cisco设备出现的问题

1、关于 cisco errdisableshow inter statusshow inter status errshow errdisable recoveiy errdisable recovery cause ?(config)#no errdisable detect cause all errdisable recovery interval 300(config-if)#no keep交换机端口假死(err-disable)解决方法出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启 的状态下将该端口 “拯救”回来的方法。拯救步骤1：查看日志/端口的状态登录

2、进入交换机后，执行show log,会看到如下的提示：21w6d: %ethcntr-3-loop_back_detected: keepalive packet loop-back detected on fastethernet0/20.21 w6d: %pm-4-err_disable: loopback error detected on fa0/20, putting fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了 err-disable 状态。查看端口的状态switch# show inter fa0/20

3、 statusport name status vian duplex speed typefa0/20 link to databack叩 err-disabled 562 auto auto 10/100basetx 这条信息更加明确的表示了该端口处于err-disabled状态。既然看到了该端口是被置于了错误的状态了，我们就应该有办法将其再恢复成正常 的状态。拯救步骤2：将端口从错误状态中恢复回来进入交换机全局配置模式，执行errdisable recovery cause ?,会看到如下信息： switch(config)#eitdisable recovery cause ?all

4、enable timer to recover from all causesbpduguard enable timer to recover from bpdu guard error disable state channel-misconfig enable timer to recover from channel misconfig disable state dhcp-rate-limit enable timer to recover from dhcp-rate-limit error disable state dtp-flap enable timer to recove

5、r from dtp-flap error disable state gbic-invalid enable timer to recover from invalid gbic error disable state 12ptguard enable timer to recover from i2protocol-tunnel eitor disable state link-flap enable timer to recover from link-flap error disable state loopback enable timer to recover from loopb

6、ack detected disable state pagp-flap enable timer to recover from pagp-flap error disable state psecure-violation enable timer to recover from psecure violation disable state security-violation enable timer to recover from 802.lx violation disable state udld enable timer to recover from udld error d

7、isable state unicast-flood enable timer to recover from unicast flood disable state vmps enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有非常多的原因会引起端口被置于错误状态，由 于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直 接键入命令：switch(config)#errdisable recovery cause loopback 是啊，就这么简单的一条命令，就

8、把困挠我们很长时间的问题解决了，真的就这么 神奇。那么如何验证这条命令是生效了呢？拯救步骤3：显示被置于错误状态端口的恢复情况switch# show errdisable recovery errdisable reason timer status udld disabled bpduguard disabled security-violatio disabled channel-misconfig disabled vmps disabled pagp-flap disabled dtp-flap disabled link-flap disabled gbic-invalid dis

9、abled 12ptguard disabled psecure-violation disabled gbic-invalid disabled dhcp-rate-limit disabled unicast-flood disabled loopback enabled timer interval: 300 seconds interfaces that will be enabled at the next timeout: interface errdisable reason time left(sec)fa0/8 loopback 276fao/17 loopback 267f

10、a0/20 loopback 250从以上显示的信息可以看出，这台交换机有三个端口（fa0/8、fao/17、fa0/20）会 分别在276、267、250秒之后恢复为正常的状态，实际情况也是这样，等了几分钟以后，我 们找了一台笔记本电脑，分别接到这儿个端口上试了一下，端口都可以正常工作了。这下总 算在不重交换机的情况下，将几个处于“假死”状态的端口 “拯救” 了回来。关于接口处于err-disable的故障排查故障症状：线路不通，物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)show interface输出显示接口状态：fastetherneto/47 is down, line pr

11、otocol is down (etr-disabled)接口 状态是 err-disableoswl#show interfaces statusport name status vian duplex speed typefao/47 err-disabled 1 auto auto 10/100basetx如果出现了接口状态为 err-disable, show interfaces status err-disabled 命令能查看触发 err-disable 的原因。下面示例原因为bpduguard,在连接了交换机的端口配置了 spanning-tree bpduguard enab

12、le oswl #show interfaces status err-disabledport name status reasonfao/47 err-disabled bpduguard接口产生err-disable的原因可以由以下的命令来查看，系统缺省的配置是所有列出的原 因都能导致接口被置为err-disableosw 1 #show errdisable detecterrdisable reason detection statusudld enabledbpduguard enabledsecurity-violatio enabled channel-misconfig en

13、abled psecure-violation enabled dhcp-rate-limit enabled unicast-flood enabled vmps enabled pagp-flap enabled dtp-flap enabled link-flap enabled 12ptguard enabled gbicinvalid enabled loopback enabled dhcp-rate-limit enabled unicast-flood enabled 从列表中，我们可以看出常见的原因有udld, bpduguard, link-flap以及loopback等。

14、 具体由什么原因导致当前接口 err-disable可以由show interface status err-disable來查看。在接口模式下采用shutdown,no shutdown进行手动的激活。在缺省配置下，一旦接口被置为err-disable, ios将不会试图恢复接口。 这个可以由show errdisable recovery来查看，timer status下血所有的值都是disable0 下面的示例中，由于手工配置了 bpduguard恢复，所以timer status的值变为enable。swl#show errdisable recoveryerrdisable reas

15、on timer statusudld disabledbpduguard enabled security-violatio disabled channel-misconfig disabled vmps disabled pagp-flap disabled dtp-flap disabled link-flap disabled 12ptguard disabled psecure-violation disabled gbic-invalid disabled dhcp-rate-limit disabled unicast-flood disabled loopback disab

16、led timer interval: 300 seconds interfaces that will be enabled at the next timeout: interface errdisable reason time left(sec)fao/47 bpduguard 217配置ios重新激活errdisable的接口，使用以下命令：swl(config)#eirdisable recovery cause bpduguardswl(config)#errdisable recovery cause ? all enable timer to recover from all

17、 causes bpduguard enable timer to recover from bpdu guard error disable state channel-misconfig enable timer to recover from channel misconfig disable state dhcp-rate-limit enable timer to recover from dhcp-rate-limit error disable state dtp-flap enable timer to recover from dtp-flap error disable s

18、tate gbic-invalid enable timer to recover from invalid gbic error disable state 12ptguard enable timer to recover from 12protocol-tunnel error disable state link-flap enable timer to recover from link-flap error disable state loopback enable timer to recover from loopback detected disable state pagp

19、-flap enable timer to recover from pagp-flap error disable state psecure-violation enable timer to recover from psecure violation disable state security-violation enable timer to recover from 802lx violation disable state udld enable timer to recover from udld error disable stateunicast-flood enable

20、 timer to recover from unicast flood disable state vmps enable timer to recover from vmps shutdown eitor disable配置完上述命令ios在一段时间后试图恢复被置为err-disable的接口，这段时间缺 省为300秒。但是，如果引起err-disable的源没有根治，在恢复工作后，接口会再次被置为err-disableo 调整err-disable的超吋吋间，可以使用以下命令：swl(config)#errdisable recovery interval ?<30-86400&g

21、t; timer-interval(sec)可以调整在30-86400秒，缺省是300秒。如果产生err-disable的原因是udld,下面有一条命令非常管用：swl#ud1d resetno ports are disabled by udld.同时，接口在被置为err-disable的时候，通常有一系列的日志产生，如下：*mar 15 15:47:19.984: %spantree-2-block_bpduguard: received bpdu on port fastetherneto/47 with bpduguard enabled. disabling port.swl#*ma

22、r 15 15:47:19.984: %pm-4-err_disable: bpduguard error detected on fao/47, putting fao/47 in err-disable stateswl#*mar 15 15:47:21.996: %link-3-updown: interface fastetherneto/47, changed state to down收集这些口志也非常管用。所以建议配置一个syslog server,收集log信息。故障症状：线路不通，物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)show interface输出显示接口状态

23、：fastethemeto/47 is down, line protocol is down (en-disabled)接口状态是 err-disableoswl#show interfaces statusport name status vian duplex speed typefao/47 err-disabled 1 auto auto 10/100basetx女u果出现了接口状态为 err-disable, show interfaces status err-disabled 命令能查看触发 err-disable 的原因。下面示例原因为bpduguard,在连接了交换机的端口

24、配置了 spanning-tree bpduguard enable oswl#show interfaces status err-disabledbport name bstatus reasonfao/47 err-disabled lbjbpduguardb接口产生err-disable的原因可以由以下的命令來查看，系统缺省的配置是所有列岀的原 因都能导致接口被置为err-disableosw 1 #show errdisable detecterrdisable reason detection statusudld enabledbpduguard enabled security

25、-violatio enabled channel-misconfig enabled psecure-violation enabled dhcp-rate-limit enabled unicast-flood enabled vmps enabled pagp-flap enabled dtp-flap enabled link-flap enabled i2ptguard enabled gbic-invalid enabled loopback enabled dhcp-rate-limit enabled unicast-flood enabled 从列表中,我们可以看出常见的原因

26、有udld, bpduguard, link-flap以及loopback等。 具体由什么原因导致当前接口 err-disable可以由show interface suitus err-disable来查看。 在接口模式下采用shutdown,no shutdown进行手动的激活。在缺省配置下，一旦接口被置为err-disable, ios将不会试图恢复接口。这个可以由show errdisable recovery来查看，timer status下而所有的值都是disableo 下面的示例中，由于手工配置了 bpduguard恢复，所以timer status的值变为enable swl

27、#show errdisable recovery errdisable reason timer statusudld disabledbpduguard enabled security-violatio disabled channel-misconfig disabled vmps disabled pagp-flap disabled dtp-flap disabled link-flap disabled 12ptguard disabled psecure-violation disabled gbic-invalid disabled dhcp-rate-limit disab

28、led unicast-flood disabled loopback disabled timer interval: 300 seconds interfaces that will be enabled at the next timeout: interface errdisable reason time left(sec)fao/47 bpduguard 217配置ios重新激活errdisable的接口，使用以下命令：swl (config)#enrdisable recovery cause bpduguardswl (config)#eirdisable recovery c

29、ause ? all enable timer to recover from all causes bpduguard enable timer to recover from bpdu guard error disable state channel-misconfig enable timer to recover from channel misconfig disable state dhcp-rate-limit enable timer to recover from dhcp-rate-limit error disable state dtp-flap enable tim

30、er to recover from dtp-flap error disable state gbic-invalid enable timer to recover from invalid gbic error disable state 12ptguard enable timer to recover from 12protocol-tunnel error disable state link-flap enable timer to recover from link-flap error disable state loopback enable timer to recove

31、r from loopback detected disable state pagp-flap enable timer to recover from pagp-flap error disable state psecure-violation enable timer to recover from psecure violation disable state security-violation enable timer to recover from 802.lx violation disable state udld enable timer to recover from

32、udld error disable stateunicast-flood enable timer to recover from unicast flood disable state vmps enable timer to recover from vmps shutdown error disable 配置完上述命令后，ios在一段时间后试图恢复被置为err-disable的接口，这段时间缺 省为300秒。但是，如果引起err-disable的源没有根治，在恢复工作后，接口会再次被置为err-disable。 调整err-disable的超时时间，可以使用以下命令： swl(conf

33、ig)#errdisable recovery interval ?<30-86400> timer-interval(sec)可以调整在30-86400秒，缺省是300秒。如果产生err-disable的原因是udld,下面有一条命令非常管用： swl#udlcl resetno ports are disabled by udld 同时，接口在被置为err-disable的时候，通常有一系列的日志产生，如下： *mar 15 15:47:19.984: %spantree-2-block_bpduguard: received bpdu on port fastethernet

34、o/47 with bpduguard enabled. disabling port.swl#*mar 15 15:47:19.984: %pm-4-err_disable: bpduguard error detected on fao/47, putting fao/47 in err-disable stateswl#*mar 15 15:47:21.996: %link-3-updown: interface fastetherneto/47, changed state to dow n收集这些日志也非常管用。 所以建议配置一个syslog server,收集log信息。 swl#

35、show interfaces status port name status vian du.开启 errdisable 功能，这样可以使 用show errdisable来查看引发errdisable的原因是什么，再更加信息内容进行解决。你要是想不影响使用的话，先用no errdisable detect cause loopback执行一下，将已经 死掉的端口，nosh 下，如果没问题，肯定是环路了，你可再找时间，对怀疑有问题的switch 用拔插法，一个一个拔掉网线去查，当然，有更有效的方法，你可查看有问题的switch的 所有rj45和gi 口的状态，哪个有errdisable信息哪

36、个就有问题。switch#show in terfaces status err-disabledport name status reasonfao/22 err-disabled link-flapfao/37 for office in 100k err-disabled link-flapfao/41 unknow err-distibled link-flapfao/42 training dc066 err-disabled link-flapfao/45 production line vm err-disabled link-flapswitch#show errdisable

37、 detecterrdisable reas on detection statuspagp-flap enabled dtp-flap enabled linkflap enabled 12ptguard enabled gbic-invalid enabled loopbackenabledswitch#show interfaces status err-disabledport name status reasonfao/22 err-disabled link-flapfao/37 for office in 100k err-disabled link-flapfao/41 unk

38、now err-disabled link-flapfao/42 training dc066 err-disabled link-flapfao/45 production line vm err-disabled link-flapswitch#sh errdisable flap-valueserrdisable reason flaps time (sec)pagp-flap 3 30 dtp-flap 3 30 link-flap 5 10 ( link-flap这就是因为链路质量不好导致的) 关闭 errdisabledetectswitch#iio errdisable dete

39、ct cause all导致交换机接口出现err-disable的几个常见原因：1. etherchannel misconfiguration2. duplex mismatchsty!e=htext-indent： 2em">3. bpdu port guard4. udld5. link-flap error6. loopback error7. port security violation第一个当f ec两端配置不匹配的时候就会出现err-disable.假设switch a把fec模式 配置为on,这吋switch a是不会发送pagp包和相连的switch b去协

40、筒fec的，它假设switch b已经配置好fec 了。但实事上swtich b并没有配置fec,当switch b的这个状态超过1 分钟后，switch a的stp就认为有环路出现，因此也就出现了 emdisable.解决办法就是把 fec的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的fec 协商成功后才建立channel,否则接口还处于正常状态。第二个原因就是双工不匹配。一端配置为half-duplex后，他会检测对端是否在传输数 据，只有对端停止传输数据，他才会发送类似于ack的包來让链路叩，但对端却配置成了 full

41、-duplex,他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去， 链路状态就变成err- disable 了。三、第三个原因bpdu,也就是和portfast和bpdu guard有关。如果一个接口配置了 portfast,那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的bpdu帧 的，因此这个口也接收bpdu来生成spanning-tree,管理员也是出于好心在同一接口上配置 t bpdu guard来防止未知的bpdu帧以增强安全性，但他恰恰不小心把一个交换机接到这 个同时配置了 ponfasl和bpdugu如d接口上，于是这个接口接到

42、了 bpdu帧，因为配置了 bpdu guard,这个接fl 自然要进入到 err-disable 状态。解决办法：no spanning-tree portfast bpduguard default,或者直接把 portfast 关了。第四个原因是udld.udld是cisco的私有2层协议，用于检测链路的单向问题。有 的时候物理层是叩的，但链路层就是down,这时候就需要udld去检测链路是否是真的 up的。当ab两端都配置好udld后，a给b发送一个包含自己port id的udld帧，b收 到后会返回一个udld帧，并在其中包含了收到的a的port id,当a接收到这个帧并发现 自己的

43、port id也在其屮后，认为这链路是好的。反之就变成err-disable状态了。假设a配 置了 udld,而b没有配置udld： a给b发送一个包含自己port id的帧，b收到后并不 知道这个帧是什么，也就不会返回一个包含a的port id的udld帧，那么这时候a就认为 这条链路是一个单向链路，自然也就变成err-disable状态了。第五个原因就是链路的抖动，当链路在10秒内反复up、down五次，那么就进入 err-disable 状态。第六个原因就是keepalive loopback.在12.1ea之前，默认情况下交换机会在所有接口 都发送keepalive信息，由于一些不通交

44、换机协商spanning-tree可能会有问题，一个接口又 收到了自己发出的keepalive,那么这个接口就会变成err-disable 了。解决办法就是把keepalive 关了。或者把ios升到12.2se.最后一个原因，相对简单，就是由于配置了 potsecurity violation shiitdown+a/rjw rj* rjw rj* rj*rj*rj*rjw rjwrjw rjw1#vrp <5% rp v .卜 rp rp v .卜rp rp rf* rp rp rf* 卜 卜 rf* 卜rj% rj丄 丄 丄 丄 丄 丄丄2 *!> “上上 上 上 上；匕上匕

45、 上匕上匕 *1* 匕 匕 *1* 匕匕彳.彳.彳.彳.彳.彳.彳.彳哼哼交换机生err-disable的问题当出现err-disabled状态后，首先要做的，是找出引起该状态的根源，然后重新启用该端口; 如果顺序不一致，将导致该端口再次进入err-disabled状态.找出问题的根源，以比较常见的做为例子：1以太网信道(ec)的错误配置：如果要让ec能够正常工作，参与到ec绑定的端口的配置，必须是一致的,比如处于同一 vlan,trunk模式相同,速率和双工模式都兀配等等.如果一端配置了 ec,而另一端没有配置 ec,stp将关闭配置了 ec 一方的参与到ec中的端口并且当pagp的模式是处

46、于on模式的 时候，交换机是不会向外发送pagp信息去进行协商的(它认为对方是处于ec).这种情况下 stp判定出现环路问题，因此将端口设置为err-disabled状态.如：%spantree-2-chnl_miscfg: detected loop due to etherchannel misconfiguration ofgi2/l如下，查看ec信息显示使用的信道组数量为0:nuaiko#show etherchannel summaryflags: d - down p in port-channeli - stand-alone s - suspendedh - hotstandb

47、y (lacp only)r - layer3 s layer2u - in use f - failed to allocate aggregatoru - unsuitable for bundlingnumber of channel-groups in use: 0number of aggregators: 0ec没有正常工作是由于端口被设置为err-disabled状态：nuaiko#show interfaces gigabitethernet 2/1 statusport name status vian duplex speed typegi2/1 err-disabled

48、100 full 1000 looobasesx为找出为何ec没有正常工作，根据错误信息暗示,stp检测到坏路.之前提到过，这种情况 的发生，是由于一方配置了 ec,设置pagp模式为on模式，这种模式和desirable模式正好相反, 而另一方没有配置ec.因此，为了解决这种问题的发生，将ec的pagp模式设置为可以主动协 商的desirable模式.，然后再重新启用该端口.如下：iinterface gigabitethernet 2/1channel-group 1 mode desirable non-silent12 双工模式不匹配：双工模式不兀配的问题比较常见，由于速率和双工模式自

49、动协商的故障，常导致这种问题 的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的cdp也 能够在将端口处于err-disabled状态z前发出警告日志信息.另外，网卡的不正常设置也将引 起双工模式的不匹配.解决办法,如双方不能自动协商，使用duplex命令(ciscoios和catos有所不同)修改双方双工模式使之一致.3. bpdu guard:通常启用了快速端口(portfast)特性的端口用于直接连接端工作站这种不会产生bpdu 的末端设备.由于portfast特性假定交换机的端口不会产生物理环路，因此，当在启用了 portfast和bpdu guard特性的端口上收到bpdu后,该端口将进入err-disabled状态,用于避 免潜在环路.假如我们将两台6509交换机相连，在其中一台上启用portfast特性并打开bpdu guard特性：iinterface gigabitethernet 2/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下fl志信息：%pm-sp-4-err_disable: bpduguard error detected on gi2/1, putting gi2/1 in e