如何解决 LACP 关闭或抖动问题

如何解决 LACP 关闭或抖动问题

30756
Created On 08/30/22 18:37 PM - Last Modified 07/29/24 15:25 PM


Objective


对 LACP 关闭或翻盖问题进行故障排除

Environment


  • 帕洛阿尔托防火墙
  • LACP 已配置

Procedure


  1. 在UI下检查过滤器设置为(子类型eq lacp)的系统日志:监视系统>>日志 
    show log system direction equal backward subtype equal lacp
  2. 在从步骤 1 收集的问题的时间戳期间检查 l2ctrld.log
    less mp-log l2ctrld.log
    1. 如果以太网接口移出聚合接口,并且您会看到类似的消息,如下所示:
mp        l2ctrld.log         ethernet1/1 idx 64, current_while expired.
mp        l2ctrld.log         ethernet1/1 idx 64, rx state change CURRENT=>EXPIRED
mp        l2ctrld.log         ethernet1/1 idx 64 mux state change RX_TX=>ATTACHED, select_state Selected, partner state 0x37

状态 0x37 是二进制中 00110111 的十六进制值。 根据 “其他信息”说明,该说明应告诉您合作伙伴是 被动 的、超 时时间较长可聚合 的、 同步 的、 不收集传入帧、正在 分发传出帧合作伙伴信息为默认值执行组件 rxm 处于过期状态

0x37 (00110111) ; bit0(0=passive); bit1(0=long); bit2 (1=aggregatable); bit3 (1=in sync); bit4=(0=not collecting incoming frames), bit5=(1=distributing outgoing frames), bit6(1=partner info is default),bit7(1=actor rxm is in expired state)
  1. 如果看到以下消息:
mp l2ctrld.log  ethernet2/13 idx 140 received pdu partner does not match local actor
mp l2ctrld.log  Recved LACPDU actor:
mp l2ctrld.log  sys_pri 4000, system_mac 00:23:04:ee:be:78, key 32793, port_pri 32768, port_num 313, state 0x45
partner
状态 0x45 是二进制中 01000101 的十六进制值。根据“其他信息”说明,该说明应告诉您,合作伙伴认为本地防火墙是被动的、超时时间短的、是个人防火墙、不同步的、未收集传入帧、正在分发传出帧、合作伙伴信息是从收到的 lacpdu 中获取的,并且执行组件 rxm 处于过期状态。  这是因为 l2ctrld 消息显示0x45伙伴的状态在 收到 的 LACPDU 中。
  1. 检查 CLI 的输出: 
     show lacp aggregate-ethernet all
    注意:
    1. 至少一侧需要 处于活动状态
    2. 如果将传输速率选择为速,则表示 LACP 查询和响应交换为每 30 秒一次,这是 默认值
    3. 如果将传输速率选择为快速 ,则意味着 LACP 查询和交换响应为每秒一次。
    4. 有关其他检查,请参见 “配置聚合接口组”。
  2. 验证物理链路是否在 LACP 关闭之前关闭,从而导致接口移出聚合组。 
    less mp-log brdagent.log
show log system direction equal backward
  3. 如果问题持续存在,则在故障排除窗口期间启用调试: 
    debug l2ctrld global on debug
debug l2ctrld lacp on debug
    并使用 CLI 在数据平面上收集数据包捕获: 
    debug dataplane packet-diag set filter match lacp
debug dataplane packet-diag set filter on
debug dataplane packet-diag set capture on
    收集完数据包捕获级别后,调试: 
    debug l2ctrld global on info
debug l2ctrld lacp on info
  4. 如果根据收集到的信息,您确定问题出在Palo Alto Networks防火墙端,例如,它没有及时发送LACPDU数据包,请继续检查防火墙资源:MP CPU、DP CPU、数据包描述符和缓冲区,以查看问题发生时防火墙上的资源利用率是否很高。
  5. 附加信息:LACP 状态是一个 8 位字段。 它存在于每个 lacpdu 中。 执行组件状态是本地状态。 合作伙伴状态为对等状态。

    /* lacpdu 中的状态 */ #define PAN_LACP_ACTIVITY 0x1 /* 1 = 主动,0 = 被动 */ #define PAN_LACP_TIMEOUT 0X2 /* 1 = 做空,0 = 做多 */ #define PAN_LACP_AGGREGATION 0X4 /* 1 = 可聚合,0 = 单个 */ #define PAN_LACP_SYNCHRONIZATION 0X8 /* 1 = 同步,0 = 不同步 */ #define PAN_LACP_COLLECTING 0X10/* 1 = 收集传入帧 */











    #define PAN_LACP_DISTRIBUTING 0X20/* 1 = 分发传出帧 */ #define PAN_LACP_DEFAULTED 0X40/* 1 = 合作伙伴信息为默认值,0 = 从收到的 lacpdu 中获取合作伙伴信息 */ #define PAN_LACP_EXPIRED 0X80/



    * 1 = actor rxm 处于 EXPIRED 状态。 否则为 0 */
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYvYCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language