交換機(jī)端口狀態(tài)出現(xiàn)errdisabled的情況分析及解決方法

1、Cisco交換機(jī)端口出現(xiàn)“err-disabled”狀態(tài)的情況分析1、引言通常情況下，如果交換機(jī)運(yùn)轉(zhuǎn)正常，其中端口一項(xiàng)顯示為啟用(enable)狀態(tài).但是如果交換機(jī)的軟件(CISCOIOS/CatOS)檢測到端口的一些錯(cuò)誤，端口將隨即被關(guān)閉.也就是說，當(dāng)交換機(jī)的操作系統(tǒng)檢測到交換機(jī)端口發(fā)生些錯(cuò)誤事件的時(shí)候，交換機(jī)將白動(dòng)關(guān)閉該端口.2、現(xiàn)象描述當(dāng)端口處于err-disabled狀態(tài)，將沒有任何流量從該端口被轉(zhuǎn)發(fā)出去，也將不接收任何進(jìn)站流量.從交換機(jī)外觀上看去，端口相對應(yīng)的LED狀態(tài)燈也將由正常的綠色變?yōu)榘迭S色(或者叫做橘黃色，官方給的說法是amber,琥珀色).同時(shí)使用查看端口狀態(tài)的一些命令，比

2、如showinterfaces,也會(huì)看到端口是處于err-disabled狀態(tài)的.還有種情況是,當(dāng)交換機(jī)因一種錯(cuò)誤因素導(dǎo)致端口被禁用(err-disabled),這種情況通常會(huì)看到類似如下日志信息：%SPANTREE-SP-2-BLOCK_BPDUGUARD:ReceivedBPDUonportGigabitEthernet0/1withBPDUGuardenabled.Disablingport.%PM-SP-4-ERR_DISABLE:bpduguarderrordetectedonGi0/1,puttingGi0/1inerr-disablestateerr-disabled的兩個(gè)作用的

3、：1. 告訴管理員端口狀態(tài)出錯(cuò)消除因某個(gè)端口的錯(cuò)誤導(dǎo)致所有端口，或者整個(gè)模塊功能的出錯(cuò).err-disabled狀態(tài)的起因：該特性最初是用于處理特定的沖突形勢，比如過分沖突(excessivecollisison)和后期沖突(latecollision).由于CSMA/CD機(jī)制的制定，當(dāng)發(fā)生16次沖突后幀將被丟棄，此時(shí)發(fā)生excessivecollision;而latecollision是指在發(fā)送方發(fā)送了64個(gè)字節(jié)之后，正常的和合法的沖突就不可能發(fā)生了.理論上正常的網(wǎng)絡(luò)傳播一定會(huì)在此之前就完成了，但是如果線路過長的話會(huì)在前64個(gè)字節(jié)完成后發(fā)生沖突，后期沖突和發(fā)生在前64個(gè)字節(jié)的沖突最明顯的區(qū)別

4、是后者網(wǎng)卡會(huì)白動(dòng)重新傳輸正常的沖突幀，但不會(huì)重傳后期沖突的幀.后期沖突發(fā)生在時(shí)間超時(shí)和中繼器的遠(yuǎn)端.一般而言,這樣的沖突在本地網(wǎng)段會(huì)簡單地判斷為一個(gè)幀校驗(yàn)序列(FCS)錯(cuò)誤.引起這種錯(cuò)誤的可能原因有：1. 線纜的不規(guī)范使用，比如超出了最大傳輸距離或者使用了錯(cuò)誤的線纜類型.2. 網(wǎng)卡的不正常工作(物理損壞或者驅(qū)動(dòng)程序的錯(cuò)誤).3. 端口雙工模式的錯(cuò)誤配置，如雙工不匹配.1. 雙工不匹配.2. 端口信道的錯(cuò)誤配置.3. 違反BPDU守護(hù)(BPDUGuard)特性.4. 單向鏈路檢測(UDLD).5. 檢測到后期沖突.6. 鏈路振蕩.7. 違反某些安全策略.8. 端口聚合協(xié)議(PAgP)的振蕩.9.

5、 層2隧道協(xié)議(L2TP)守護(hù)(L2TPGuard).10. DHCP偵聽限速.3、處理過程可以使用showinterfaces命令查看端口狀態(tài)，如：switch#showinterfacesgigabitethernet0/1statusPortNameStatusVlanDuplexSpeedTypeGi0/1err-disabled100full10001000BaseSX當(dāng)交換機(jī)的某個(gè)端口處于err-disabled狀態(tài)后，交換機(jī)將發(fā)送為什么這么做的日志信息到控制臺端口.也可以使用showlog查看系統(tǒng)日志，如：%SPANTREE-SP-2-BLOCK_BPDUGUARD:Receiv

6、edBPDUonportgigabitethernet0/1withBPDUGuardenabled.Disablingport.%PM-SP-4-ERR_DISABLE:bpduguarderrordetectedonGi0/1,puttingGi0/1inerr-disablestate%SPANTREE-2-CHNMISCFG:STPloop-channel11/1-2isdisabledinvlan1可以使用showinterfacesstatuserr-disabled命令查看處于err-disabled狀態(tài)的原因，如：switch#showinterfacesstatuserr-d

7、isabledPortNameStatusReasonErr-disabledVlansFa0/1err-disabledloopback當(dāng)出現(xiàn)err-disabled狀態(tài)后，首先要做的，是找出引起該狀態(tài)的根源，然后重新啟用該端口；如果順序不一致，將導(dǎo)致該端口再次進(jìn)入err-disabled狀態(tài).4、原因分析以比較常見的做為例子：1）.以太網(wǎng)信道（EC）的錯(cuò)誤配置：如果要讓EC能夠正常工作，參與到EC綁定的端口的配置，必須是一致的，比如處于同一VLAN,trunk模式相同，速率和雙工模式都匹配等等.如果一端配置了EC,而另一端沒有配置EC,STP將關(guān)閉配置了EC一方的參與到EC中的端口.并且當(dāng)

8、PAgP的模式是處于on模式的時(shí)候，交換機(jī)是不會(huì)向外發(fā)送PAgP信息去進(jìn)行協(xié)商的（它認(rèn)為對方是處于EC）.這種情況下STP判定出現(xiàn)環(huán)路問題，因此將端口設(shè)置為err-disabled狀態(tài).如:%SPANTREE-2-CHNL_MISCFDetectedloopduetoetherchannelmisconfigurationofGi0/1如下，查看EC信息顯示使用的信道組數(shù)量為0:SWITCH#showetherchannelsummaryFlags:D-downP-inport-channelI-stand-alones-suspendedH-Hot-standby(LACPonly)R-La

9、yer3S-Layer2U-inusef-failedtoallocateaggregatoru-unsuitableforbundlingNumberofchannel-groupsinuse:0Numberofaggregators:0EC沒有正常工作是由于端口被設(shè)置為err-disabled狀態(tài)：SWITCH#showinterfacesgigabitethernet0/1statusPortNameStatusVlanDuplexSpeedTypeGi0/1err-disabled100full10001000BaseSX為找出為何EC沒有正常工作，根據(jù)錯(cuò)誤信息暗示,STP檢測到環(huán)路.

10、之前提到過，這種情況的發(fā)生，是由于一方配置了EC,設(shè)置PAgP模式為on模式，這種模式和desirable模式正好相反，而另一方?jīng)]有配置EC.因此，為了解決這種問題的發(fā)生，將EC的PAgP模式設(shè)置為可以主動(dòng)協(xié)商的desirable模式.，然后再重新啟用該端口.如下：!interfacegigabitethernet0/12) .雙工模式不匹配：雙工模式不匹配的問題比較常見，由于速率和雙工模式白動(dòng)協(xié)商的故障，常導(dǎo)致這種問題的發(fā)生.可以使用showinterfaces命令查看雙方端口的速率和雙工模式.后期版本的CDP也能夠在將端口處于err-disabled狀態(tài)之前發(fā)出警告日志信息.另外，網(wǎng)卡的不

11、正常設(shè)置也將引起雙工模式的不匹配.解決辦法,如雙方不能白動(dòng)協(xié)商，使用duplex命令(CISCOIOS和CatOS有所不同)修改雙方雙工模式使之一致.3) .BPDUGuard:通常啟用了快速端口(PortFast)特性的端口用于直接連接端工作站這種不會(huì)產(chǎn)生BPDU的末端設(shè)備.由于PortFast特性假定交換機(jī)的端口不會(huì)產(chǎn)生物理環(huán)路，因此，當(dāng)在啟用了PortFast和BPDUGuard特性的端口上收到BPDU后,該端口將進(jìn)入err-disabled狀態(tài)，用于避免潛在環(huán)路.假如我們將兩臺6509交換機(jī)相連，在其中一臺上啟用PortFast特性并打開BPDUGuard特性：interfacegig

12、abitethernet0/1spanning-treebpduguardenablespanning-treeportfastenable此時(shí)將看到如下日志信息：%PM-SP-4-ERR_DISABLE:bpduguarderrordetectedonGi0/1,puttingGi0/1inerr-disablestate.PortNameStatusVlanDuplexSpeedTypeGi0/1err-disabled100fu驗(yàn)證：SWITCH#showinterfacesgigabitethernet0/1statusll10001000BaseSX像這種情況，不能啟用PortFas

13、t特性，因此禁用該特性可以解決該問題.4) .UDLD:UDLD協(xié)議允許通過光纖或銅線相連的設(shè)備監(jiān)控線纜的物理配置，并且可以檢測是否存在單向鏈路.如果檢測到有單向鏈路,UDLD將關(guān)閉相關(guān)端口并發(fā)出警告日志信息.單向鏈路可以引起一系列的問題，最常見的就是STP拓?fù)洵h(huán)路.注意，為了啟用UDLD，雙方必須都支持該協(xié)議,并且要單獨(dú)在每個(gè)端口啟用UDLD.如果你只在一方啟用了UDLD,同樣的會(huì)引起端口進(jìn)入err-disabled狀態(tài)，如:%PM-SP-4-ERR_DISABLE:udlderrordetectedonGi0/1,puttingGi0/1inerr-disablestate.5) .鏈路振

14、蕩錯(cuò)誤：鏈路振蕩(flap)是指短時(shí)間內(nèi)端口不停的處于up/down狀態(tài)，如果端口在10秒內(nèi)連續(xù)振蕩5次，端口將被設(shè)置為err-disabled狀態(tài)，如:%PM-4-ERR_DISABLE:link-flaperrordetectedonGi0/1,puttingGi0/1inerr-disablestate可以使用如下命令查看不同的振蕩的值：SWITCH#showerrdisableflap-valuesErrDisableReasonFlapsTime(sec)pagp-flap330dtp-flap330link-flap510引起鏈路震蕩的常見因素，可能是物理層的問題，比如GBIC的硬

15、件故障等等.因此解決這種問題通常先從物理層入手.6) .回環(huán)(loopback)錯(cuò)誤：當(dāng)keepalive信息從交換機(jī)的出站端口被發(fā)送出去后，又從該接口收到該信息，就會(huì)發(fā)生回環(huán)錯(cuò)誤.交換機(jī)默認(rèn)情況下會(huì)從所有端口向外發(fā)送keepalive信息.但由于STP沒能阻塞某些端口，導(dǎo)致這些信息可能會(huì)被轉(zhuǎn)發(fā)回去形成邏輯環(huán)路.因此出現(xiàn)這種情況后，端口將進(jìn)入err-disabled狀態(tài)，如:%PM-4-ERR_DISABLE:loopbackerrordetectedonGi0/1,puttingGi0/1in7) err-disablestate從CISCOIOS12.2SE之后的版本,keepalive信

16、息將不再從光纖和上行端口發(fā)送出去，因此解決這種問題的方案是升級CISCOIOS軟件版本到12.2SE或后續(xù)版本0.違反端口安全(PortSecurity)策略：端口安全特性提供了根據(jù)MAC地址，動(dòng)態(tài)的對交換機(jī)端口進(jìn)行保護(hù)的特性.違反該策略將導(dǎo)致端口進(jìn)入err-disabled狀態(tài).由于配置了port-securityviolationshutdown.5、經(jīng)驗(yàn)總結(jié)找到引起err-disabled狀態(tài)的根源后，如果沒有配置errdisablerecovery,此時(shí)端口仍然處于禁用狀態(tài).這種情況下，就必須手動(dòng)的重新啟動(dòng)這些端口(在接口下先shutdown再noshutdown).errdisabl

17、erecovery允許你根據(jù)錯(cuò)誤類型，在一定時(shí)間后(默認(rèn)值是300秒)白動(dòng)的重新啟用該端口.使用showerrdisablerecovery命令查看該特性的默認(rèn)設(shè)置：SWITCH#showerrdisablerecoveryErrDisableReasonTimerStatusudldDisabledbpduguardDisabledsecurity-violationDisabledpagp-flapdtp-flaplink-flapl2ptguardpsecure-violationgbic-invaliddhcp-rate-limitmac-limitunicast-floodarp-i

18、nspectionDisabledDisabledDisabledDisabledDisabledDisabledDisabledDisabledDisabledDisabledTimerinterval:300secondsInterfacesthatwillbeenabledatthenexttimeout:InterfaceErrdisablereasonTimeleft(sec)Fa2/4默認(rèn)情況下超時(shí)特性是禁用的擇相應(yīng)的條件：SWITCH#errdisablerecoverycause?其中對應(yīng)showerrdisablerecoverySWITCH#showerrdisablerecoveryErrDisableReaso