交換機(jī)端口狀態(tài)出現(xiàn)err-disabled的情況分析及解決方法

1、Cisco交換機(jī)端口由現(xiàn)“ err-disabled”狀態(tài)的情況分析1、引言通常情況下 ,如果交換機(jī)運(yùn)轉(zhuǎn)正常,其中端口一項(xiàng)顯示為啟用(enable)狀態(tài).但是如果交換機(jī)的軟件(CISCO IOS/CatOS)測(cè)到端口的一些錯(cuò)誤 ,端口將隨即被關(guān)閉 .也就是說(shuō),當(dāng)交換機(jī)的操作系統(tǒng)檢測(cè)到交換機(jī)端口發(fā)生些錯(cuò)誤事件的時(shí)候,交換機(jī)將自動(dòng)關(guān)閉該端口 .2、現(xiàn)象描述當(dāng)端口處于 err-disabled 狀態(tài) ,將沒(méi)有任何流量從該端口被轉(zhuǎn)發(fā)出去,也將不接收任何進(jìn)站流量.從交換機(jī)外觀上看去,端口相對(duì)應(yīng)的LED狀態(tài)燈也將由正常的綠色變?yōu)榘迭S色(或者叫做橘黃色，官方給的說(shuō)法是amber,琥珀色).同時(shí)使用查看端口狀

2、態(tài)的一些命令，比如showinterfaces,也會(huì)看到端口是處于err-disabled狀態(tài)的.還有種情況是，當(dāng)交換機(jī)因一種錯(cuò)誤因素導(dǎo)致端口被禁用(err- disabled),這種情況通常會(huì)看到類似如下日志信息 :%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-di

3、sable stateerr-disabled 的兩個(gè)作用的 :1 .告訴管理員端口狀態(tài)出錯(cuò).2 .消除因某個(gè)端口的錯(cuò)誤導(dǎo)致所有端口 ,或者整個(gè)模塊功能的出錯(cuò) .err-disabled 狀態(tài)的起因 :該特性最初是用于處理特定的沖突形勢(shì),比如過(guò)分沖突(excessivecollisison)和后期沖突(late collision).由于CSMA/CD機(jī)制的制定，當(dāng)發(fā)生16次沖突后幀將被丟棄，此時(shí)發(fā)生excessive collision;而latecollision 是指在發(fā)送方發(fā)送了 64 個(gè)字節(jié)之后,正常的和合法的沖突就不可能發(fā)生了 .理論上正常的網(wǎng)絡(luò)傳播一定會(huì)在此之前就完成了 ,但是如

4、果線路過(guò)長(zhǎng)的話會(huì)在前 64 個(gè)字節(jié)完成后發(fā)生沖突,后期沖突和發(fā)生在前 64 個(gè)字節(jié)的沖突最明顯的區(qū)別是后者網(wǎng)卡會(huì)自動(dòng)重新傳輸正常的沖突幀,但不會(huì)重傳后期沖突的幀.后期沖突發(fā)生在時(shí)間超時(shí)和中繼器的遠(yuǎn)端.一般而言,這樣的沖突在本地網(wǎng)段會(huì)簡(jiǎn)單地判斷為一個(gè)幀校驗(yàn)序列(FCS錯(cuò)誤.引起這種錯(cuò)誤的可能原因有：1 .線纜的不規(guī)范使用,比如超出了最大傳輸距離或者使用了錯(cuò)誤的線纜類型 .2 .網(wǎng)卡的不正常工作(物理?yè)p壞或者驅(qū)動(dòng)程序的錯(cuò)誤).3 .端口雙工模式的錯(cuò)誤配置,如雙工不匹配.如下是端口處于 err-disabled 狀態(tài)的幾種原因 :1 .雙工不匹配.2 .端口信道的錯(cuò)誤配置.3 .違反BPDU守護(hù)(B

5、PDU Guard特，性.4 .單向鏈路檢測(cè)(UDLD).5 .檢測(cè)到后期沖突.6 .鏈路振蕩.7 .違反某些安全策略.8 .端口聚合協(xié)議(PAgP羽振蕩.9 .層2隧道協(xié)議(L2TP方護(hù)(L2TP Guard).偵聽(tīng)限速 .3、處理過(guò)程可以使用show intefaces命令查看端口狀態(tài)，如：switch#show interfaces gigabitethernet 0/1 statusPortNameStatus Vlan DuplexSpeed TypeGi0/1err-disabled 100 full 1000 1000BaseSX當(dāng)交換機(jī)的某個(gè)端口處于err-disabled狀態(tài)

6、后，交換機(jī)將發(fā)送為什么這 么做的日志信息到控制臺(tái)端口 .也可以使用show 10g查看系統(tǒng)日志，如: %SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/

7、1-2 is disabled in vlan 1可以使用 show interfaces status err-disabled命令查看處于 err-disabled狀態(tài)的原因 ,如 :switch #show interfaces status err-disabledPort Name StatusReasonErr-disabled VlansFa0/1err-disabled loopback當(dāng)出現(xiàn) err-disabled 狀態(tài)后,首先要做的,是找出引起該狀態(tài)的根源,然后重新啟用該端口;如果順序不一致,將導(dǎo)致該端口再次進(jìn)入err-disabled 狀態(tài) .4、原因分析以比較常見(jiàn)的做

8、為例子 :1).以太網(wǎng)信道(EC的錯(cuò)誤配置：如果要讓EC能夠正常工作，參與到EC綁定的端口的配置，必須是一致 的,比如處于同一 VLAN,trunk模式相同，速率和雙工模式都匹配等等. 如果一端配置了 EC而另一端沒(méi)有配置EC,STP各關(guān)閉配置了 EC一方 的參與到EC中的端口.并且當(dāng)PAgP的模式是處于on模式的時(shí)候，交 換機(jī)是不會(huì)向外發(fā)送PAgP信息去進(jìn)彳f協(xié)商的(它認(rèn)為對(duì)方是處于EC).這種情況下STP判定出現(xiàn)環(huán)路問(wèn)題，因此將端口設(shè)置為err-disabled狀 態(tài).如:%SPANTREE-2-CHNL_MISCFDGe: tected loop due to etherchannel

9、misconfigurationof Gi0/1如下，查看EC信息顯示使用的信道組數(shù)量為0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Numbe

10、r of aggregators: 0EC沒(méi)有正常工作是由于端口被設(shè)置為err-disabled狀態(tài)：SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX 為找出為何ECS有正常工作 根據(jù)錯(cuò)誤信息暗示，STP僉測(cè)到環(huán)路.之前 提到過(guò)，這種情況的發(fā)生，是由于一方配置了 EC設(shè)置PAgP模式為on 模式，這種模式和desirable模式正好相反，而另一方?jīng)]有配置EC因止匕 為了解決這種問(wèn)題的

11、發(fā)生，將EC的PAgP模式設(shè)置為可以主動(dòng)協(xié)商的 desirable模式.，然后再重新啟用該端口 .如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent2) .雙工模式不匹配:雙工模式不匹配的問(wèn)題比較常見(jiàn) ,由于速率和雙工模式自動(dòng)協(xié)商的故障，常導(dǎo)致這種問(wèn)題的發(fā)生.可以使用show intefaces命令查看雙方端 口的速率和雙工模式.后期版本的CDP也能夠在將端口處于 err-disabled 狀態(tài)之前發(fā)出警告日志信息.另外, 網(wǎng)卡的不正常設(shè)置也將引起雙工模式的不匹配.解決辦法,如雙方不能自動(dòng)協(xié)商,使

12、用duplex命令（CISCO IOS口 CatOS有所不同）修改雙方雙工模式使之一致.3) .BPDU Guard:通常啟用了快速端口（PortFast特性的端口用于直接連接端工作站這 種不會(huì)產(chǎn)生BPDU的末端設(shè)備.由于PortFast特性假定交換機(jī)的端口不 會(huì)產(chǎn)生物理環(huán)路，因止匕當(dāng)在啟用了 PortFast和BPDU Guar皓性的端口 上收到BPDU后該端口將進(jìn)入err-disabled狀態(tài)用于避免潛在環(huán)路.假如我們將兩臺(tái) 6509 交換機(jī)相連,在其中一臺(tái)上啟用PortFast 特性并打開(kāi)BPDU Guard特，性：interface gigabitethernet 0/1spannin

13、g-tree bpduguard enablespanning-tree portfast enable此時(shí)將看到如下日志信息 :%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 inerr-disable state.驗(yàn)證 :SWITCH#show interfaces gigabitethernet 0/1 statusPort NameStatus Vlan Duplex SpeedType Gi0/1err-disabled 100full BaseSX像這種情況，不能啟用PortFast特性，

14、因此禁用該特性可以解決該問(wèn)題4) .UDLD:UDLD 協(xié)議允許通過(guò)光纖或銅線相連的設(shè)備監(jiān)控線纜的物理配置,并且可以檢測(cè)是否存在單向鏈路.如果檢測(cè)到有單向鏈路，UDLD將關(guān)閉 相關(guān)端口并發(fā)出警告日志信息 .單向鏈路可以引起一系列的問(wèn)題 ,最常 見(jiàn)的就是STPffi撲環(huán)路.注意，為了啟用UDLD雙方必須都支持該協(xié)議 并且要單獨(dú)在每個(gè)端口啟用UDLD如果你只在一方啟用了UDLD同樣的會(huì)引起端口進(jìn)入err-disabled 狀態(tài) ,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 in err-disable st

15、ate.5) .鏈路振蕩錯(cuò)誤:鏈路振蕩(flap)是指短時(shí)間內(nèi)端口不停的處于up/down狀態(tài)，如果端口在10秒內(nèi)連續(xù)振蕩5次，端口將被設(shè)置為err-disabled狀態(tài)，如：%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 in err-disable state可以使用如下命令查看不同的振蕩的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec) pagp-flap3 30 dtp-flap3 30 link-flap5

16、 10引起鏈路震蕩的常見(jiàn)因素，可能是物理層的問(wèn)題，比如GBIC的硬件故障等等.因此解決這種問(wèn)題通常先從物理層入手.6) .回環(huán)(loopback)錯(cuò)誤：當(dāng)keepalive信息從交換機(jī)的出站端口被發(fā)送出去后，又從該接口收到該信息 ,就會(huì)發(fā)生回環(huán)錯(cuò)誤.交換機(jī)默認(rèn)情況下會(huì)從所有端口向外發(fā)送keepalive信息.但由于ST喉能阻塞某些端口，導(dǎo)致這些信息可能會(huì)被轉(zhuǎn)發(fā)回去形成邏輯環(huán)路.因此出現(xiàn)這種情況后,端口將進(jìn)入errdisabled 狀態(tài) ,如 :%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 in err-di

17、sable state從CISCO IOS1后的版本，keepalive信息將不再?gòu)墓饫w和上行端口發(fā) 送出去，因此解決這種問(wèn)題的方案是升級(jí)CISCO IO軟件版本到或后續(xù)版本 。7) .違反端口安全(Port Security)策略：端口安全特性提供了根據(jù) MAC地址，動(dòng)態(tài)的對(duì)交換機(jī)端口進(jìn)行保護(hù)的特性 .違反該策略將導(dǎo)致端口進(jìn)入err-disabled 狀態(tài) . 由于配置了port-security violation shutdown.5、經(jīng)驗(yàn)總結(jié)找到引起err-disabled狀態(tài)的根源后，如果沒(méi)有配置errdisable recovery,此時(shí)端口仍然處于禁用狀態(tài).這種情況下,就必須手動(dòng)

18、的重新啟動(dòng)這些端口 (在接口下先 shutdown 再 no shutdown).errdisable recovery 允許你根據(jù)錯(cuò)誤類型,在一定時(shí)間后 (默認(rèn)值是 300秒)自動(dòng)的重新啟用該端口 .使用show errdisable recovery命令查看該特性的默認(rèn)設(shè)置:SWITCH#show errdisable recoveryErrDisable Reason Timer StatusudldDisabledbpduguard Disabledsecurity-violation Disabledchannel-misconfig Disabledpagp-flapDisable

19、ddtp-flapDisabledlink-flapDisabledl2ptguardDisabledpsecure-violation Disabledgbic-invalidDisableddhcp-rate-limit Disabledmac-limitDisabledunicast-floodDisabledarp-inspection DisabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec)Fa2/4 bpduguard 273默認(rèn)情況下超時(shí)特性是禁用的.如下是啟用errdisable recovery并選擇相應(yīng)的條件:SWITCH#errdisable recovery cause其中對(duì)應(yīng) show errdisable