来源:蜘蛛抓取(WebSpider)
时间:2013-01-25 23:34
标签:
交换机端口
请问大家cisco交换机端口是up状态,该端口连接的服务器网卡灯也是亮的,但ping不通是怎么回事?难道是我程序引起的吗?
[问题点数:20分,无满意结帖,结帖人bithuan]
请问大家cisco交换机端口是up状态,该端口连接的服务器网卡灯也是亮的,但ping不通是怎么回事?难道是我程序引起的吗?
[问题点数:20分,无满意结帖,结帖人bithuan]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
相关帖子推荐:
本帖子已过去太久远了,不再提供回复功能。您所在的位置: &
交换机级联端口变化导致断网的故障分析排查
交换机级联端口变化导致断网的故障分析排查
我们今天主要向大家讲述的是交换机级联端口变化而导致断网,以及对交换机故障分析排查,交换机故障故障解决等内容的描述。
以下的文章主要向大家描述的是交换机级联端口变化而导致断网,交换机可以称之为局域网中核心&枢纽&设备,组网规模相对较大的局域网使用的交换机数量也就越多,它们之间的位置变化可能也比较频繁。
网管:交换机级联端口变化导致断网 网管:交换机级联端口变化导致断网[2] 网管:交换机级联端口变化导致断网[3] 交换机是局域网中的一种核心&枢纽&设备,组网规模相对较大的局域网使用的交换机数量往往比较多,它们之间的位置变化可能也比较频繁。
在这样的工作环境中,网络管理员必须根据交换机的特点以及性能进行合理部署,因为我们的随意部署或许给网络的正常运行、维护带来隐患。现在,本文和大家分享一个由于交换机级联端口的变化引发无法上网的案例,希望能对大家高效管理局域网带来帮助。
交换机级联端口变化导致断网之交换机故障现象
某大楼局域网规模较大,大约有300台左右的计算机分布在各个楼层,每个楼层驻扎的单位不尽相同,有的楼层只有一个单位,有的楼层最多能同时包含四家单位;为了既能高效管理大楼网络,又能确保大楼内的各家单位上网安全。
网络管理员选用了可管理的H3C S3050型号交换机作为楼层交换机,并在楼层交换机中根据单位家数的不同,为各个单位单独划分一个虚拟工作子网,这样一来即使某个单位内部的网络中遭遇了病毒袭击,也不会影响到其他单位的正常上网,同时网络管理员在排除网络故障时,只需要将故障排查范围锁定在某一个虚拟工作子网中,而不需要大范围地进行寻找、排查故障节点。
经过网络管理员的合理规划、正确配置后,大楼中的各个单位工作子网平时都能正常访问Internet网络。可是,最近又有一些单位住进大楼,为了保证这些单位的人员也能正常上网,不得已网络管理员只好对大楼网络进行一些升级改造。
现在,网络管理员打算将位于三楼的S3楼层交换机放置到四楼,并让其与本来就放置在四楼的S4楼层交换机进行级联;先前S3楼层交换机是通过1交换端口与大楼网络的核心交换机进行级联的,在变换位置后,该交换机改成使用2交换端口与S4楼层交换机进行级联。
在完成物理连接的变动之后,网络管理员发现,设置在S3楼层交换机中的虚拟工作子网5、虚拟工作子网6都不能正常访问Internet网络了,这让网络管理员百思不得其解,交换机还是那台交换机,各个虚拟工作子网的配置参数也没有发生改动,只是改变了一下交换机的级联端口,划分在该交换机上的所有虚拟工作子网为什么就不能正常访问网络了呢?
交换机级联端口变化导致断网之交换机故障分析排查
1、测试交换机状态
经过仔细分析,网络管理员认为对于那些支持即插即用功能的交换机来说,更改交换机的级联端口,应该不会影响对应交换机下虚拟工作子网的工作状态,但现在S3楼层交换机的级联端口位置发生改变后,划分在该交换机上的虚拟工作子网5、虚拟工作子网6都不能正常访问Internet网络了,显然该故障是由于交换机的级联端口变化引起的。
考虑到S3楼层交换机现在是通过S4楼层交换机连接到大楼网络中的,会不会是S4楼层交换机的工作状态不正常,造成了S3楼层交换机下面的虚拟工作子网无法正常访问Internet网络呢?想到这一点,网络管理员立即从S4楼层交换机下面的虚拟工作子网中找了一台计算机进行上网测试,测试发现该计算机可以正常上网;网络管理员还是有点不放心,他又接连选择了其他计算机进行上网测试,测试结果都很正常,这说明S4楼层交换机的工作状态很正常。
2、测试级联端口状态
经过上述排查,网络管理员断定问题出在S3楼层交换机、S4楼层交换机的级联端口上,于是他打算检查一下这两个交换端口的详细配置信息。注意打定后,网络管理员立即使用交换机随机配备的控制线缆连接到S3楼层交换机,然后以超级终端方式登录进入S3楼层交换机的后台管理系统,在该系统的命令行状态执行&system&命令,切换进入系统全局配置状态,再在该状态下输入字符串命令&display interface ethernet 0/2&,单击回车键后。
网络管理员从其后返回的结果界面中发现S3楼层交换机ethernet 0/2端口的工作状态处于&up&状态,这说明该级联端口处于在线启用状态;按照同样的操作方法,网络管理员又登录进入S4楼层交换机的后台管理系统,并在该系统的全局配置状态下,查看了连接S3楼层交换机的级联端口工作状态,结果发现S4楼层交换机的级联端口工作状态同样也处于&up&状态。检查出来的结果再一次让网络管理员陷入了沉思,既然S3楼层交换机、S4楼层交换机的级联端口工作状态都正常,那为什么S3楼层交换机不能通过S4楼层交换机访问Internet网络呢?
3、检查级联端口配置
在排除了交换机自身状态以及级联端口状态因素后,网络管理员又开始怀疑起S3楼层交换机的级联端口配置了,因为之前S3楼层交换机使用1交换端口与核心交换机进行级联的,现在使用的是2交换端口与S4楼层交换机进行级联的,会不会是级联端口位置变化后,下面的虚拟工作子网需要重新进行划分、配置呢?
网络管理员打算先比较一下S3楼层交换机上1交换端口与2交换端口之间的参数配置究竟有什么不同,想到做到,他立即按照前面的操作方法登录进入S3楼层交换机后台管理界面,并在全局配置状态下依次执行字符串命令&display interface ethernet 0/1&、&display interface ethernet 0/2&,然后仔细对比了两个命令返回的结果信息;经过仔细对比,网络管理员发现1交换端口的&Port link-type&数值为&trunk&,而2交换端口的&Port link-type&数值为&access&,难道是交换端口的连接类型发生变化造成了S3楼层交换机下面的虚拟工作子网无法正常访问Internet网络的?
经过上网搜索,网络管理员发现对于可管理的交换机来说,每个交换端口可以设置为Access、Trunk、Multi等三种不同的链接类型,其中Access类型的交换端口只允许1个虚拟工作子网通过,它通常用于连接普通的计算机,Trunk类型的交换端口可以允许多个虚拟工作子网通过,它一般会被设置在级联端口上,而Multi类型的交换端口既能允许1个虚拟工作子网通过,也能同时允许多个虚拟工作子网通过,它的主要用途是既能用来连接交换机,又能用来连接普通的计算机。
我们可以在相同的一台交换机中,同时设置启用不同的连接类型,只是Trunk类型的交换端口和Multi类型的交换端口相互之间不能直接切换,必须先要经过Access类型的中转才能相互切换。依照上面的分析,网络管理员很轻松地就找到上述故障的具体根源,那就是S3楼层交换机使用2交换端口与S4楼层交换机进行级联时,2交换端口的&Port link-type&参数设置不当,造成了对应交换机下面的多个虚拟工作子网无法通过2交换端口进行网络访问。
小提示:Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机从而扩展已配置的多个虚拟工作子网;同时,Trunk链路可以连接一台交换机或者路由器或者服务器(特殊网卡),还可以采用通过Trunk技术和上级交换机级联的方式来扩展接口的数量,可以达到近似堆叠的功能,节省了网络硬件的成本。
此外,Trunk链路不属于任何一个虚拟工作子网,它只是在网络中起到了管道的作用。Trunk承载的虚拟工作子网范围,默认下是1~1005,可以修改,但必须有1个Trunk协议。使用Trunk时,两台交换机连接接口上的协议要一致。配置为Trunk链路的接口,通常都是交换机上支持最大带宽的带宽口。
交换机级联端口变化导致断网之交换机故障故障解决
弄清楚了具体的故障原因后,多个虚拟工作子网无法上网的故障现象也就很好解决了,网络管理员现在只要修改S3楼层交换机的配置参数,将2交换端口的&Port link-type&参数由&Access&变成&Trunk&就可以了,那样一来划分在S3楼层交换机上的虚拟工作子网5、虚拟工作子网6就能一起通过2交换端口访问Internet网络了。
在修改S3楼层交换机2交换端口的链接类型参数时,网络管理员先通过Console控制线缆直接连接到目标交换上,再以系统管理员权限登录进入后台管理系统,之后执行字符串命令&system&,切换进入对应交换机系统的全局配置状态;
下面在系统全局状态下执行字符串命令&interface ethernet 0/2&,进入2交换端口的视图配置模式,在目标交换端口的视图模式下再输入字符串命令&port link-type trunk&,单击回车键后,S3楼层交换机的2端口链接类型就被成功修改为了&trunk&;
为了让S3楼层交换机下的所有虚拟工作子网都能通过该Trunk端口访问Internet网络,网络管理员在2交换端口的视图配置模式下继续执行了字符串命令&port trunk permit vlan all&,这样一来S3楼层交换机上无论划分了多少个虚拟工作子网,都能通过该目标交换端口上网。
完成上面的配置任务后,网络管理员最后又执行了字符串命令&save&,此时系统屏幕上弹出了如图3所示的操作提示,单击键盘上的&Y&键,这样一来S3楼层交换机系统就会自动保存好上述设置操作。
依照同样的操作思路,网络管理员又登录进入S4楼层交换机,并在该系统后台将与2交换端口相连时使用的级联端口链接类型也修改为了&Trunk&。最后进行上网测试时,果然S3楼层交换机下面的所有虚拟工作子网都能正常上网了,至此由级联端口变化引发的无法上网故障就被成功排除了。
为了便于管理和维护网络,同时为了避免网络病毒大面积传播,现在的局域网几乎都被划分了若干个虚拟工作子网,在这种情形下调整或改变网络设备位置是常有的事情,并且每次进行网络调整时,原先划分的虚拟工作子网往往都不会再生效,这是否意味着网络管理员需要重新花费力。
【编辑推荐】
【责任编辑: TEL:(010)】
关于&&的更多文章
为更好地应对互联网安全挑战,交流最新的安全技术与解决方案,国
315晚会现场演示了黑客用免费WiFi窃取用户邮箱账号和密码的过程……
“Cookies”也被称为HTTP cookies、网络cookies或浏览
创新的思科安全数据中心解决方案是唯一能够保护整个数
热播谍战电影《007:大破天幕杀机》中,英国情报处面
本书将实时系统、实时统一建模语言、实时系统的统一开发过程和Rational Rose RealTime建模环境有机地结合起来,以案例为基础,系
51CTO旗下网站相关文章推荐:
cisco查看端口流量
witch-4#show mac address-table
cisco交换机查看端口所连pc的MAC地址
#列出连接的所有机器的MAC地址
Switch-4#show mac address-table
#列出单个接口所边机器的MAC地址
Switch-4#show mac address-table
interface f0/1
获取到结果后再通过WIN/LINUX 相关命令获取网络内的MAC与对应IP
LINUX 获取本局域网IP 192.168.166.202 - &替换为执行机器IP
192.168.1...
网络与安全
阅读(150) 回复(0)
其他文章推荐
cisco交流机端口ipmac绑定
基于端口的MAC地址绑定
思科2950交换机为例,登录进入交换机,输入治理口令进入配置模式,敲入命令:
Switch#c onfig terminal
进入配置模式
Switchconfig# Interface fastethernet 0/1
#进入具体端口配置模式
Switchconfigif#Switchport portsecruity
#配置端口保险模式
Switchconfigif switchport portsecurity macaddress MAC主机的MAC地址
#配置该端口要绑定...
阅读(0) 回复(0)
cisco3750 端口假死
cisco-3750-1#show log
May 14 00:44:00: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/8, changed
state to down
May 14 00:44:00: %PM-4-ERR_DISABLE: link-flap error detected on Gi1/0/8, putting Gi1/0/8 in
err-disable state
May 14 00:44:01: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/8, changed state to down
cisco-3750-1#show int Gi1/0/8
GigabitEth...
网络与安全
阅读(60) 回复(0)
先进思科防火墙,telnet 192.168.1.254
输入密码:
系统变成ciscoasa&
再输入en回车后
再次输入密码
系统变成ciscoasa#这个时候输入show running-config回车后
可以看到端口E0/0配的外网地址是多少,e0/配的内网地址是多少,和没有配的端口地址。还能看见访问列表access-list。再往下看可以看到具体的网络映射地址。可以看到公网地址的那个端口具体映射到内网地址的那个端口。
后在里面...
阅读(120) 回复(1)
在日常工作有大量的接入层交换机cisco等的端口,因某种原因会出现err-disable状态,有时适合自动恢复,有时需要查明原因后手式恢复。若不能及时恢复,可能会误以为接入线故障,会增加查找线位工作量。为此,通知SNMPTrap包将该类状态的端口发给Nagios,由Nagios自动发报警信息给网络管理员。
文件信息如下:
1。err-disable.pl
从Trap包分析出err-diable信息,并输入出nagios外部命令。
2。nagios_object_host.txt
网络与安全
阅读(0) 回复(0)
端口聚集协议(PAgP)帮助在快速以太通道链接中联系自动生成。PAgP
分组为了商议一个通道的形成在快速以太通道可能的端口发送。
PAgP是cisco的专有协议
PAgP的工作模式
auto(自动) -----passive
desirable(协商)-----active
IEEE对应协议为LACP是国际标准
做ETHNET PORT
CHANNEL反正就PAGP和LAGP.
LAGP是国际标准,PAGP是cisco的东西。
PAGP关键字包括ON,AUTO,DERISABLE
阅读(210) 回复(0)
cisco能智能判定端口故障,为了防止故障商品重量发包,并断开故障端口,这里交换机会为该端口打开err-disabled标签。
一,显示err-disabled 分类。
C3560-48-wx23#show errdisable recovery
ErrDisable Reason
Timer Status
-----------------
--------------
security-violatio
channel-misconfig
网络与安全
阅读(1290) 回复(1)
对于交换机之间的连接,比较熟悉的应该有两种:一、是堆叠,二、是级连。对于级连的方式比较容易造成交换机之间的瓶颈,而虽然堆叠技术可以增加背板 速率,能够消除交换机之间连接的瓶颈问题,但是,受到距离等的限制很大,而且对交换机数量的限制也比较严格。cisco公司推出的交换机集群技术,
成是堆叠和级连技术的综合。这种技术可以将分布在不同地理范围内的交换机逻辑地组合到一起,可以进行统一的管理。具体的实现方...
阅读(60) 回复(0)
cisco ACL 一例
标签:cisco permit deny acl
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://dngood./169
QQ 群内问题
深圳@走&.......@qq.com& 10:03:15
北京@dongnan() 10:20:21
acl 可否?
1 使用cisco Packet Tracer 准备测试环境
网络与安全
阅读(150) 回复(0)
路由器管理
(防火墙型号:cisco 2600)
(整理时间:)
一、 清空路由器原来配置
1、2500系列的路由器命令:
erase startup-config
2、2600系列的路由器命令:
Router(config)#erase nvram
Router(config)#delete nvram:startup-config
二、 路由器的用户管理
1、 关于cisco 设备上的用户:
思科设备上的权限等级从0~15,缺省情况...
网络与安全
阅读(390) 回复(0)
转自:http://blog.chinaunix.net/uid--id-2156322.html
注意:PACKETTRACER不支持该功能,真机支持。。
在“过去”,你在一个访问控制列表中唯一可以添加一条新条目的位置就是它的底部。在访问控制列表的指定位置添加条目的是不可能实现的工作。如果你想在一个已经存在的访问控制列表的指定位置添加条目,就必须将其所有内容复制到记事本中,进行修改,并删除现有的访问控制列表,将新修改的作为新列表,进行...
网络与安全
阅读(0) 回复(0)
盛拓传媒:
北京皓辰网域网络信息技术有限公司. 版权所有
北京市公安局海淀分局网监中心备案编号:
广播电视节目制作经营许可证:编号(京)字第1149号
ITPUB推荐文章解答你所有技术难题jiningde 的BLOG
用户名:jiningde
文章数:57
评论数:21
访问量:169326
注册日期:
[匿名]51cto游客:
51CTO推荐博文
出现了这个问题,我们不得不重视起交换机端口“假死”的现象,寻求在交换机不重启的状态下将该端口“拯救”回来的方法。
拯救步骤1:查看日志/端口的状态 登录进入交换机后,执行show log,会看到如下的提示: 21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20. 21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state 以上信息就明确表示由于检测到第20端口出现了环路,所以将该端口置于了err-disable状态。 &&& 查看端口的状态 Switch# show inter fa0/20 status Port&&&&& Name&&&&&&&&&& Status&&&&&&& Vlan&& Duplex Speed Type Fa0/20&&& link to databackup err-disabled 562&&&&&&&&& auto&& auto 10/100BaseTX 这条信息更加明确的表示了该端口处于err-disabled状态。 既然看到了该端口是被置于了错误的状态了,我们就应该有办法将其再恢复成正常的状态。
&&& 拯救步骤2:将端口从错误状态中恢复回来 进入交换机全局配置模式,执行errdisable recovery cause ?,会看到如下信息: Switch(config)#errdisable recovery cause ? all&&&&&&&&&&&&&&&& Enable timer to recover from all causes bpduguard&&&&&&&&&& Enable timer to recover from BPDU Guard error disable state channel-misconfig&& Enable timer to recover from channel misconfig disable state dhcp-rate-limit&&&& Enable timer to recover from dhcp-rate-limit error disable state dtp-flap&&&&&&&&&&& Enable timer to recover from dtp-flap error disable state gbic-invalid&&&&&&& Enable timer to recover from invalid GBIC error disable state l2ptguard&&&&&&&&&& Enable timer to recover from l2protocol-tunnel error disable state link-flap&&&&&&&&&& Enable timer to recover from link-flap error disable state loopback&&&&&&&&&&& Enable timer to recover from loopback detected disable state pagp-flap&&&&&&&&&& Enable timer to recover from pagp-flap error disable state psecure-violation&& Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld&&&&&&&&&&&&&&& Enable timer to recover from udld error disable state unicast-flood&&&&&& Enable timer to recover from unicast flood disable state vmps&&&&&&&&&&&&&&& Enable timer to recover from vmps shutdown error disable state 从列出的选项中,我们可以看出,有非常多的原因会引起端口被置于错误状态,由于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的,所以就可以直接键入命令: Switch(config)#errdisable recovery cause loopback
是啊,就这么简单的一条命令,就把困挠我们很长时间的问题解决了,真的就这么神奇。那么如何验证这条命令是生效了呢?
&&& 拯救步骤3:显示被置于错误状态端口的恢复情况 Switch# show errdisable recovery ErrDisable Reason&&& Timer Status -----------------&&& -------------- udld&&&&&&&&&&&&&&&& Disabled bpduguard&&&&&&&&&&& Disabled security-violatio&&& Disabled channel-misconfig&&& Disabled vmps&&&&&&&&&&&&&&&& Disabled pagp-flap&&&&&&&&&&& Disabled dtp-flap&&&&&&&&&&&& Disabled link-flap&&&&&&&&&&& Disabled gbic-invalid&&&&&&&& Disabled l2ptguard&&&&&&&&&&& Disabled psecure-violation&&& Disabled gbic-invalid&&&&&&&& Disabled dhcp-rate-limit&&&&& Disabled unicast-flood&&&&&&& Disabled loopback&&&&&&&&&&&& Enabled Timer interval: 300 seconds Interfaces that will be enabled at the next timeout: Interface&&& Errdisable reason&&& Time left(sec) ---------&&& -----------------&&& -------------- Fa0/8&&&&&&&&&&&&& loopback&&&&&&&&&&&&& 276 Fa0/17&&&&&&&&&&&& loopback&&&&&&&&&&&&& 267 Fa0/20&&&&&&&&&&&& loopback&&&&&&&&&&&&& 250 从以上显示的信息可以看出,这台交换机有三个端口(Fa0/8、Fa0/17、Fa0/20)会分别在276、267、250秒之后恢复为正常的状态,实际情况也是这样,等了几分钟以后,我们找了一台笔记本电脑,分别接到这几个端口上试了一下,端口都可以正常工作了。这下总算在不重交换机的情况下,将几个处于“假死”状态的端口“拯救”了回来。
关于接口处于err-disable的故障排查 故障症状: 线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同) show interface 输出显示接口状态: FastEthernet0/47 is down, line protocol is down (err-disabled) 接口状态是err-disable。
sw1#show interfaces status
Port Name Status Vlan Duplex Speed Type Fa0/47 err-disabled 1 auto auto 10/100BaseTX
如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因。 下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable。
sw1#show interfaces status err-disabled Port Name Status Reason Fa0/47 err-disabled bpduguard 接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-disable。
sw1#show errdisable detect ErrDisable Reason Detection status ----------------- ---------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled dhcp-rate-limit Enabled unicast-flood Enabled vmps Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled gbic-invalid Enabled loopback Enabled dhcp-rate-limit Enabled unicast-flood Enabled 从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。 具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。
在接口模式下采用shutdown,no shutdown进行手动的激活。 在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。 这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable。 下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable。
sw1#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Disabled bpduguard Enabled security-violatio Disabled channel-misconfig Disabled vmps Disabled pagp-flap Disabled dtp-flap Disabled link-flap Disabled l2ptguard Disabled psecure-violation Disabled gbic-invalid Disabled dhcp-rate-limit Disabled unicast-flood Disabled loopback Disabled Timer interval: 300 seconds Interfaces that will be enabled at the next timeout: Interface Errdisable reason Time left(sec) --------- ----------------- -------------- Fa0/47 bpduguard 217 配置IOS重新激活errdisable的接口,使用以下命令:
sw1(config)#errdisable recovery cause bpduguard sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpduguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable
配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒。 但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable。 调整err-disable的超时时间,可以使用以下命令:
sw1(config)#errdisable recovery interval ? &30-86400& timer-interval(sec) 可以调整在30-86400秒,缺省是300秒。 如果产生err-disable的原因是udld,下面有一条命令非常管用:
sw1#udld reset
No ports are disabled by UDLD. 同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下: *Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port. sw1# *Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state sw1# *Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down 收集这些日志也非常管用。 所以建议配置一个syslog server,收集log信息。
故障症状: 线路不通,物理指示灯灭或者显示为橙色(不同平台指示灯状态不同)
show interface 输出显示接口状态: FastEthernet0/47 is down, line protocol is down (err-disabled) 接口状态是err-disable。
sw1#show interfaces status
Port Name Status Vlan Duplex Speed Type Fa0/47 err-disabled 1 auto auto 10/100BaseTX
如果出现了接口状态为err-disable,show interfaces status err-disabled命令能查看触发err-disable的原因。 下面示例原因为bpduguard,在连接了交换机的端口配置了spanning-tree bpduguard enable。
sw1#show interfaces status err-disabled[b]
Port Name [b]Status Reason Fa0/47 err-disabled [b]bpduguard[b]
接口产生err-disable的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为err-disable。
sw1#show errdisable detect ErrDisable Reason Detection status ----------------- ---------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled dhcp-rate-limit Enabled unicast-flood Enabled vmps Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled gbic-invalid Enabled loopback Enabled dhcp-rate-limit Enabled unicast-flood Enabled
从列表中,我们可以看出常见的原因有udld,bpduguard,link-flap以及loopback等。 具体由什么原因导致当前接口err-disable可以由show interface status err-disable来查看。
在接口模式下采用shutdown,no shutdown进行手动的激活。
在缺省配置下,一旦接口被置为err-disable,IOS将不会试图恢复接口。 这个可以由show errdisable recovery来查看,timer status下面所有的值都是disable。 下面的示例中,由于手工配置了bpduguard恢复,所以timer status的值变为Enable。
sw1#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Disabled bpduguard Enabled security-violatio Disabled channel-misconfig Disabled vmps Disabled pagp-flap Disabled dtp-flap Disabled link-flap Disabled l2ptguard Disabled psecure-violation Disabled gbic-invalid Disabled dhcp-rate-limit Disabled unicast-flood Disabled loopback Disabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec) --------- ----------------- -------------- Fa0/47 bpduguard 217
配置IOS重新激活errdisable的接口,使用以下命令:
sw1(config)#errdisable recovery cause bpduguard
sw1(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpduguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable
配置完上述命令后,IOS在一段时间后试图恢复被置为err-disable的接口,这段时间缺省为300秒。 但是,如果引起err-disable的源没有根治,在恢复工作后,接口会再次被置为err-disable。
调整err-disable的超时时间,可以使用以下命令: sw1(config)#errdisable recovery interval ? &30-86400& timer-interval(sec) 可以调整在30-86400秒,缺省是300秒。
如果产生err-disable的原因是udld,下面有一条命令非常管用: sw1#udld reset No ports are disabled by UDLD.
同时,接口在被置为err-disable的时候,通常有一系列的日志产生,如下:
*Mar 15 15:47:19.984: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port FastEthernet0/47 with BPDU Guard enabled. Disabling port. sw1# *Mar 15 15:47:19.984: %PM-4-ERR_DISABLE: bpduguard error detected on Fa0/47, putting Fa0/47 in err-disable state sw1# *Mar 15 15:47:21.996: %LINK-3-UPDOWN: Interface FastEthernet0/47, changed state to down 收集这些日志也非常管用。 所以建议配置一个syslog server,收集log信息。
sw1#show interfaces status Port Name Status Vlan Du... 开启errdisable功能,这样可以使用show errdisable来查看引发errdisable的原因是什么,再更加信息内容进行解决。
你要是想不影响使用的话,先用 no errdisable detect cause loopback 执行一下,将已经死掉的端口,no sh 一下 如果没问题,肯定是环路了,你可再找时间,对怀疑有问题的switch用拔插法,一个一个拔掉网线去查,当然,有更有效的方法,你可查看有问题的switch的所有rj45和gi口的状态,哪个有errdisable信息哪个就有问题。
switch#show interfaces status err-disabled Port Name Status Reason Fa0/22 err-disabled link-flap Fa0/37 For office in 100K err-disabled link-flap Fa0/41 unknow err-disabled link-flap Fa0/42 Training Dc066 err-disabled link-flapFa0/45 Production line VM err-disabled link-flap switch#show errdisable detect ErrDisable Reason Detection status ----------------- ---------------- pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled gbic-invalid Enabled loopback Enabled switch#show interfaces status err-disabled Port Name Status Reason Fa0/22 err-disabled link-flap Fa0/37 For office in 100K err-disabled link-flap Fa0/41 unknow err-disabled link-flap Fa0/42 Training Dc066 err-disabled link-flap Fa0/45 Production line VM err-disabled link-flap switch#sh errdisable flap-values ErrDisable Reason Flaps Time (sec) ----------------- ------ ----------pagp-flap 3 30 dtp-flap 3 30 link-flap 5 10 ( link-flap 这就是因为链路质量不好导致的) 关闭errdisable detectswitch#no errdisable detect cause all
导致交换机接口出现err-disable的几个常见原因:&&
&&& 1. EtherChannel misconfiguration
&&& 2. Duplex mismatch
&&& style="TEXT-INDENT: 2em"&3. BPDU port guard
&&& 4. UDLD
&&& 5. Link-flap error
&&& 6. Loopback error
&&& 7. Port security violation
&&& 第一个当F EC两端配置不匹配的时候就会出现err-disable.假设Switch A把FEC模式配置为on,这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的,它假设Switch B已经配置好FEC了。但实事上Swtich B并没有配置FEC,当Switch B的这个状态超过1分钟后,Switch A的STP就认为有环路出现,因此也就出现了err-disable.解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel,否则接口还处于正常状态。
&&& 第二个原因就是双工不匹配。一端配置为half-duplex后,他会检测对端是否在传输数据,只有对端停止传输数据,他才会发送类似于ack的包来让链路up,但对端却配置成了full-duplex,他才不管链路是否是空闲的,他只会不停的发送让链路up的请求,这样下去,链路状态就变成err-disable了。
&&& 三、第三个原因BPDU,也就是和portfast和BPDU guard有关。如果一个接口配置了portfast,那也就是说这个接口应该和一个pc连接,pc是不会发送spanning-tree的BPDU帧的,因此这个口也接收BPDU来生成spanning-tree,管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性,但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上,于是这个接口接到了BPDU帧,因为配置了BPDU guard,这个接口自然要进入到err-disable状态。解决办法:no spanning-tree portfast bpduguard default,或者直接把portfast关了。
&&& 第四个原因是UDLD.UDLD是cisco的私有2层协议,用于检测链路的单向问题。有的时候物理层是up的,但链路层就是down,这时候就需要UDLD去检测链路是否是真的up的。当AB两端都配置好UDLD后,A给B发送一个包含自己port id的UDLD帧,B收到后会返回一个UDLD帧,并在其中包含了收到的A的port id,当A接收到这个帧并发现自己的port id也在其中后,认为这链路是好的。反之就变成err-disable状态了。假设A配置了UDLD,而B没有配置UDLD:A给B发送一个包含自己port id的帧,B收到后并不知道这个帧是什么,也就不会返回一个包含A的port id的UDLD帧,那么这时候A就认为这条链路是一个单向链路,自然也就变成err-disable状态了。
&&& 第五个原因就是链路的抖动,当链路在10秒内反复up、down五次,那么就进入err-disable状态。
&&& 第六个原因就是keepalive loopback.在12.1EA之前,默认情况下交换机会在所有接口都发送keepalive信息,由于一些不通交换机协商spanning-tree可能会有问题,一个接口又收到了自己发出的keepalive,那么这个接口就会变成err-disable了。解决办法就是把keepalive关了。或者把ios升到12.2SE.
&&& 最后一个原因,相对简单,就是由于配置了port-security violation shutdown
了这篇文章
类别:未分类┆阅读(0)┆评论(0)
08:59:21 10:08:02
