交换机端口状态出现errdisabled的情况分析及解决方法

CISCO 端口出现err-disabled 现象解决案例Cisco能智能判定端口故障，为了防止故障商品重量发包，并断开故障端口，这里交换机会为该端口打开err-disabled标签。

一，显示err-disabled 分类。

C3560-48-wx23#show errdisable recoveryErrDisable Reason Timer Status----------------- --------------udld Disabledbpduguard Disabledsecurity-violatio Disabledchannel-misconfig Disabledvmps Disabledpagp-flap Disableddtp-flap Disabledlink-flap Enabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledunicast-flood Disabledstorm-control Disabledarp-inspection Disabledloopback DisabledTimer interval: 300 seconds上面显示交换机会出那种类的err-disabled标签。

Disabled 表示不自己重端口， Enabled表示会自动重启端口， Timer interval表示打上err-disabled之后，多少称再重启故障端口。

二，显示交换机发生err-disabled的具体原因C3560-48-wx23#show interface status err-disablePort Name Status Re asonFa0/4 err-disabledlink-flap三，修改自动恢复（重启）端口条件C3560-48-wx23#conf terC3560-48-wx23(config)#errdisable recovery cause link-flap这上就是允许因为“link-flap”导致 err-disabled 端口自动恢复。

UDLD至交换机端口err-disable概括•技术平台：UDLD•设备平台：Cat6500等核心交换机•简述：用户在核心交换机上使用UDLD aggressive模式配置，当某些场景发生时(引擎切换时间过长或芯片故障等)会发生不期望的端口error-disable，从而引发网络中断。

网络拓扑•核心交换机之间使用二层Trunk通过Ether Channel相连•核心交换机通过三层连接防火墙•互联端口全部为光纤端口，为防止发生单通导致二层环路，用户在两台核心交换机互联端口上启用了UDLD aggressive模式•核心交换机均配置了冗余的双引擎•FW_1为主防火墙，正常情况下从内到外的流向如图中黄线所标问题描述与问题定位问题描述用户反映核心交换机Switch_1发生异常引擎切换后防火墙内服务无法访问，应用中断。

问题定位详细排查日志发现在Switch_1发生引擎切换之前，UDLD对核心交换机互联的Ether Channel的两个成员端口进行了err-disable，且该状态在引擎切换后被保留住，致使Switch_1与Switch_2之间的通信中断。

但于此同时由于Switch_1并没有对FW_1造成任何影响，故FW_1继续维持Active状态，流量交由Switch_1转发，从而出现了防火墙内服务中断的故障现象。

案例经验针对本案例有如下经验：1.要深入理解UDLD normal模式与aggressive模式的异同点2.对端口up/down的时间加强监控，对包含UDLD配置的端口状态要特别关注，尤其是当有端口被err-disable3.UDLD是为了检测那些可能引发STP环路的二层问题而使用的，因此使用UDLD normal模式并同时使用自动协商和loopguard(如果网络依赖生成树)已经足够，无需使用Aggressive模式。

UDLD的两种工作模式Aggressive模式:当UDLD邻居关系失去时，A-UDLD会连续发送8个探针数据包以尝试重建UDLD邻居关系。

交换机出现err-disable的原因及解决方法导致交换机接口出现err-disable的几个常见原因：引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation第一个当F EC两端配置不匹配的时候就会出现err-disable。

假设Switch A 把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。

但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。

解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。

第二个原因就是双工不匹配。

一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。

三、第三个原因BPDU，也就是和portfast和BPDU guard有关。

如果一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU帧的，因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。

导致交换机接口出现err-disable的几个常见原因：引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation第一个当F EC两端配置不匹配的时候就会出现err-disable。

假设Switch A把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。

但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。

解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。

第二个原因就是双工不匹配。

一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。

三、第三个原因BPDU，也就是和portfast和BPDU guard有关。

如果一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU帧的，因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。

链路聚合报错udld error detected err-disable 1、环境结构：汇聚1使用cisco4507，汇聚2使用H3C5560，汇聚1的G4/6和G4/11分别和汇聚2的T1/0/51和T1/0/52连接，并做了聚合。

2、故障现象：（1）汇聚2设备H3C用于聚合的T1/0/51和T1/0/52口指示灯一个亮另一个灭，一分钟来回切换一次（2）登录到汇聚1设备，检查聚合的G4/6和G4/11端口状态，两个端口down/up来回切换，一分钟左右切换一次3、故障设备日志：*Sep 8 16:39:50.845: %EC-5-UNBUNDLE: Interface Gi4/11 left the port-channel Po5*Sep 8 16:39:51.617: %EC-5-BUNDLE: Interface Gi4/6 joined port-channel Po5*Sep 8 16:40:20.845: %PM-4-ERR_RECOVER: Attempting to recover from udld err-disable state on Gi4/11*Sep 8 16:40:27.837: %UDLD-4-UDLD_PORT_DISABLED: UDLD disabled interface Gi4/6, unidirectional link detected*Sep 8 16:40:27.837: %PM-4-ERR_DISABLE: udld error detected on Gi4/6, putting Gi4/6 in err-disable state4、接口配置：汇聚设备1cisco4507，G4/6和G4/11interface GigabitEthernet4/6description CYSC_YFZ1Q_H3C5560_T1/0/51switchport trunk allowed vlan 956,994,999,1101switchport mode trunkip access-group acl-virus inip access-group acl-virus outspeednonegotiateudld port aggressivechannel-protocollacpchannel-group 5 mode activeinterface GigabitEthernet4/11description CYSC_YFZ1Q_H3C5560_T1/0/52switchport trunk allowed vlan 956,994,999,1101 switchport mode trunkip access-group acl-virus inip access-group acl-virus outspeednonegotiateudld port aggressivechannel-protocollacpchannel-group 5 mode active汇聚设备2H3C5560T1/0/51和T1/0/52interface Ten-GigabitEthernet1/0/51port link-mode bridgedescription CON_FROM_CYSC-TXGS-4506_GE4/6 port link-type trunkport trunk permit vlan 1 956 994 999 1101port link-aggregation group 5interface Ten-GigabitEthernet1/0/52port link-mode bridgedescription CON_FROM_CYSC-TXGS-4506_GE4/11port link-type trunkport trunk permit vlan 1 956 994 999 1101port link-aggregation group 54、故障分析：通过以上情况基本确定故障原因：（1）由于聚合链路两端使用了不通厂商的设备，而cisco4507设备开启了UDID （单项链路检测，cisco思科私有二层协议）功能，链路故障而导致UDID将接口down掉,并不断来回切换（2）Cisco把errdetect 扩展到stp和聚合中，会导致与其它厂家互联出现莫名其妙的问题5、故障定位聚合链路中两条链路传输质量相差较大，被udid误以为单链路传输，来回切换，导致网络中断。

拯救步骤1：查看日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了err-disable状态。

查看端口的状态Switch# show inter fa0/20 statusPort Name Status Vlan Duplex Speed Type Fa0/20 link to databackup err-disabled562 auto auto 10/100BaseTX这条信息更加明确的表示了该端口处于err-disabled状态。

既然看到了该端口是被置于了错误的状态了，我们就应该有办法将其再恢复成正常的状态。

拯救步骤2：将端口从错误状态中恢复回来进入交换机全局配置模式，执行errdisable recovery cause ?，会看到如下信息：Switch(config)#errdisable recovery cause ?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable statechannel-misconfig Enable timer to recover from channel misconfig disable statedhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable statedtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover froml2protocol-tunnel error disable statelink-flap Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable statesecurity-violation Enable timer to recover from 802.1x violation disable stateudld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有非常多的原因会引起端口被置于错误状态，由于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直接键入命令：Switch(config)#errdisable recovery cause loopback是啊，就这么简单的一条命令，就把困挠我们很长时间的问题解决了，真的就这么神奇。

端口出现 err-disabled 现象关于接口处于 err-disable 的故障排查故障症状:线路不通,物理指示灯灭或者显示为橙色 (不同平台指示灯状态不同show interface 输出显示接口状态:FastEthernet0/47 is down, line protocol is down (err-disabled接口状态是 err-disable 。

sw1#show interfaces statusPort Name Status Vlan Duplex Speed TypeFa0/47 err-disabled 1 auto auto 10/100BaseTX如果出现了接口状态为 err-disable , show interfaces status err-disabled命令能查看触发 err-disable 的原因。

下面示例原因为 bpduguard ,在连接了交换机的端口配置了 spanning-tree bpduguard enable。

sw1#show interfaces status err-disabledPort Name Status ReasonFa0/47 err-disabled bpduguard接口产生 err-disable 的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为 err-disable 。

sw1#show errdisable detectErrDisable Reason Detection status----------------- ---------------- udld Enabledbpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled dhcp-rate-limit Enabled unicast-flood Enabled vmps Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledgbic-invalid Enabled loopback Enableddhcp-rate-limit Enabled unicast-flood Enabled从列表中,我们可以看出常见的原因有 udld , bpduguard , link-flap 以及 loopback 等。

Cisco交换机端口出现“err-disabled”状态的情况分析1、引言通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.2、现象描述当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED 状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色，官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err- disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port. %PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).侦听限速.3、处理过程可以使用show interfaces命令查看端口状态,如:switch#show interfaces gigabitethernet 0/1 statusPortNameStatus Vlan DuplexSpeed TypeGi0/1err-disabled 100 full 1000 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如: %SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1可以使用show interfaces status err-disabled命令查看处于err-disabled 状态的原因,如:switch #show interfaces status err-disabledPort Name Status Reason Err-disabled VlansFa0/1 err-disabled loopback当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.4、原因分析以比较常见的做为例子:1).以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi0/1如下,查看EC信息显示使用的信道组数量为0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on 模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent!2).双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex 命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3).BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路. 假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:interface gigabitethernet 0/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 inerr-disable state.验证:SWITCH#show interfaces gigabitethernet 0/1 statusPort NameStatus Vlan Duplex SpeedTypeGi0/1err-disabled 100full BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4).UDLD:UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 inerr-disable state.5).链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 inerr-disable state可以使用如下命令查看不同的振荡的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)pagp-flap3 30dtp-flap3 30link-flap5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6).回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err- disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 inerr-disable state从CISCO IOS 之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到或后续版本。

Cisco交换机端口类常用故障排错：在日常工作中，若遇到以下交换机端口类故障，可采取以下方法解决：一、常用命令解释：交换机10号端口Status状态为"administratively down",Protocol状态为"down"。

二、关于err-disabled状态的相关问题：1、err-disabled状态的作用：通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态。

但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭。

也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口。

当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量。

从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色。

同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的。

err-disabled的两个作用的：1.告诉管理员端口状态出错。

2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错。

2、err-disabled状态的起因：如下是端口处于err-disabled状态的几种原因:1.双工不匹配.【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】2.端口信道的错误配置.【建议报修处理】3.违反BPDU守护(BPDU Guard)特性.【建议报修处理】4.单向链路检测(UDLD).【建议报修处理】5.检测到后期冲突.【建议报修处理】6.链路振荡.(link-flap)【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】7.违反某些安全策略.【可通过在端口模式（config-if）#，shutdown--->no shutdown解决】8.端口聚合协议(PAgP)的振荡.【建议报修处理】9.层2隧道协议(L2TP)守护(L2TP Guard).【建议报修处理】。

Cisco交换机端口出现“err-disabled”状态的情况分析1、引言通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.2、现象描述当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色，官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err- disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).10.DHCP侦听限速.3、处理过程可以使用show interfaces命令查看端口状态,如:switch#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1可以使用show interfaces status err-disabled命令查看处于err-disabled状态的原因,如:switch #show interfaces status err-disabledPort Name Status Reason Err-disabled VlansFa0/1 err-disabled loopback当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.4、原因分析以比较常见的做为例子:1).以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi0/1如下,查看EC信息显示使用的信道组数量为0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duple x Speed TypeGi0/1 err-disabled 100full 1000 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent!2).双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3).BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路.假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:interface gigabitethernet 0/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable state.验证:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan DuplexSpeed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4).UDLD:UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 in err-disable state.5).链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 in err-disable state可以使用如下命令查看不同的振荡的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)pagp-flap 3 30dtp-flap 3 30 link-flap 5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6).回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err- disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 in err-disable state从CISCO IOS 12.2SE之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到12.2SE或后续版本。

关于cisco errdisableshow inter statusshow inter status errshow errdisable recoveryerrdisable recovery cause ?(config)#no errdisable detect cause allerrdisable recovery interval 300(config-if)#no keep交换机端口假死(err-disable)解决方法--------------------------------------------------------------------------------出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启的状态下将该端口“拯救”回来的方法。

拯救步骤1：查看日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了err-disable状态。

查看端口的状态Switch# show inter fa0/20 statusPort Name Status Vlan Duplex Speed TypeFa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX这条信息更加明确的表示了该端口处于err-disabled状态。

本文介绍了思科7609路由器的端口出现err-disable故障现象的案例，主要是由于端口连接的设备反复UP/DOWN引起。

详细的处理过程请查看下文。

故障现象：某企业的网络结构如下图所示，业务系统服务器直接与两台CISCO7609连接，再上连接到两台huawei NE80路由器，与骨干网络通信。

维护人员在网络测试中发现，重启业务系统A的服务器之后，网络中断，两台CISCO7609与业务系统服务器连接的GE9/12端口出现err-disable 状态。

原因分析：两台CISCO 7609路由器的IOS版本号为version 12.2, 业务系统服务器为华为设备。

以下以CISCO7609与业务系统A相连端口为对象进行分析：1、登陆CISCO7609-1查看日志信息,发现在0:42左右，CISCO7609-1与业务系统A相连的GigabitEthernet9/12端口反复出UP/Down告警。

在Feb 9 00:42:31.967时端口变为err-disable 状态。

以下为CISCO7609-1的部分日志信息：*Feb 9 00:42:26.435 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.015 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:26.435 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.019 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.815 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changedstate to up*Feb 9 00:42:28.355 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.819 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:28.355 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.843 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.847 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:31.967 BEIJING: %PM-SP-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state*Feb 9 00:42:32.147 BEIJING: %PM-SP-STDBY-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state2、CISCO厂商的设备为了保证网络的可靠性，启用了相应的保护技术。

交换机端口假死(e r r-d i s a b l e)解决方法.t x t关于c i s c o e r r d i s a b l e r e c o v e r y c a u s es h o w i n t e r s t a t u ss h o w i n t e r s t a t u s e r rs h o w e r r d i s a b l e r e c o v e r ye r r d i s a b l e r e c o v e r y c a u s e?(c o n f i g)#n o e r r d i s a b l e d e t e c t c a u s e a l le r r d i s a b l e r e c o v e r y i n t e r v a l300(c o n f i g-i f)#n o k e e p交换机端口假死(e r r-d i s a b l e)解决方法--------------------------------------------------------------------------------出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启的状态下将该端口“拯救”回来的方法。

拯救步骤1：查看日志/端口的状态 登录进入交换机后，执行s h o w l o g，会看到如下的提示： 21w6d:%E T H C N T R-3-L O O P_B A C K_D E T E C T E D:K e e p a l i v e p a c k e t l o o p-b a c k d e t e c t e d o n F a s t E t h e r n e t0/20. 21w6d:%P M-4-E R R_D I S A B L E:l o o p b a c k e r r o r d e t e c t e d o n F a0/20,p u t t i n g F a0/20i n e r r-d i s a b l e s t a t e 以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了e r r-d i s a b l e状态。

栏目编辑：梁丽雯 E-mail:liven_01@2017年·第8期67交换机端口故障排查实例*■ 中国人民银行南昌中心支行 朱 虹一、问题的提出笔者对思科接入交换机进行网络故障排查，在日常网络运维过程中，会碰到某些客户端偶发性地出现无法上网的情况，登录楼层交换机查看接口状态为DOWN，重启端口后端口状态恢复为UP，上网正常。

但是过一段时间又出现同样问题，如此反复的情况引起了笔者的注意。

二、故障的排查发现某一台客户端无法上网（物理指示灯灭或者显示为橙色），由于未引起重视，只是简单重启交换机端口，上网就恢复正常了，但是过后又发生同样的问题。

当再次发生同样的问题，通过命令show interface 查看端口信息，会出现err-disabled的字样，这可能是导致上网故障发生的原因。

三、问题的分析（一）思科交换机的err-disabled机制由于思科交换机默认是启用err-disabled机制，一旦err-disabled机制检测到任何错误都将禁用端口。

交换机端口在正常运行下会显示UP状态，当端口状态变为DOWN时，并在端口信息中出现err-disabled字样时，说明交换机的系统检测到端口的某个错误而将端口禁用。

err-disabled机制有以下两种用途：一是通过此机制可以了解何时何处有端口问题；二是此机制使被禁用端口不会引发模块上的其他端口（或整个模块）出现故障。

当某个故障端口独占缓冲区，或端口错误消息独占卡上的进程间通信（最终会导致严重的网络问题）时，会出现此类故障。

err-disabled机制能有助于防止出现这些情况。

摘要：在网络运维过程中，会碰到各式各样的网络故障，交换机端口故障是比较常见的一种，有些故障看似简单，却反复出现，这类简单的故障如未引起足够的重视，就会带来诸多的困扰。

本文介绍在日常工作中碰到的一则交换机端口故障的排查过程，分析了故障产生的原因，并提出解决办法。

关键词：网络运维；交换机；端口故障；问题排查作者简介： 朱 虹（1983-），男，江西南昌人，工程师。

管理交换机端口的错误管理交换机端口的错误Catalyst switch能够自动检测错误条件，而无需外部干预。

如果在交换机端口发生了严重的错误，该端口将自动关闭，直到有人手工启用该端口或经过预定义的时间。

1.检测错误条件默认情况下，Catalyst switch检测每隔交换机端口的每种错误条件。

如果检测到错误条件。

就将交换机端口置为errdisable状态并禁用他。

调整特定原因才导致端口被禁用；在全局配置模式下使用如下命令(关键字no用于禁止指定的原因导致端口被禁用)：[no]errdisable detect cause [all | cause-name]下述原因都将触发err-disable状态，可以重复使用上述命令来启用或禁用多个原因。

all：检测每种可能原因arp-inspection：检测动态arp探测的错误bpduguard：在配置为STP portfast的端口收到生成树网桥协议数据单元(BPDU)时进行检测channel-misconfig：检测以太信道束的错误dhcp-rate-limit：检测DHCP探听的错误dtp-flap：中级封装类型发生变化时进行检测gbic-invalid：检测是否有非法的GBIC或SPF模块ilpower：检测内置电源错误l2tpguard：检测第二层协议隧道错误link-flap：检测端口链路状态是否为up跟down之间来回切换loopback：接口进行环回接口时进行检测pagp-flag：以太信道束的端口配置不再一致时进行检测psecure-violation：检测导致在端口配置端口安全的条件rootguard：在意外端口上收到来自根网桥的STP BPDU时进行检测security-violation：检测与端口安全相关的操作storm-control：超过端口的广播风暴控制阀值是进行检测udld：链路变成单向时进行检测unicast-flood：检测导致单播泛洪阻断的条件vmps：在端口通过VLAN成员策略服务器(VMPS)被动态加入到vlan时检测错误。

链路聚合报错udld error detected err disable处理经验链路聚合报错udlderrordetectederr-disable处理经验链路聚合报错udlderrordetectederr-disable1、环境结构：汇聚1使用cisco4507，汇聚2使用h3c5560，汇聚1的g4/6和g4/11分别和汇聚2的t1/0/51和t1/0/52连接，并做了聚合。

2、故障现象：（1）汇聚2设备h3c用于聚合的t1/0/51和t1/0/52口指示灯一个亮另一个灭，一分钟来回切换一次（2）登入至汇集1设备，检查生成的g4/6和g4/11端口状态，两个端口down/up往复转换，一分钟左右转换一次3、故障设备日志：*sep816:39:50.845:ì-5-unbundle:interfacegi4/11lefttheport-channelpo5*sep816:39:51.617:ì-5-bundle:interfacegi4/6joinedport-channelpo5*sep816:40:20.845:%pm-4-err_recover:attemptingtorecoverfromudlderr-disablestateongi4/11*sep816:40:27.837:%udld-4-udld_port_disabled:udlddisabledinterfacegi4/6,unidirectionallinkdetected*sep816:40:27.837:%pm-4-err_disable:udlderrordetectedongi4/6,puttinggi4/6inerr-disablestate4、接口配置：汇集设备1cisco4507，g4/6和g4/11interfacegigabitethernet4/6descriptioncysc_yfz1q_h3c5560_t1/0/51switchporttrunkallowedvlan956,994,999,110 1switchportmodetrunkipaccess-groupacl-virusinipaccess-groupacl-virusoutspeednonegotiateudldportaggressivechannel-protocollacpchannel-group5modeactiveinterfacegigabitethernet4/11descriptioncysc_yfz1q_h3c5560_t1/0/52switchporttrunkallowedvlan956,994,999,110 1switchportmodetrunkipaccess-groupacl-virusinipaccess-groupacl-virusoutspeednonegotiateudldportaggressivechannel-protocollacpchannel-group5modeactive汇聚设备2h3c5560t1/0/51和t1/0/52interfaceten-gigabitethernet1/0/51portlink-modebridgedescriptioncon_from_cysc-txgs-4506_ge4/6portlink-typetrunkporttrunkpermitvlan19569949991101portlink-aggregationgroup5interfaceten-gigabitethernet1/0/52portlink-modebridgedescriptioncon_from_cysc-txgs-4506_ge4/11portlink-typetrunkporttrunkpermitvlan19569949991101portlink-aggregationgroup54、故障分析：通过以上情况基本确定故障原因：（1）由于生成链路两端采用了未通厂商的设备，而cisco4507设备打开了udid（单项链路检测，cisco思科私有二层协议）功能，链路故障而引致udid将USBdown掉下来,并不断往复转换（2）cisco把errdetect扩展到stp和聚合中，会导致与其它厂家互联出现莫名其妙的问题5、故障定位聚合链路中两条链路传输质量相差较大，被udid误以为单链路传输，来回切换，导致网络中断。

Cisco交换机端口出现“err-disabled”状态的情况分析杨尉;李爱国
【期刊名称】《通讯世界：下半月》
【年(卷),期】2013(000)007
【摘要】引言通常情况下，如果交换机运转正常，其中端口一项显示为启用（enable）状态．但是如果交换机的软件（CISCOIOS／CatOS）检测到端口的一些错误，端口将随即被关闭，也就是说，当交换机的操作系统检测到交换机端口发生些错误事件的时候，交换机将自动关闭该端口。

【总页数】2页(P30-31)
【作者】杨尉;李爱国
【作者单位】
【正文语种】中文
【中图分类】TN916.43
【相关文献】
1.思科交换机聚合端口与博达交换机捆绑端口的互连 [J], 韩飞飞
2.ATM交换机E1端口状态指示的分析及在故障处理中的实际应用 [J], 王亮
3.广电MSTP传输网组网案例--以太网板各端口接在同一交换机出现的问题及解决方法 [J], 王伟峰
4.如何实现Cisco交换机端口安全 [J], 英秀芬
5.思科交换机聚合端口与博达交换机捆绑端口的互连 [J], 韩飞飞
因版权原因，仅展示原文概要，查看原文内容请购买。

交换机端口不可用解析
程东亮
【期刊名称】《网络运维与管理》
【年(卷),期】2016(000)004
【摘要】在网络中，如果交换机出现故障，将直接影响用户的网络通讯。

本文介绍造成交换机端口处于err-disable（错误不可用状态）的原因，以及解决办法。

电脑无法上网，连接该电脑的交换机（Cisco2950，Version12．1（6）
EA2a．RELEASESoFTWARE（fcl））端口物理指示灯灭或者显示为橙色（不同平台指示灯状态不同）。

【总页数】2页(P137-138)
【作者】程东亮
【作者单位】湖北
【正文语种】中文
【中图分类】TP393.08
【相关文献】
1.思科交换机聚合端口与博达交换机捆绑端口的互连 [J], 韩飞飞
2.极具端口灵活性配置的多层千兆交换机——NETGEAR推出千兆路由交换机GSM7312 [J], ;
3.思科交换机聚合端口与博达交换机捆绑端口的互连 [J], 韩飞飞
4.McDATA推出下一代“芯片上交换机”技术发挥4至24端口Sphereon TM
交换机的优势 [J],
5.MAC地址与交换机端口的绑定——交换机的端口安全配置 [J], 汪宇昕
因版权原因，仅展示原文概要，查看原文内容请购买。