Errdisable

＜端口安全＞·Switch端口安全是2层特性，提供两个方面的保护：1、可以限定一个接口所能学习的MAC地址数量2、可以在一个接口静态绑定MAC地址1.基于主机MAC来允许流量·可定义授权的MAC地址/允许学习多少个MAC地址（默认＝1）·违背端口安全，采取的行为：1.shutdown ：将永久性或特定周期内Err-Disable端口（默认行为）,并发送snmp trap2.restrict：当超过所允许学习的最大MAC数时，将未授权主机的帧丢弃drop,发送SNMP trap，并将violation计数器增加3.protect ：当超过所允许学习的最大MAC数时，将未授权主机的帧丢弃dropint f0/1switchport mode access //启用端口安全时，必须先设为access接口switchport port-security //启用端口安全(默认只能学一个MAC)switchport port-security maximum 1 //指定最多允许学多少个地址switchport port-security mac-address ccswitchport port-security violation[protect|restrict|shutdown] //指定行为switchport port-security aging time 1 （分钟）//设定动态学习MAC多长时间后老化，也就是设定现有MAC地址的有效期switchport port-security mac-address sticky //将动态学到的地址粘住，永久使用errdisable recovery causeerrdisable interddshow port-security //可以看到哪些接口应用了端口安全show port-security address //可以看到授权的MAC地址show port-security interface f0/1 //可以看到接口的具体状态show interfaces fastEthernet 0/1说明：1）自动学习MAC地址为SecureDynamic类型，不会自动老化，可手动配置，shutdown接口会消失SW1(config-if)#switchport port-security aging time 12）静态配置安全MAC地址为SecureConfigured，不会自动老化，可手动配置（没效果）SW1(config-if)#switchport port-security aging staticSW1(config-if)#switchport port-security aging time 12）采用sticky学的MAC地址为SecureSticky类型，不会老化，shutdown 接口或保存配置重启不会消失，default interface会消失FastEthernet0/1 is down, line protocol is down (err-disabled)注意：通常做接口安全，要先把接口shut down，这样它就不会自动学习让err-disable接口自动恢复errdisable recovery cause psecure-violationshow errdisable recovery2.基于主机MAC来限制流量（3550以上才可以做）列表中定义的MAC将被限制流量mac-address-table static c vlan 1 dropshow mac-address-table1 000d.286e.5e46 DYNAMIC Fa0/61 0aaa.0bbb.0ccc STATIC Dropmac-address-table static 1234.1234.1234 vlan 10 interface FastEthernet0/1//该命令可以限制MAC是1234.1234.1234的主机只能从f0/1接入，但不会限定F0/1只能接MAC是1234.1234.1234的主机。

链路聚合报错udld error detected err-disable 1、环境结构：汇聚1使用cisco4507，汇聚2使用H3C5560，汇聚1的G4/6和G4/11分别和汇聚2的T1/0/51和T1/0/52连接，并做了聚合。

2、故障现象：（1）汇聚2设备H3C用于聚合的T1/0/51和T1/0/52口指示灯一个亮另一个灭，一分钟来回切换一次（2）登录到汇聚1设备，检查聚合的G4/6和G4/11端口状态，两个端口down/up来回切换，一分钟左右切换一次3、故障设备日志：*Sep 8 16:39:50.845: %EC-5-UNBUNDLE: Interface Gi4/11 left the port-channel Po5*Sep 8 16:39:51.617: %EC-5-BUNDLE: Interface Gi4/6 joined port-channel Po5*Sep 8 16:40:20.845: %PM-4-ERR_RECOVER: Attempting to recover from udld err-disable state on Gi4/11*Sep 8 16:40:27.837: %UDLD-4-UDLD_PORT_DISABLED: UDLD disabled interface Gi4/6, unidirectional link detected*Sep 8 16:40:27.837: %PM-4-ERR_DISABLE: udld error detected on Gi4/6, putting Gi4/6 in err-disable state4、接口配置：汇聚设备1cisco4507，G4/6和G4/11interface GigabitEthernet4/6description CYSC_YFZ1Q_H3C5560_T1/0/51switchport trunk allowed vlan 956,994,999,1101switchport mode trunkip access-group acl-virus inip access-group acl-virus outspeednonegotiateudld port aggressivechannel-protocollacpchannel-group 5 mode activeinterface GigabitEthernet4/11description CYSC_YFZ1Q_H3C5560_T1/0/52switchport trunk allowed vlan 956,994,999,1101 switchport mode trunkip access-group acl-virus inip access-group acl-virus outspeednonegotiateudld port aggressivechannel-protocollacpchannel-group 5 mode active汇聚设备2H3C5560T1/0/51和T1/0/52interface Ten-GigabitEthernet1/0/51port link-mode bridgedescription CON_FROM_CYSC-TXGS-4506_GE4/6 port link-type trunkport trunk permit vlan 1 956 994 999 1101port link-aggregation group 5interface Ten-GigabitEthernet1/0/52port link-mode bridgedescription CON_FROM_CYSC-TXGS-4506_GE4/11port link-type trunkport trunk permit vlan 1 956 994 999 1101port link-aggregation group 54、故障分析：通过以上情况基本确定故障原因：（1）由于聚合链路两端使用了不通厂商的设备，而cisco4507设备开启了UDID （单项链路检测，cisco思科私有二层协议）功能，链路故障而导致UDID将接口down掉,并不断来回切换（2）Cisco把errdetect 扩展到stp和聚合中，会导致与其它厂家互联出现莫名其妙的问题5、故障定位聚合链路中两条链路传输质量相差较大，被udid误以为单链路传输，来回切换，导致网络中断。

拯救步骤1：查看日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了err-disable状态。

查看端口的状态Switch# show inter fa0/20 statusPort Name Status Vlan Duplex Speed Type Fa0/20 link to databackup err-disabled562 auto auto 10/100BaseTX这条信息更加明确的表示了该端口处于err-disabled状态。

既然看到了该端口是被置于了错误的状态了，我们就应该有办法将其再恢复成正常的状态。

拯救步骤2：将端口从错误状态中恢复回来进入交换机全局配置模式，执行errdisable recovery cause ?，会看到如下信息：Switch(config)#errdisable recovery cause ?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable statechannel-misconfig Enable timer to recover from channel misconfig disable statedhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable statedtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover froml2protocol-tunnel error disable statelink-flap Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable statesecurity-violation Enable timer to recover from 802.1x violation disable stateudld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有非常多的原因会引起端口被置于错误状态，由于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直接键入命令：Switch(config)#errdisable recovery cause loopback是啊，就这么简单的一条命令，就把困挠我们很长时间的问题解决了，真的就这么神奇。

STP特性详解我们平时应用到的STP，虽然可以保证2层网络的无环路，但是他本身也存在一些缺点。

比如STP机构收敛速度慢，根交换机的身份很容易遭受威胁，不安全，没有一种措施来巩固他们的根交换机的身份。

如果要是这样的话，那么在一个网络中，有可能这个网络的STP 结构就会频繁的变化，导致网络中的数据包大量的增加，从而导致网络阻塞，甚至出现断网的现象。

所以，我们这次就就收敛速度和安全这俩个方面来讨论、学习下STP的特性。

我们要知道STP的收敛过程，和中间参加的每一个“人”，这样才可以很准确的下手来解决这个问题。

首先要说的就是“portfast”特性！这个特性的功能就是让一个阻塞的端口快速的进入到转发状态。

而不用经过中间的监听和学习的状态，这样的话，就减少了很多端口角色的转换时间，也就减少了STP的收敛时间。

显然呢，从上面的功能中，可以看的出这个功能是在端口上实现的，也就是说他是一个端口级的命令。

当配置的时候，你得进入到你启动这个特性的端口下，然后输入命令：spanning-tree portfast 。

然后就OK 了。

如果说，这个端口接收到BPDU的话，那么他就会进入到err—disable状态（相当于阻塞的状态），停止接收数据包。

并且这种状态会一直持续到“err—disable”设定的超时或者是进行手动干预。

如何设定超时的时间，进行手动干预又该如何来做呢？OK ，现在给出大家相应的命令：超时时间的设定-----全局配置模式下，使用命令errdisable recovery interval {value}；进行手动干预的操作是关闭接口，然后再打开-----shutdown -----no shutdown ！！全部OK 了。

那么我们这个特性在任何类型的接口下都可以使用吗？因为我们在交换机上，平时可以见到的有俩种类型的接口：访问接口和Trunk接口。

当然，是可是使用的，但是呢，我们一般都不会在trunk接口上使用这个特性的。

端口出现 err-disabled 现象关于接口处于 err-disable 的故障排查故障症状:线路不通,物理指示灯灭或者显示为橙色 (不同平台指示灯状态不同show interface 输出显示接口状态:FastEthernet0/47 is down, line protocol is down (err-disabled接口状态是 err-disable 。

sw1#show interfaces statusPort Name Status Vlan Duplex Speed TypeFa0/47 err-disabled 1 auto auto 10/100BaseTX如果出现了接口状态为 err-disable , show interfaces status err-disabled命令能查看触发 err-disable 的原因。

下面示例原因为 bpduguard ,在连接了交换机的端口配置了 spanning-tree bpduguard enable。

sw1#show interfaces status err-disabledPort Name Status ReasonFa0/47 err-disabled bpduguard接口产生 err-disable 的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为 err-disable 。

sw1#show errdisable detectErrDisable Reason Detection status----------------- ---------------- udld Enabledbpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled dhcp-rate-limit Enabled unicast-flood Enabled vmps Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledgbic-invalid Enabled loopback Enableddhcp-rate-limit Enabled unicast-flood Enabled从列表中,我们可以看出常见的原因有 udld , bpduguard , link-flap 以及 loopback 等。

第16章端口基本配置本章主要讲述了迈普系列交换机支持的一些端口属性以及如何配置这些端口。

本章主要内容：●端口介绍●端口配置16.1端口介绍本节主要内容：●编号介绍●portlist基本概念●进入端口配置模式16.1.1编号介绍设备物理端口编号根据设备特性，其命名规则见下表：Unit：指堆叠中的设备，因此设备初始化的时候需要明确是否在堆叠状态，其编号从0开始。

Slot：指设备上的插槽，从0开始编号，如果有固定端口，则插槽号0预留给固定端口使用，业务插槽从1开始编号；主控卡编号与业务插槽编号互不相关。

Sub-Slot：指子插槽，仅在机架式的设备中存在，从0开始编号，如果有固定端口，插槽号0预留给卡上的固定端口使用。

Port：指设备上或者卡上的物理端口，每个设备、卡、子卡上的固定端口都是从0开始编号。

16.1.2portlist基本概念无论是配置还是显示，迈普交换机均会使用 portlist来进行端口选择。

其中 portlist可以是以下几种情况：●单个端口，如“0/1”；●连续端口，用“-”表示一段连续端口。

如“0/3-0/5”，代表端口3、4、5；●既包括单个端口，又包括连续端口，用逗号来分隔。

如表示台式设备上的固定端口1、3、4、6，则可以写成“port 0/1，0/3-0/4,0/6”的形式。

16.1.3进入端口配置模式您可以在全局配置模式下使用port portlist来开始端口的配置模式。

命令描述switch#config terminal进入全局配置模式switch (config)#port portlist 进入端口配置模式端口配置模式有两种情况：●单个端口，1800系列使用config-port-x/x表示。

●多个端口，用“config-port-range”表示。

如果您已经在端口配置模式下，仍然可以通过输入“port portlist”来重新进行端口选择及配置。

16.2端口配置本节主要内容：●端口配置命令基本描述16.2.1端口配置命令基本描述shutdown可以全用此命令来配置端口/聚合组的管理状态。

处理交换机端口“假死”问题前几天在维护宿舍网络时碰着一个当时感受很独特的问题：4楼交换机的20口无论怎么连线，链路都不通；进入交换机，端口也启不了；连其他的端口全没有问题。

本觉得是端口坏掉了，其后听说是因为环路，20口被关了，错误规复就好了。

于是上网查了查，大白了个中的原理：交换机正在事情的端口，溘然变成封锁状态的假死现象，第一可以用重启交换机来办理，第二可以用呼吁规复。

对付用呼吁规复的要领的详细步调如下：步调1：查察日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d:%ETHCNTR-3-LOOP_BACK_DETECTED:Keepalive packet loop-back detected on FastEthernet0/20.21w6d:%PM-4-ERR_DISABLE:loopback error detected on Fa0/20,putting Fa0/20in err-disable state以上信息就明晰暗示由于检测到第20端口呈现了环路，所以将该端口置于了err-disable状态。

查察端口的状态Switch#show inter fa0/20statusPort Name Status Vlan Duplex Speed TypeFa0/20link to databackup err-disabled562auto auto10/100BaseTX这条信息越发明晰的暗示了该端口处于err-disabled状态。

既然看到了该端口是被置于了错误的状态了，我们就应该有步伐将其再规复成正常的状态。

拯救步调2：将端口从错误状态中规复返来进入交换机全局设置模式，执行errdisable recovery cause?，会看到如下信息：Switch(config)#errdisable recovery cause?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover from l2protocol-tunnel error disable statelink-flap Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from802.1x violation disable state udld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有很是多的原因会引起端口被置于错误状态，由于我们明晰的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直接键入呼吁：Switch(config)#errdisable recovery cause loopback拯救步调3：显示被置于错误状态端口的规复情形Switch#show errdisable recoveryErrDisable Reason Timer Status—————–————–udld Disabledbpduguard Disabledsecurity-violatio Disabledchannel-misconfig Disabledvmps Disabledpagp-flap Disableddtp-flap Disabledlink-flap Disabledgbic-invalid Disabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledunicast-flood Disabledloopback EnabledTimer interval:300secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec)————————–————–Fa0/8loopback276Fa0/17loopback267Fa0/20loopback250从以上显示的信息可以看出，这台交换机有三个端口（Fa0/8、Fa0/17、Fa0/20）会别离在276、267、250秒之后规复为正常的状态，实际情形也是这样，等了几分钟今后，我们找了一台条记本电脑，别离接到这几个端口上试了一下，端口都可以正常事情了。

设置该端口为快速端口把一个port设置了portfast，就是让那个port不再使用STP的算法。

在STP中，port有5个状态：disable、blocking、listening、learning、forwarding。

只有forwarding状态，port才能发送用户数据。

如果一个port一开始是没有接pc，一旦pc接上，就会经历blocking->listening->learing->forwarding，每个状态的变化要经历一段时间，这样总共会有3个阶段时间，缺省的配置要50秒钟。

这样从pc接上网线，到能发送用户数据，需要等50秒的时间，但如果设置了portfast，那就不需要等待这50秒了。

在基于IOS的交换机端口上启用或禁用Port Fast 特征:switch(config-if)#spanning-tree portfast在1900上启用 : spantree start-forwarding 取消：no spantreestart-forwarding在基于CLI的交换机端口上启用或禁用Port Fast 特征:switch(enable) set spantree portfast {module/port}{enable|disable}portfast只能用在接入层,也就是说交换机的端口是接HOST的才能起用portfast,如果是接交换机的就一定不能启用,否则会造成新的环路.起用portfast往往是因为一些应用的要求,cisco是建议将符合条件的port 设置成portfast的.PS:将SWITCH的端口设置为spanning-tree portfast后，如果这个端口接到其他SWITCH或者HUB上就可能造成环路问题。

加上spanning-tree bpduguard enable之后，当这个端口在收到BPDU包后就会进入errdisable状态，从而避免环路。

Cisco交换机端口出现“err-disabled”状态的情况分析1、引言通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.2、现象描述当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色，官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err- disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).10.DHCP侦听限速.3、处理过程可以使用show interfaces命令查看端口状态,如:switch#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1可以使用show interfaces status err-disabled命令查看处于err-disabled状态的原因,如:switch #show interfaces status err-disabledPort Name Status Reason Err-disabled VlansFa0/1 err-disabled loopback当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.4、原因分析以比较常见的做为例子:1).以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi0/1如下,查看EC信息显示使用的信道组数量为0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duple x Speed TypeGi0/1 err-disabled 100full 1000 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent!2).双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3).BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路.假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:interface gigabitethernet 0/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable state.验证:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan DuplexSpeed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4).UDLD:UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 in err-disable state.5).链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 in err-disable state可以使用如下命令查看不同的振荡的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)pagp-flap 3 30dtp-flap 3 30 link-flap 5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6).回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err- disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 in err-disable state从CISCO IOS 12.2SE之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到12.2SE或后续版本。

本文介绍了思科7609路由器的端口出现err-disable故障现象的案例，主要是由于端口连接的设备反复UP/DOWN引起。

详细的处理过程请查看下文。

故障现象：某企业的网络结构如下图所示，业务系统服务器直接与两台CISCO7609连接，再上连接到两台huawei NE80路由器，与骨干网络通信。

维护人员在网络测试中发现，重启业务系统A的服务器之后，网络中断，两台CISCO7609与业务系统服务器连接的GE9/12端口出现err-disable 状态。

原因分析：两台CISCO 7609路由器的IOS版本号为version 12.2, 业务系统服务器为华为设备。

以下以CISCO7609与业务系统A相连端口为对象进行分析：1、登陆CISCO7609-1查看日志信息,发现在0:42左右，CISCO7609-1与业务系统A相连的GigabitEthernet9/12端口反复出UP/Down告警。

在Feb 9 00:42:31.967时端口变为err-disable 状态。

以下为CISCO7609-1的部分日志信息：*Feb 9 00:42:26.435 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.015 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:26.435 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.019 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.815 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changedstate to up*Feb 9 00:42:28.355 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.819 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:28.355 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.843 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.847 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:31.967 BEIJING: %PM-SP-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state*Feb 9 00:42:32.147 BEIJING: %PM-SP-STDBY-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state2、CISCO厂商的设备为了保证网络的可靠性，启用了相应的保护技术。

交换机端口假死(e r r-d i s a b l e)解决方法.t x t关于c i s c o e r r d i s a b l e r e c o v e r y c a u s es h o w i n t e r s t a t u ss h o w i n t e r s t a t u s e r rs h o w e r r d i s a b l e r e c o v e r ye r r d i s a b l e r e c o v e r y c a u s e?(c o n f i g)#n o e r r d i s a b l e d e t e c t c a u s e a l le r r d i s a b l e r e c o v e r y i n t e r v a l300(c o n f i g-i f)#n o k e e p交换机端口假死(e r r-d i s a b l e)解决方法--------------------------------------------------------------------------------出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启的状态下将该端口“拯救”回来的方法。

拯救步骤1：查看日志/端口的状态 登录进入交换机后，执行s h o w l o g，会看到如下的提示： 21w6d:%E T H C N T R-3-L O O P_B A C K_D E T E C T E D:K e e p a l i v e p a c k e t l o o p-b a c k d e t e c t e d o n F a s t E t h e r n e t0/20. 21w6d:%P M-4-E R R_D I S A B L E:l o o p b a c k e r r o r d e t e c t e d o n F a0/20,p u t t i n g F a0/20i n e r r-d i s a b l e s t a t e 以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了e r r-d i s a b l e状态。

一、导致机接口出现err-disable的几个常见原因:引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation1 当F EC两端配置不匹配的时候就会出现err-disable。

假设Switch A把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。

但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。

解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。

2 第二个原因就是双工不匹配。

一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。

3 第三个原因BPDU，也就是和portfast和BPDU guard有关。

假如一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU 帧的，因此这个口也接收BPDU来生成spanning-tree，治理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强性，但他恰恰不小心把一个机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。

常见交换机参数指标说明常见交换机参数指标说明一、L2常规1、arp proxy2、流控3、GVRP4、LLDP5、保护端口6、Jumbo Frame（超长帧）二、VLAN1、基于MAC的VLAN2、基于IP子网的VLAN3、Protocol VLAN4、Private VLAN5、Super VLAN6、Voice VLAN7、Guest VLAN8、基本QinQ9、灵活QinQ三、链路聚合1、二层、三层AP2、LACP3、流量平衡四、生成树1、Port Fast2、BPDU Guard3、BPDU Fliter4、ROOT GUARD5、LOOP GUARD6、errdisable的端口定时自动恢复的功能7、BPDU Tunnel五、组播1、IGMP Snooping v1/v2/v32、fast leave、源端口/IP检查3、MLD snooping（IPv6）六、L3常规1、VRRP2、MTU路径发现3、Graceful Restart for OSPF/ISIS/BGP4、MSDP5、anycast RP6、ECMP/WCMP七、IPv61、ND（邻居发现）2、MLD v1/v2（IPv6）3、地址自动配置4、ISATAP隧道5、6 to 4隧道6、手工隧道7、IPv6组播隧道8、4over6隧道八、ACL1、MAC扩展ACL2、时间ACL3、专家级ACL4、单向ACL5、VLAN BASED ACL6、ACL 807、出方向ACL九、安全1、端口ARP检查(arp-check)2、ARP网关欺骗的防范（Anti-ARP Spoof）3、DAI(动态ARP检测)4、MAC地址锁5、IP SOURCE GUARD6、URPF for IPv4/IPv67、DOS Protection（IP源欺骗、Land攻击、自身消耗的DOS 攻击、非法TCP报文攻击）8、Defeat IP Scan(防IP扫描)arp proxy主机跨网段访问时发送ARP请求获取目的MAC，三层设备作为代理进行ARP响应提供自己的MAC，主机将数据发送给三层设备，然后由三层设备转发给目的主机。

环回测试 Date:2005.4.10Keywords:loopback test CRC show controller errdisable环回测试是很常用的一种测试，通常用于检查和分析端口或线路问题。

如下图所示，我们在设备端口上用命令loopback（某些端口上命令格式为loopback diagnostic)使接口从内部将自己发送的信号转接到自己的接收端(如红线所示)，通过检查数据发送和接收的情况来判断端口工作状态是否正常。

如果需要对端口进行完全的检测，可以使用符合标准的短跳线将端口收发短接构成环。

如果端口正常，可以将线路的一部分或全部包括到环中进行测试，即在线路中的某个点上进行短接构成环(如紫红色线所示)。

这些点可以是在配线架、CSU/DSU、传输设备等之上。

在某些类型的端口上，还可以用命令loopback line 在端口上将对方发送的信号转接到对方的接收短，构成测试环。

观察环回测试成功与否，首先看端口有没有形成环，如用命令 show interface 看看端口是不是已经从down状态变到up状态，状态中有没有“(looped)”的字样。

端口的某些封装形式，如串行口上的PPP、帧中继等封装会检测环路，阻止端口变成up状态，所以可能要临时改为HDLC封装以便进行测试。

其次是通过ping 产生一定的流量，观察有没有丢包，show interface 检查端口计数器有没有显示input/output错误，有没有CRC、Frame等错误。

注意在点对点类型的端口上ping 路由器本身的地址比ping 对端路由器的地址延时要小一半，原因可以参考下面的分析。

在ATM等二层端口上不能直接产生测试数据包，可能需要额外的配置，如在8500交换机上可以这样配置:interface atm 1/0/0 //需要进行环回测试的ATM二层端口!inter atm 0.1 point-to-pointatm pvc 0 100 interface atm 0/1/0 0 100 encap aal5snapip address 172.31.20.1 255.255.255.0!如果测试发现有丢包情况，可以通过命令show controller了解更多细节情况。