のアクター rxm。 それ以外の場合は 0 */