来源:蜘蛛抓取(WebSpider)
时间:2016-10-28 09:30
标签:
h3c bpdu guard
导致err-disable出现的几个常见原因_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
导致err-disable出现的几个常见原因
上传于||文档简介
&&e​r​r​-​d​i​s​a​b​l​e
阅读已结束,如果下载本文需要使用2下载券
想免费下载本文?
定制HR最喜欢的简历
下载文档到电脑,查找使用更方便
还剩4页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢channel-misconfig (STP) 分析防范 | Jasey Wang 栏目导航
本周六下午1点30分
北大青鸟马甸校区
王老师 金牌讲师
检测、防御、黑客信息,如何过滤不安全的网站,如何防御黑客的进攻。
阅读排行
您当前位置: >
Cisco交换机端口假死(err-disable)解决方法
出现了这个问题,我们不得不重视起端口“假死”的现象,寻求在不重启的状态下将该端口“拯救”回来的方法。
拯救步骤1:查看日志/端口的状态
登录进入后,执行show log,会看到如下的提示:
21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.
21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state
以上信息就明确表示由于检测到第20端口出现了环路,所以将该端口置于了err-disable状态。
查看端口的状态
Switch# show inter fa0/20 status
Port Name Status Vlan Duplex Speed Type
Fa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX
这条信息更加明确的表示了该端口处于err-disabled状态。
既然看到了该端口是被置于了错误的状态了,我们就应该有办法将其再恢复成正常的状态。
拯救步骤2:将端口从错误状态中恢复回来
进入全局配置模式,执行errdisable recovery cause ?,会看到如下信息:
Switch(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
bpduguard Enable timer to recover from BPDU Guard error disable state
channel-misconfig Enable timer to recover from channel misconfig disable state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable state
l2ptguard Enable timer to recover from l2protocol-tunnel error disable state
link-flap Enable timer to recover from link-flap error disable state
loopback Enable timer to recover from loopback detected disable state
pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable state
从列出的选项中,我们可以看出,有非常多的原因会引起端口被置于错误状态,由于我们明确的知道这台上的端口是由于环路问题而被置于错误状态的,所以就可以直接键入命令:
Switch(config)#errdisable recovery cause loopback
是啊,就这么简单的一条命令,就把困挠我们很长时间的问题解决了,真的就这么神奇。那么如何验证这条命令是生效了呢?
拯救步骤3:显示被置于错误状态端口的恢复情况
Switch# show errdisable recovery
ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Disabled
security-violatio Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
gbic-invalid Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
loopback Enabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Fa0/8 loopback 276
Fa0/17 loopback 267
Fa0/20 loopback 250
从以上显示的信息可以看出,这台有三个端口(Fa0/8、Fa0/17、Fa0/20)会分别在276、267、250秒之后恢复为正常的状态,实际情况也是这样,等了几分钟以后,我们找了一台笔记本电脑,分别接到这几个端口上试了一下,端口都可以正常工作了。这下总算在不重的情况下,将几个处于“假死”状态的端口“拯救”了回来。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~?
以上是一网友提供的解决cisco端口假死的办法,虽然办法可行,但是每次假死后都要手动去恢复有些麻烦
为了让出现此假死故障后能自动恢复,我们也有相应帮忙来解决
在这里我就上面网友的内容进行补充,用于cisco自动恢复端口假死的故障
在特权模式下配置如下:
errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause sfp-config-mismatch
errdisable recovery cause gbic-invalid
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause storm-control
errdisable recovery cause inline-power
errdisable recovery cause arp-inspection
errdisable recovery cause loopback
以上这些都是导致端口假死的条件,配置上述可以
Link-flap error
Link flap means that the interface continually goes up and down. The interface is put into the errdisabled state if it flaps more than five times in 10 seconds. The common cause of link flap is a Layer 1 issue such as a bad cable, duplex mismatch, or bad Gigabit Interface Converter (GBIC) card. Look at the console messages or the messages that were sent to the syslog server that state the reason for the port shutdown.
%PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/
1 in err-disable state
Issue this command in order to view the flap values:
cat6knative#show errdisable flap-values
!--- Refer to show errdisable flap-values for more information on the command.
ErrDisable Reason Flaps Time (sec)
----------------- ------ ----------
pagp-flap 3 30
dtp-flap 3 30
link-flap 5 10
让端口在出现假死后自动恢复;
相关信息:
Copyright &
北大青鸟马甸校区
北京北方华腾技术培训中心
学校地址:北三环中路马甸桥东北角商房大厦(国美电器)626
招生热线:010-
京公网安备&&京ICP备号
京公网安备&&专注于网络技术,云计算,OpenStack,Python等技术
BPDU Guard, BPDU Filter, Root Guard, Loop Guard & UDLD
BPDU Guard, BPDU Filter, Root Guard, Loop Guard 和UDLD是交换机在安全方面考虑所提出的几个特性,能帮助维护网络的稳定性和提高网络安全性。如果有任何可疑的设备接入现有网络、有环路的产生或者线路故障,交换机会自动进行相应的措施,包括把端口暂时关闭来防止危害的发生。下面挨踢小茶详细讲解一下这几个特性。
BPDU Guard
BPDU Guard是对BPDU(Bridge Protocol Data Unit)报文的一个保护机制,来防止网络环路的行程。BPDU Guard是在模式下配置的,只有在配置了PortFast的情况下才能配置。经过PortFast配置的端口都应该是连接终端的端口,这些端口一般情况下是不会收发BPDU报文的,但是如果该端口配置了BPDU Guard,而在端口接入一台新交换机的话,因为交换机默认会发送BPDU报文,因此BPDU Guard特性就会被激活。
当BPDU Guard被激活后,相应的端口就会进入errdisable状态,这个时候不会进行任何数据的收发。BPDU Guard规定配置所在的接口是比必须接入终端(主机、服务器、打印机等),而非交换设备,一旦非法接入交换设备,就会触发BPDU Guard特性。一旦触发了该特性,这个端口只能等网络工程师手动进行恢复或者配置相应的恢复机制才能恢复到正常收发状态。
PS:BPDU Guard和PortFast配合配置在接入层交换机的接入端口。
相关配置:
switch(config)#[no] spanning-tree portfast edge bpduguard default
switch(config-if)#spanning-tree bpduguard enable
|接口配置模式
BPDU Filter
BPDU Filter和BPDU Guard一样,也是和PortFast配合使用的。当PortFast功能在端口开启以后,这个端口会正常接收和发送BPDU报文。BPDU Guard的工作是阻止这个端口接收BPDU报文(一接收就把这个端口给errdisable掉),而不阻止发送BPDU报文。而BPDU Filter的工作则是阻止该端口参与任何STP的BPDU报文接收和发送。
BPDU Filter支持在交换机上阻止PortFast-enabled端口发送BPDU报文,这些端口本应该介入终端,而终端是不参与STP(Spanning Tree Protocol)生成树协议的,BPDU报文对他们没有任何意义。阻止发送BPDU报文能达到节省资源的目的。
全局模式下配置BPDU Filter,会导致:
该交换机上所有开启了PortFast功能的端口都会启用BPDU Filter功能
如果端口收到BPDU报文,这个端口将失去PortFast状态,BPDU Filter功能也会丧失,从而成为普通端口参与STP
刚开启的时候,端口会发送10个BPDU报文,如果期间收到任何BPDU报文,这个端口的PortFast和BPDU Filter功能会丧失
接口配置模式下配置BPDU Filter,会导致:
端口忽略BPDU报文
不发送任何BPDU报文
PS:BPDU Filter和PortFast配合配置在接入层交换机的接入端口。如果BPDU Guard和BPDU Filter同时配置上,那么只有BPDU Filter会起作用!
相关配置:
switch(config)#spanning-tree portfast bpdufilter default
switch(config-if)#spanning-tree bpdufilter enable
|接口配置模式
Root Guard
Root Guard在阻止2层环路上有非常显著的效果,Root Guard强制性将端口设置为designated状态从而阻止其他交换机成为根交换机。换句话说,Root Guard捍卫了根桥在STP中的地位。如果在开启了Root Guard功能的接口上收到了一个优先级更高的BPDU,宣称自己才是跟桥,那么交换机会将这个接口状态变为root-inconsistent状态,原跟桥保持原有的优先地位。
Root Guard不像其他STP的增强特性一样可以在全局模式下开启,它只能手动在所有需要的口开启(那些跟桥不应该出现的接口)。Root Guard特性能有效的防止一个非法授权的设备接入到网络中,并且通过发送优先级高的BPDU报文来冒充自己是跟桥,能有效提高网络的安全性。
如果端口处于root-inconsistent状态,要如何恢复?这个恢复过程是自动的,只要当接口不再受到优先级别高的BPDU之后,该端口就会通过正常的STP状态达到forwarding状态从而正常转发数据,不用任何手工干预。
PS:Root Guard应该配置在所有接入端口中,即接入终端的端口。
相关配置:
switch(config-if)#spanning-tree guard root
Loop Guard
Loop Guard为二层网络提供了防止环路的功能(STP生成树的环路)。如图所示,交换机A是STP跟桥,交换机C的右边端口本身是处于Blocking状态,现在的状态是STP正常状态,不存在环路。当B和交换机C之间的链路存在单向失效时(即C能向B发送信息,B不能向C发送信息),C没有收到B发来的BPDU报文。
当C没有收到B的BPDU报文时间超过Max_age时间即老化时间的时候,C认为B已经不存在了,于是把Blocking口装换为Forwarding状态,从而产生了入下图所示的环路。
而如果开启了Loop Guard功能后,C会自动把右边端口状态更改为Loop Inconsistent状态,从而阻止环路的进一步发生!
同样的,当处于Loop Inconsistent状态的接口再次收到BPDU报文的时候,会根据BPDU报文的内容进行STP计算,从而恢复正常状态。因此Loop Guard的恢复也是完全自动的,无需手工干预。
需要注意的是:
Loop Guard不能再启用了Root Guard的交换机上使用
Loop GUard不能再启用了Port Fast或者Dynamic Vlan port上使用
UDLD(Unidirectional Link Detection)是二层的链路检测协议,用来检测光口的二层链路状态。当链路出现单向传输故障的时候,UDLD能检测到这个故障并且把这个端口给关闭。UDLD能在端口是UP/UP状态但无法收到或发送BPDU报文的情况下发挥作用。
当UDLD开启后,相应的端口会以默认的15秒为周期发送UDLD报文并且期望收到相应的UDLD报文,如果在老化时间(默认是45秒)都没有收到相应的UDLD报文的话,就会认定存在单向链路失效,把该端口变为errdisable状态。
PS:UDLD一般和Loop Guard配合使用。
Switch(config-if)# udld enable [aggressive]
Switch(config)# udld { enable | aggressive }
|接口配置模式
& & 除非注明,本博客文章均为原创,转载请以链接形式标明本文地址 & 本文固定链接地址:
【上一篇】【下一篇】
您可能还会对这些文章感兴趣!
最新日志热评日志随机日志
日志总数:258 篇
评论总数:1617 篇
标签数量:473 个
链接总数:13 个
建站日期:
运行天数:1793 天
最后更新:tangfangxiao 的BLOG
用户名:tangfangxiao
文章数:61
评论数:429
访问量:213544
注册日期:
阅读量:5863
阅读量:12276
阅读量:349636
阅读量:1048622
51CTO推荐博文
650) this.width=650;" src="../attachment/227186.jpg" border="0" alt="" />STP算法总结步骤一:选举跟网桥 选择网桥ID最小的步骤二:选择根端口 1.选择端口到根网桥路径开销最小的2.选择发送方网桥ID最小的3.选择发送方端口ID最小的步骤三:选择指定端口 1.选择网桥到根网桥路径开销最小的2.选择发送方网桥ID最小的3.选择发送方端口ID最小的步骤四:阻塞其它端口 形成无环拓扑从图中可以看出,STP的拓扑变更后,收敛速度很慢(30-50秒),30秒到50秒的时间对于要求实施响应的业务数据(VOIP、视频会议、数据库交互业务)是无法忍受的,所以STP定义了一些加快收敛的机制。加快STP收敛的方法:调整STP时间参数使用CISCO的STP增强特性进行协议的升级,使用RSTP或MSTP调整STP时间参数:switch(config)#spaning-tree&VLAN&#&(&hello-time&|&forward-delay&|&max&age&)&&#&650) this.width=650;" src="../attachment/016888.jpg" border="0" alt="" />CISCO的STP增强特性portfast特性用来加快交换机上连接终端设备的边界端口(access)收敛速度的一种STP特性。从理论上可以将STP的收敛时间变为0,即直接从disabled状态进入到forwarding状态。portfast特性启用后并没有禁止STP,如果该端口下接STP交换机则仍然会执行正常的STP选举收敛。portfast端口的状态变化不会触发TCNBPDU配置全局配置模式下:&&spanning-tree&portfast&default接口模式下:&&spanning-tree&portfastplinkfast特性加快接入层交换机上联主备链路切换时间的一种快速收敛特性。uplinkfast的注意事项:只在接入层交换机上部署,该接入层交换机上有且只有两条上行链路。只针对接入层交换机的上行链路故障有用。影响的是交换机上的所有VLAN。网桥优先级和端口开销会增加,网格优先级变为49152&,端口开销会增加3000&全局模式:spanning-tree&uplinkfastBackbonefast特性加快间接链路故障STP收敛的一种特性。必须部署在STP网络中的所有交换机上RLQ:根链路查询报文,cisco私有。由收到次佳配置BPDU的交换机产生,从根端口向根网桥发送,以探知到根的链路或根本身是否稳定。650) this.width=650;" src="../attachment/204867.jpg" border="0" alt="" />STP的保护机制BPDU&Guard是用来防止因portfast端口而导致交换网络中出现循环的一种STP保护特性。配置了BPDU&guard的portfast端口在收到BPDU时便会进入errdisable状态。bpduguard的全局开启与接口开启是与portfast的全局开启和接口开启对应的。SW(config)#spanning-tree&portfast&bpduguard&default&(全局开启)SW(config-if)#spanning-tree&bpduguard&enable&(接口开启)当STP&BPDU&guard禁用了端口,该端口会始终处于errdisable状态。恢复到正常端口状态有以下两种方式:手动通过shutdown/no&shutdown重新激活;通过设置时间周期自动恢复;Switch(config)#errdisable&recovery&cause&bpduguardSwitch(config)#errdisable&recovery&interval&400BPDU&Filter其特性非常类似于BPDU&Guard,也是定义于portfast端口上,但它所执行的动作比BPDP&Guard要轻一些,使用该机制的端口不会发送配置BPDU。而且能完全保证新增的交换机既不影响原有网络的同时又能与网络中的其他主机正常通信。&&&SW(config)#spanning-tree&portfast&bpdufilter&default(全局开启)&&&//porstfast端口不发送配置BPDU,收到BPDU后,转入正常STP收敛&&&SW(config-if)#spanning-tree&bpdufilter&enable&(接口开启)ROOT&Guard根保护确保启用了根保护的端口成为指定端口,根保护是基于每端口配置的,并且不允许该端口成为一个STP根端口。设置了根保护的端口如果收到了一个优于原BPDU的新的BPDU,它将把本端口设为root-inconsIistent状态,相当于监听状态。该状态下不会收发数据,不会成为根端口,只会监听BPDU。当停止接受错误的最优BPDU时,该端口经历生成树过程后自动恢复。接口模式下:spanning-tree&root&guardUDLD单向链路检测&作用:检测一对光纤链路收发是否存在故障,如果存在单向链路故障容易导致环路发生UDLD的工作原理:周期性发送UDLD二层帧(UDLD&hello包),对端会有UDLD的回应,说明链路正常若三个UDLD&hello周期没收到对端UDLD的回应,则认为链路出现单向故障。全局或光纤接口下单独启用:udld&{&aggressive&|&enable&|&disable&}Aggressive&模式:端口进入到errdisable状态下就不可用了Enable一般模式:端口进入到undetermined状态并产生syslog,端口仍然可用LOOP&Detection默认启用,通过自动检测并判断本设备下游是不是存在环路,如果存在环路,则该接口不可用本文出自 “” 博客,请务必保留此出处
了这篇文章
类别:┆阅读(0)┆评论(0)
17:03:48 18:31:16 10:00:34 12:44:01 11:33:06 12:56:02 17:40:54 14:40:47
