交换机err-disable端口自动恢复(精)

1、端口出现err-disabled现象关于接口处于err-disable的故障排查故障症状:线路不通，物理指示灯灭或者显示为橙色（不同平台指示灯状态不同show in terface输出显示接口状态：FastEther netO/47 is dow n, li ne p rotocol is dow n (err-disabled接口状态是 err-disable。sw1#show in terfaces statusPort Name Status Vian Duplex Sp eed TypeFa0/47 err-disabled 1 auto auto 10/100BaseTX如果出现了接

2、口状态为 err-disable , show in terfaces status err-disable命 令能查 看触发err-disable的原因。F面示例原因为bpduguard在连接了交换机的端口配置了 spanning-treebp duguard en able sw1#show in terfaces status err-disabledPort Name Status Reas onFa0/47 err-disabled bp duguard接口产生err-disable的原因可以由以下的命令来查看，系统缺省的配置是所有ErrDisable Reas on Detecti

3、o n statusudid En abledbp duguard En abledsecurity-violatio En abledcha nn el-misc onfig En abledp secure-violati on En ableddhcp-rate-limit En ableduni cast-flood En abledvmps En abledpagp-fla p En ableddtp-flap En abledlin k-fla p En abledI2p tguard En abledgbic-i nvalid En abledloop back En abled

4、dhcp-rate-limit En ableduni cast-flood En ableddtp-flap Disabledlin k-fla p Disabled从列表中，我们可以看出常见的原因有 udld , bpduguard , link-flap以及loopback等。具体由什么原因导致当前接口err-disable可以由show in terface status err- disable来查看。在接口模式下采用shutdown,no shutdown进行手动的激活。在缺省配置下，一旦接口被置为err-disable , IOS将不会试图恢复接口。这个可以由 show errd

5、isable recovery来查看,timer status下面所有的值都是disable。下面的示例中，由于手工配置了 bpduguard恢复，所以timer status的值变为En able。sw1#show errdisable recoveryErrDisable Reas on Timer Statusudld Disabledbp duguard En abledsecurity-violatio Disabledcha nn el-misc onfig Disabledvmps Disabledpagp-fla p DisabledI2p tguard Disabledp s

6、ecure-violati on Disabledgbic-i nvalid Disableddhcp-rate-limit Disableduni cast-flood Disabledloop back DisabledTimer in terval: 300 sec ondsIn terfaces that will be en abled at the n ext timeout:In terface Errdisable reas on Time left(secFa0/47 bp duguard 217配置IOS重新激活errdisable的接口，使用以下命令：sw1(c on f

7、ig#errdisable recovery cause bp duguardsw1(c on fig#errdisable recovery cause ?all En able timer to recover from all causesbp duguard En able timer to recover from BPDU Guard error disable statecha nn el-misc onfig En able timer to recover from cha nnel misc onfig disable statedhcp-rate-limit En abl

8、e timer to recover from dhcp-rate-limit error disable statedtp-fla p En able timer to recover from dt p-flap error disable stategbic-i nvalid En able timer to recover from inv alid GBIC error disable stateI2p tguard En able timer to recover from I2p rotocol-t unnel error disable statelin k-fla p En

9、able timer to recover from lin k-fla p error disable stateloop back En able timer to recover from loop back detected disable statepagp-fla p En able timer to recover from pagp-flap error disable statep secure-violati on En able timer to recover from p secure violati on disable statesecurity-violatio

10、 n En able timer to recover from 802.1x violatio n disable stateudld En able timer to recover from udld error disable stateuni cast-flood En able timer to recover from uni cast flood disable statevmps En able timer to recover from vmps shutdow n error disable配置完上述命令后，IOS在一段时间后试图恢复被置为 err-disable的接口，

11、这段时间缺省为300秒。但是，如果引起err-disable的源没有根治，在恢复工作后，接口会 再次被置为err-disable。调整err-disable的超时时间，可以使用以下命令：sw1(c on fig#errdisable recovery in terval ?v30-86400> timer-i nterval(sec可以调整在30-86400秒,缺省是300秒。sw1#udld reset如果产生err-disable的原因是udld ,下面有一条命令非常管用：No p orts are disabled by UDLD.同时,接口在被置为err-disable的时候，通

12、常有一系列的日志产生，如下:*Mar 15 15:47:19.984: %SPANTREE-2-BL0CK BPDUGUARD: Received BPDU on port FastEthemetO/47 with BPDU Guard en abled. Disabli ng port.sw1#*Mar 15 15:47:19.984: %PM- 4-ERR_DISABLE: bp duguard error detected onFa0/47, p utt ing Fa0/47 in err-disable statesw1#*Mar 15 15:47:21.996: %LINK-3-U

13、PDOWN: In terface FastEthernet0/47, chan gedstate to dow n收集这些日志也非常管用。所以建议配置一个syslog server收集log信息。*sw1#show in terfaces statusPort Name Status Vlan Du.*开启errdisable功能，这样可以使用show errdisable来查看引发errdisable的原因是什么，再更加信息内容进行解决。*你要是想不影响使用的话，先用执行一下，将已经死掉的端口 , no sh 一下no errdisable detect cause loop back如果

14、没问题，肯定是环路了，你可再找时间，对怀疑有问题的switch用拔插法,个一个拔掉网线去查，当然，有更有效的方法，你可查看有问题的switch的所有rj45 和gi 口的状态,哪个有errdisable信息哪个就有问题。switch#show in terfaces status err-disabledPort Name Status Reas onFaO/22 err-disabled lin k-fla pFaO/37 For office in 100K err-disabled lin k-fla pFaO/41 unknow err-disabled lin k-fla pFa0/

15、42 Trai ning Dc066 err-disabled lin k-fla pFa0/45 P roduction line VM err-disabled lin k-fla pswitch#showerrdisable detectErrDisable Reas on Detectio n statuspagp-fla p En ableddtp-flap En abledlin k-fla p En abledI2p tguard En abledgbic-i nvalid En abledloop back En abledswitch#show in terfaces sta

16、tus err-disabledPort Name Status Reas onFaO/22 err-disabled lin k-fla pFaO/37 For office in 100K err-disabled lin k-flapFaO/41 unknow err-disabled lin k-fla pFa0/42 Trai ning Dc066 err-disabled lin k-fla pFa0/45 P roduction line VM err-disabled lin k-fla pswitch#sherrdisable flap-valuesErrDisable Re

17、as on Fla ps Time (secpag p-flap 3 30dtp-fla p 3 30link-flap 5 10 ( link-flap这就是因为链路质量不好导致的关闭 errdisable detectswitch# no errdisable detect cause allF面是刚找到的网上的一篇关于Err-diasble产生原因分析的文章，贴出与大家共享。ID #1009导致err-disable出现的几个常见原因感谢蛋蛋的热心帮助！但是有关前面提到的100pback的问题，我的意思是说cisco的交换机某端口收 到一个自己发出的loopback检测报文时，也就是说下

18、面的网 络存在环路，端口以据说配置的角色不同,分别如何处理此类现象。对 access的口好像放此端口到errdisable状 态！如果我们配置了 errdisable recovery就会过一段时间后自动恢复。而对于trunk的处理就不能如此粗燥了吧！因为自环可能只存在 某个vlan中,不能关闭整个trunk端口吧。导致err-disable出现的几个常见原因：1. EtherCha nnel misc on figurati on2. Dup lex mismatch3. BPDU port guard4. UDLD5. Li nk-fla p error6. Loop back error

19、7. Port security violati on1.当FEC两端配置不匹配的时候就会出现 err-disable。假设Switch A把FEC模式配置为on ,这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的,它假设Switch B已经配置好FEC 了。但实事上Swtich B并没有配置FEC ,当Switch B的这个状态超过1分钟后,Switch A的STP就认为有环路出现,因此也就出现了 err-disable。解决办法就是把 FEC的模式配置为channel-group 1 modedesirable non-silent这个意思是只有当双方的 FE

20、C协商成功后才建立channel否则 接口还处于正常状态。2.第二个原因就是双工不匹配。一端配置为half-du plex后,他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了 full-duplex ,他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err- disable了。3.第三个原 因BPDU ,也就是和portfast和BPDU guard有关。如果一个接口配置了 portfast，那 也就 是说这个接口应该和一个 pc连接，pc是不会发送spannin g-tree的BP DU帧的, 因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上 配置了 BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个 交换机接到这个同时配置了 portfast和BPDU guard接口上，于是这 个接口接到了 BPDU帧，因为配置了 BPDU guard,这个接口自然要进入到err-disable状态。解决 办法：no spanning-tree portfastbpduguard defaul或者直接把 portfast 关了。4.第四个原因是UDLD。UDLD是cisco