交換機端口狀態(tài)出現(xiàn)err-disabled的情況分析及解決方法

1、Cisco交換機端口由現(xiàn)“ err-disabled”狀態(tài)的情況分析1、引言通常情況下 ,如果交換機運轉(zhuǎn)正常,其中端口一項顯示為啟用(enable)狀態(tài).但是如果交換機的軟件(CISCO IOS/CatOS)測到端口的一些錯誤 ,端口將隨即被關(guān)閉 .也就是說,當交換機的操作系統(tǒng)檢測到交換機端口發(fā)生些錯誤事件的時候,交換機將自動關(guān)閉該端口 .2、現(xiàn)象描述當端口處于 err-disabled 狀態(tài) ,將沒有任何流量從該端口被轉(zhuǎn)發(fā)出去,也將不接收任何進站流量.從交換機外觀上看去,端口相對應(yīng)的LED狀態(tài)燈也將由正常的綠色變?yōu)榘迭S色(或者叫做橘黃色，官方給的說法是amber,琥珀色).同時使用查看端口狀

2、態(tài)的一些命令，比如showinterfaces,也會看到端口是處于err-disabled狀態(tài)的.還有種情況是，當交換機因一種錯誤因素導(dǎo)致端口被禁用(err- disabled),這種情況通常會看到類似如下日志信息 :%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-di

3、sable stateerr-disabled 的兩個作用的 :1 .告訴管理員端口狀態(tài)出錯.2 .消除因某個端口的錯誤導(dǎo)致所有端口 ,或者整個模塊功能的出錯 .err-disabled 狀態(tài)的起因 :該特性最初是用于處理特定的沖突形勢,比如過分沖突(excessivecollisison)和后期沖突(late collision).由于CSMA/CD機制的制定，當發(fā)生16次沖突后幀將被丟棄，此時發(fā)生excessive collision;而latecollision 是指在發(fā)送方發(fā)送了 64 個字節(jié)之后,正常的和合法的沖突就不可能發(fā)生了 .理論上正常的網(wǎng)絡(luò)傳播一定會在此之前就完成了 ,但是如

4、果線路過長的話會在前 64 個字節(jié)完成后發(fā)生沖突,后期沖突和發(fā)生在前 64 個字節(jié)的沖突最明顯的區(qū)別是后者網(wǎng)卡會自動重新傳輸正常的沖突幀,但不會重傳后期沖突的幀.后期沖突發(fā)生在時間超時和中繼器的遠端.一般而言,這樣的沖突在本地網(wǎng)段會簡單地判斷為一個幀校驗序列(FCS錯誤.引起這種錯誤的可能原因有：1 .線纜的不規(guī)范使用,比如超出了最大傳輸距離或者使用了錯誤的線纜類型 .2 .網(wǎng)卡的不正常工作(物理損壞或者驅(qū)動程序的錯誤).3 .端口雙工模式的錯誤配置,如雙工不匹配.如下是端口處于 err-disabled 狀態(tài)的幾種原因 :1 .雙工不匹配.2 .端口信道的錯誤配置.3 .違反BPDU守護(B

5、PDU Guard特，性.4 .單向鏈路檢測(UDLD).5 .檢測到后期沖突.6 .鏈路振蕩.7 .違反某些安全策略.8 .端口聚合協(xié)議(PAgP羽振蕩.9 .層2隧道協(xié)議(L2TP方護(L2TP Guard).偵聽限速 .3、處理過程可以使用show intefaces命令查看端口狀態(tài)，如：switch#show interfaces gigabitethernet 0/1 statusPortNameStatus Vlan DuplexSpeed TypeGi0/1err-disabled 100 full 1000 1000BaseSX當交換機的某個端口處于err-disabled狀態(tài)

6、后，交換機將發(fā)送為什么這 么做的日志信息到控制臺端口 .也可以使用show 10g查看系統(tǒng)日志，如: %SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/

7、1-2 is disabled in vlan 1可以使用 show interfaces status err-disabled命令查看處于 err-disabled狀態(tài)的原因 ,如 :switch #show interfaces status err-disabledPort Name StatusReasonErr-disabled VlansFa0/1err-disabled loopback當出現(xiàn) err-disabled 狀態(tài)后,首先要做的,是找出引起該狀態(tài)的根源,然后重新啟用該端口;如果順序不一致,將導(dǎo)致該端口再次進入err-disabled 狀態(tài) .4、原因分析以比較常見的做

8、為例子 :1).以太網(wǎng)信道(EC的錯誤配置：如果要讓EC能夠正常工作，參與到EC綁定的端口的配置，必須是一致 的,比如處于同一 VLAN,trunk模式相同，速率和雙工模式都匹配等等. 如果一端配置了 EC而另一端沒有配置EC,STP各關(guān)閉配置了 EC一方 的參與到EC中的端口.并且當PAgP的模式是處于on模式的時候，交 換機是不會向外發(fā)送PAgP信息去進彳f協(xié)商的(它認為對方是處于EC).這種情況下STP判定出現(xiàn)環(huán)路問題，因此將端口設(shè)置為err-disabled狀 態(tài).如:%SPANTREE-2-CHNL_MISCFDGe: tected loop due to etherchannel

9、misconfigurationof Gi0/1如下，查看EC信息顯示使用的信道組數(shù)量為0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Numbe

10、r of aggregators: 0EC沒有正常工作是由于端口被設(shè)置為err-disabled狀態(tài)：SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX 為找出為何ECS有正常工作 根據(jù)錯誤信息暗示，STP僉測到環(huán)路.之前 提到過，這種情況的發(fā)生，是由于一方配置了 EC設(shè)置PAgP模式為on 模式，這種模式和desirable模式正好相反，而另一方?jīng)]有配置EC因止匕 為了解決這種問題的

11、發(fā)生，將EC的PAgP模式設(shè)置為可以主動協(xié)商的 desirable模式.，然后再重新啟用該端口 .如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent2) .雙工模式不匹配:雙工模式不匹配的問題比較常見 ,由于速率和雙工模式自動協(xié)商的故障，常導(dǎo)致這種問題的發(fā)生.可以使用show intefaces命令查看雙方端 口的速率和雙工模式.后期版本的CDP也能夠在將端口處于 err-disabled 狀態(tài)之前發(fā)出警告日志信息.另外, 網(wǎng)卡的不正常設(shè)置也將引起雙工模式的不匹配.解決辦法,如雙方不能自動協(xié)商,使

12、用duplex命令（CISCO IOS口 CatOS有所不同）修改雙方雙工模式使之一致.3) .BPDU Guard:通常啟用了快速端口（PortFast特性的端口用于直接連接端工作站這 種不會產(chǎn)生BPDU的末端設(shè)備.由于PortFast特性假定交換機的端口不 會產(chǎn)生物理環(huán)路，因止匕當在啟用了 PortFast和BPDU Guar皓性的端口 上收到BPDU后該端口將進入err-disabled狀態(tài)用于避免潛在環(huán)路.假如我們將兩臺 6509 交換機相連,在其中一臺上啟用PortFast 特性并打開BPDU Guard特，性：interface gigabitethernet 0/1spannin

13、g-tree bpduguard enablespanning-tree portfast enable此時將看到如下日志信息 :%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 inerr-disable state.驗證 :SWITCH#show interfaces gigabitethernet 0/1 statusPort NameStatus Vlan Duplex SpeedType Gi0/1err-disabled 100full BaseSX像這種情況，不能啟用PortFast特性，

14、因此禁用該特性可以解決該問題4) .UDLD:UDLD 協(xié)議允許通過光纖或銅線相連的設(shè)備監(jiān)控線纜的物理配置,并且可以檢測是否存在單向鏈路.如果檢測到有單向鏈路，UDLD將關(guān)閉 相關(guān)端口并發(fā)出警告日志信息 .單向鏈路可以引起一系列的問題 ,最常 見的就是STPffi撲環(huán)路.注意，為了啟用UDLD雙方必須都支持該協(xié)議 并且要單獨在每個端口啟用UDLD如果你只在一方啟用了UDLD同樣的會引起端口進入err-disabled 狀態(tài) ,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 in err-disable st

15、ate.5) .鏈路振蕩錯誤:鏈路振蕩(flap)是指短時間內(nèi)端口不停的處于up/down狀態(tài)，如果端口在10秒內(nèi)連續(xù)振蕩5次，端口將被設(shè)置為err-disabled狀態(tài)，如：%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 in err-disable state可以使用如下命令查看不同的振蕩的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec) pagp-flap3 30 dtp-flap3 30 link-flap5

16、 10引起鏈路震蕩的常見因素，可能是物理層的問題，比如GBIC的硬件故障等等.因此解決這種問題通常先從物理層入手.6) .回環(huán)(loopback)錯誤：當keepalive信息從交換機的出站端口被發(fā)送出去后，又從該接口收到該信息 ,就會發(fā)生回環(huán)錯誤.交換機默認情況下會從所有端口向外發(fā)送keepalive信息.但由于ST喉能阻塞某些端口，導(dǎo)致這些信息可能會被轉(zhuǎn)發(fā)回去形成邏輯環(huán)路.因此出現(xiàn)這種情況后,端口將進入errdisabled 狀態(tài) ,如 :%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 in err-di

17、sable state從CISCO IOS1后的版本，keepalive信息將不再從光纖和上行端口發(fā) 送出去，因此解決這種問題的方案是升級CISCO IO軟件版本到或后續(xù)版本 。7) .違反端口安全(Port Security)策略：端口安全特性提供了根據(jù) MAC地址，動態(tài)的對交換機端口進行保護的特性 .違反該策略將導(dǎo)致端口進入err-disabled 狀態(tài) . 由于配置了port-security violation shutdown.5、經(jīng)驗總結(jié)找到引起err-disabled狀態(tài)的根源后，如果沒有配置errdisable recovery,此時端口仍然處于禁用狀態(tài).這種情況下,就必須手動

18、的重新啟動這些端口 (在接口下先 shutdown 再 no shutdown).errdisable recovery 允許你根據(jù)錯誤類型,在一定時間后 (默認值是 300秒)自動的重新啟用該端口 .使用show errdisable recovery命令查看該特性的默認設(shè)置:SWITCH#show errdisable recoveryErrDisable Reason Timer StatusudldDisabledbpduguard Disabledsecurity-violation Disabledchannel-misconfig Disabledpagp-flapDisable

19、ddtp-flapDisabledlink-flapDisabledl2ptguardDisabledpsecure-violation Disabledgbic-invalidDisableddhcp-rate-limit Disabledmac-limitDisabledunicast-floodDisabledarp-inspection DisabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec)Fa2/4 bpduguard 273默認情況下超時特性是禁用的.如下是啟用errdisable recovery并選擇相應(yīng)的條件:SWITCH#errdisable recovery cause其中對應(yīng) show errdisable