交換機(jī)err-disable端口自動(dòng)恢復(fù)

1、端口出現(xiàn) err-disabled 現(xiàn)象關(guān)于接口處于 err-disable 的故障排查故障癥狀:線路不通,物理指示燈滅或者顯示為橙色 (不同平臺(tái)指示燈狀態(tài)不同 show interface 輸出顯示接口狀態(tài):FastEthernet0/47 is down, line protocol is down (err-disabled接口狀態(tài)是 err-disable 。sw1#show interfaces statusPort Name Status Vlan Duplex Speed TypeFa0/47 err-disabled 1 auto auto 10/100BaseTX如果出現(xiàn)了接

2、口狀態(tài)為 err-disable , show interfaces status err-disabled命令能查看觸發(fā) err-disable 的原因。下面示例原因?yàn)?bpduguard ,在連接了交換機(jī)的端口配置了 spanning-tree bpduguard enable。 sw1#show interfaces status err-disabledPort Name Status ReasonFa0/47 err-disabled bpduguard接口產(chǎn)生 err-disable 的原因可以由以下的命令來(lái)查看,系統(tǒng)缺省的配置是所有列出的原因都能導(dǎo)致接口 被置為 err-disa

3、ble 。sw1#show errdisable detectErrDisable Reason Detection status- -udld Enabledbpduguard Enabledsecurity-violatio Enabledchannel-misconfig Enabledpsecure-violation Enableddhcp-rate-limit Enabledunicast-flood Enabledvmps Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledgbic-

4、invalid Enabledloopback Enableddhcp-rate-limit Enabledunicast-flood Enabled從列表中,我們可以看出常見(jiàn)的原因有 udld , bpduguard , link-flap 以及 loopback 等。 具體由什么原因?qū)е庐?dāng)前接口 err-disable 可以由 show interface status err-disable來(lái)查看。在接口模式下采用 shutdown,no shutdown進(jìn)行手動(dòng)的激活。在缺省配置下,一旦接口被置為 err-disable , IOS 將不會(huì)試圖恢復(fù)接口。這個(gè)可以由 show errdi

5、sable recovery來(lái)查看, timer status下面所有的值都是 disable 。 下面的示例中,由于手工配置了 bpduguard 恢復(fù),所以 timer status的值變?yōu)?Enable 。sw1#show errdisable recoveryErrDisable Reason Timer Status- -udld Disabledbpduguard Enabledsecurity-violatio Disabledchannel-misconfig Disabledvmps Disabledpagp-flap Disableddtp-flap Disabledlin

6、k-flap Disabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledunicast-flood Disabledloopback DisabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec- - -Fa0/47 bpduguard 217配置 IOS 重新激活

7、errdisable 的接口,使用以下命令:sw1(config#errdisable recovery cause bpduguardsw1(config#errdisable recovery cause ?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable statechannel-misconfig Enable timer to recover from channel misconfig disable statedhcp

8、-rate-limit Enable timer to recover from dhcp-rate-limit error disable statedtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover from l2protocol-tunnel error disable statelink-fla

9、p Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable statesecurity-violation Enable

10、 timer to recover from 802.1x violation disable stateudld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable配置完上述命令后, IOS 在一段時(shí)間后試圖恢復(fù)被置為 err-disable 的接口,這段時(shí)間缺省為 300秒。

11、但是,如果引起 err-disable 的源沒(méi)有根治,在恢復(fù)工作后,接口會(huì)再次被置為 err-disable 。調(diào)整 err-disable 的超時(shí)時(shí)間,可以使用以下命令:sw1(config#errdisable recovery interval ?<30-86400> timer-interval(sec可以調(diào)整在 30-86400秒,缺省是 300秒。如果產(chǎn)生 err-disable 的原因是 udld ,下面有一條命令非常管用:sw1#udld resetNo ports are disabled by UDLD.同時(shí),接口在被置為 err-disable 的時(shí)候,通常有

12、一系列的日志產(chǎn)生,如下:*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port.sw1#*Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable statesw1#*Mar 15 15:47:21.996: %LINK-3-UPDOWN:

13、Interface FastEthernet0/47, changed state to down 收集這些日志也非常管用。所以建議配置一個(gè) syslog server,收集 log 信息。*sw1#show interfaces statusPort Name Status Vlan Du.*開(kāi)啟 errdisable 功能, 這樣可以使用 show errdisable來(lái)查看引發(fā) errdisable 的原因是什么, 再更加信息 內(nèi)容進(jìn)行解決。*你要是想不影響使用的話,先用no errdisable detect cause loopback執(zhí)行一下,將已經(jīng)死掉的端口, no sh 一下如

14、果沒(méi)問(wèn)題,肯定是環(huán)路了,你可再找時(shí)間,對(duì)懷疑有問(wèn)題的 switch 用拔插法,一個(gè)一個(gè)拔掉網(wǎng)線去查, 當(dāng)然,有更有效的方法,你可查看有問(wèn)題的 switch 的所有 rj45和 gi 口的狀態(tài),哪個(gè)有 errdisable 信息哪 個(gè)就有問(wèn)題。switch#show interfaces status err-disabledPort Name Status ReasonFa0/22 err-disabled link-flapFa0/37 For office in 100K err-disabled link-flapFa0/41 unknow err-disabled link-flapF

15、a0/42 Training Dc066 err-disabled link-flapFa0/45 Production line VM err-disabled link-flapswitch#showerrdisable detectErrDisable Reason Detection status- -pagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledgbic-invalid Enabledloopback Enabledswitch#show interfaces status err-disable

16、dPort Name Status ReasonFa0/22 err-disabled link-flapFa0/37 For office in 100K err-disabled link-flapFa0/41 unknow err-disabled link-flapFa0/42 Training Dc066 err-disabled link-flapFa0/45 Production line VM err-disabled link-flapswitch#sherrdisable flap-valuesErrDisable Reason Flaps Time (sec- - -pa

17、gp-flap 3 30dtp-flap 3 30link-flap 5 10 ( link-flap 這就是因?yàn)殒溌焚|(zhì)量不好導(dǎo)致的 關(guān)閉 errdisable detectswitch#noerrdisable detect cause all下面是剛找到的網(wǎng)上的一篇關(guān)于 Err-diasble 產(chǎn)生原因分析的文章,貼出與大家共享。導(dǎo)致 err-disable 出現(xiàn)的幾個(gè)常見(jiàn)原因ID #1009感 謝蛋蛋的熱心幫助! 但是有關(guān)前面提到的 loopback 的問(wèn)題,我的意思是說(shuō) cisco 的交換機(jī)某端口收 到一個(gè)自己發(fā)出的 loopback 檢測(cè)報(bào)文時(shí),也就是說(shuō)下面的網(wǎng)絡(luò)存在環(huán)路,端口以據(jù)說(shuō)

18、配置的角色不同, 分別如何處理此類現(xiàn)象。對(duì) access 的口好像放此端口到 errdisable 狀 態(tài)! 如果我們配置了 errdisable recovery 就會(huì)過(guò)一段時(shí)間后自動(dòng)恢復(fù)。而對(duì)于 trunk 的處理就不能如此粗燥了吧! 因?yàn)樽原h(huán)可能只存在 某個(gè) vlan 中,不能關(guān)閉整個(gè) trunk 端口吧。導(dǎo)致 err-disable 出現(xiàn)的幾個(gè)常見(jiàn)原因:1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port

19、security violation1. 當(dāng) FEC 兩端配置不匹配的時(shí)候就會(huì)出現(xiàn) err-disable 。 假設(shè) Switch A把 FEC 模式配置為 on , 這時(shí) Switch A 是不會(huì)發(fā)送 PAgP 包和相連的 Switch B去協(xié)商 FEC 的, 它假設(shè) Switch B已經(jīng)配置好 FEC 了。 但實(shí)事上 Swtich B并沒(méi)有配置 FEC ,當(dāng) Switch B的這個(gè)狀態(tài)超過(guò) 1分鐘后, Switch A的 STP 就認(rèn)為有環(huán)路出現(xiàn), 因此也就出現(xiàn)了 err-disable 。解決辦法就是把 FEC 的模式配置為 channel-group 1 mode desirable

20、non-silent 這個(gè)意思是只有當(dāng)雙方的 FEC 協(xié)商成功后才建立 channel ,否則接口還處于正常狀態(tài)。 2. 第二個(gè)原因就是雙工不匹配。一端配置為 half-duplex 后,他會(huì)檢測(cè)對(duì)端是否在傳輸數(shù)據(jù),只有對(duì)端停 止傳輸數(shù)據(jù), 他才會(huì)發(fā)送類似于 ack 的包來(lái)讓鏈 路 up ,但對(duì)端卻配置成了 full-duplex , 他才不管鏈路是 否是空閑的,他只會(huì)不停的發(fā)送讓鏈路 up 的請(qǐng)求,這樣下去,鏈路狀態(tài)就變成 err- disable了。 3. 第三個(gè)原因 BPDU ,也就是和 portfast 和 BPDU guard有關(guān)。如果一個(gè)接口配置了 portfast ,那也就 是說(shuō)

21、這個(gè)接口應(yīng)該和一個(gè) pc 連接, pc 是不會(huì)發(fā)送 spanning-tree 的 BPDU 幀 的, 因此這個(gè)口也接收 BPDU 來(lái)生成 spanning-tree , 管理員也是出于好心在同一接口上配置了 BPDU guard來(lái)防止未知的 BPDU 幀以 增強(qiáng)安全性, 但他恰恰不小心把一個(gè)交換機(jī)接到這個(gè)同時(shí)配置了 portfast 和 BPDU guard接口上, 于是這 個(gè)接口接到了 BPDU 幀, 因?yàn)榕渲昧?BPDU guard, 這個(gè)接口自然要進(jìn)入到 err-disable 狀態(tài)。 解決辦法: no spanning-tree portfastbpduguard default,或者直接把 portfast 關(guān)了。4. 第四個(gè)原因是 UDLD 。 UDLD 是 cisco 的私有 2層協(xié)議,用于檢測(cè)鏈路的單向問(wèn)題。有的時(shí)候物理層是 up 的,但鏈路層就是 down ,這時(shí)候就需要 UDLD 去檢