禁用Err的端口状态，启用&禁用自动恢复功能

由管理员撰写。发表于思科交换机-Catalyst交换机配置

4.1025641025641 1 1 1 1 1 评分4.10（39投票）

禁用是自动 禁用Cisco Catalyst交换机上的端口. When a port is 错误已禁用，它实际上已关闭，并且该端口上没有发送或接收流量。

的 错误已禁用 大多数运行Cisco IOS软件的Catalyst交换机均支持该功能。包括以下所有模型：

催化剂2940/2950/2960 / 2960S
催化剂3550/3560 / 3560-E / 3750 / 3750-E
催化剂4000/4500 / 4507R
催化剂6000/6500

The 禁用错误禁用功能旨在在端口出现问题或错误时通知管理员。催化剂转换可以进入的原因禁用模式和关闭端口很多，包括：

双工不匹配
环回错误
链接震荡（上/下）
港口保安 Violation
单播浮动
UDLD失败
广播风暴
BPDU防护

当端口处于错误禁用状态时，该端口将被有效关闭，并且该端口上不会发送或接收任何流量。端口LED设置为橙色，当您发出 show interfaces命令，端口状态显示为禁用.

以下是禁用错误端口的示例：

2960G# 显示界面gigabit0 / 7
GigabitEthernet0 / 7关闭，线路协议关闭（错误禁用)
硬件是千兆以太网，地址是001b.54aa.c107（bia 001b.54aa.c107）
MTU 1500字节，BW 100000 Kbit，DLY 100 usec，
    可靠性234/255，txload 1/255，rxload 1/255
封装ARPA，未设置环回
保持活动设置（10秒）
自动双工，自动速度，媒体类型为10/100 / 1000BaseTX
输入流控制已关闭，输出流控制不受支持
ARP类型：ARPA，ARP超时04:00:00
最后输入18w5d，输出18w5d，输出永不挂起
上次清除“显示界面”计数器从未
输入队列：0/75/0/0（大小/最大/滴/冲洗）;总输出下降：0
排队策略：fifo
输出队列：0/40（最大/最大）
5分钟输入速率0位/秒，0包/秒
5分钟输出速率0位/秒，0包/秒
    输入1011个数据包，862666字节，0无缓冲区
    收到157个广播（0个多播）
    0矮，0巨人，0油门
    3021输入错误，2 CRC，0帧，0超限，0忽略
    0个看门狗，144个多播，0个暂停输入
    检测到0个输入数据包，其中有运球情况
    402154封包输出，86290866字节，0下溢
    0个输出错误，0个冲突，1个接口复位
    0个杂音，0个后期碰撞，0个延迟
    0丢失载波，0无载波，0 PAUSE输出
    0个输出缓冲区故障，交换了0个输出缓冲区

要恢复处于Errdisable状态的端口，需要进行人工干预，管理员必须访问交换机并使用' 关掉 '之后是'没有关机命令。此命令序列将再次启用该端口，但是，如果问题仍然存在，请期望很快再次找到处于Errdisable状态的端口。

了解和配置错误自动恢复

如上所述，端口可以进入Errdisable状态有多种原因。一个常见的原因是端口安全性错误，也在下面的示例中使用。

在所有错误中，端口安全更多是功能而不是错误。端口安全性允许在配置为第2层端口的接口上限制MAC地址。这有效地防止了其他人连接网络上不需要的集线器或交换机。端口安全性允许我们指定要连接到特定端口的单个MAC地址，从而限制了对特定计算机的访问。

如果发生违规，“端口安全”将自动禁用该端口。这是启用端口安全性时默认端口安全策略的行为。以下是端口安全性的配置示例：

2960G（配置）＃ 接口GigabitEthernet0 / 48
2960G（config-if）＃ 交换端口访问VLAN 2
2960G（config-if）＃ 切换端口模式访问
2960G（config-if）＃ 交换端口端口安全
2960G（config-if）＃ 生成树portfast

将主机连接到端口后，我们可以获得有关其端口安全状态的更多信息，以及在发生违规时将采取的措施:

2960G# 显示端口安全接口GigabitEthernet 0/48
港口保安                : Enabled
端口状态               : 安全 -up
违规模式              : 关掉
老化时间                   : 0 mins
老化类型                   : Absolute
安全 Static地址老化：已禁用
最大MAC地址   : 1
MAC总地址          : 1
配置的MAC地址：0
粘性MAC地址        : 0
上次来源地址：Vlan   : 001b.54aa.c107
安全违规计数     : 0

请注意 违规模式 被设置为关掉。这意味着，当检测到违规时，交换机会将gigabitethernet 0/48置于err-disable关闭状态，如下所示：

％PORT_SECURITY-2-PSECURE_VIOLATION： 发生安全冲突是由端口GigabitEthernet0 / 48上的MAC地址0031.f6ac.03f5引起的

尽管几乎总是需要知道何时发生端口安全违规，但在某些情况下，自动恢复是理想的功能，尤其是在意外违规期间。

以下命令在端口安全违规发生30秒后启用自动恢复功能:

2960G（配置）＃ 严重的恢复会导致精神错乱
2960G（配置）＃ 错误恢复间隔30

确定错误状态的原因

要查看错误原因，并查看启用了自动恢复功能的原因，请使用 显示错误恢复 命令：

2960G# 显示错误的恢复

错误原因    Timer Status
-----------------    --------------
udld                   Disabled
bpduguard              Disabled
      Disabled
通道错误配置   Disabled
vmps                   Disabled
拍拍           Disabled
dtp-flap                  Disabled
链接襟翼           Disabled
安全违规      Enabled
sfp-config-mismat   Disabled
gbic无效             Disabled
dhcp-rate-limit        Disabled
单播洪水           Disabled
风暴控制        Disabled
回送            Disabled

计时器间隔：30秒

在下次超时时启用的接口。

We have now confirmed that autorecovery is enabled for port-security violations. If it is required to enable the 禁用 autorecovery feature for all supported reasons, use the following 命令：

2960G（配置）＃ 错误恢复导致所有

为了测试我们的配置，我们强行违反端口安全性，导致交换机将有问题的端口置于关闭状态。请注意，我们已为启用自动恢复 全部错误 端口安全违规导致接口处于关闭状态的原因和剩余时间：

2960G# 显示错误的恢复
错误原因    Timer Status
-----------------         --------------
udld                Enabled
bpduguard             Enabled
   Enabled
通道错误配置    Enabled
vmps                      Enabled
拍拍              Enabled
dtp-flap          Enabled
链接襟翼             Enabled
安全违规    Enabled
sfp-config-mismat   Enabled
gbic无效            Enabled
dhcp-rate-limit       Enabled
单播洪水          Enabled
风暴控制         Enabled
回送               Enabled

计时器间隔：30秒

下一次超时将启用的接口：

接口    禁用 reason      Time left(sec)
---------       -----------------            --------------
Gi0 / 48          n          17

十七秒后，交换机自动从端口安全冲突中恢复并重新启用接口：

％PM-4-ERR_RECOVER：尝试从中恢复 安全违反错误禁用状态 上 千兆以太网0/48
18w4d：％LINK-3-UPDOWN：接口GigabitEthernet0 / 48，状态更改为up
18w4d：％LINEPROTO-5-UPDOWN：接口GigabitEthernet0 / 48上的线路协议，状态更改为up

禁用Errdisable功能

在某些情况下，可能有必要针对特定支持的功能禁用Errdisable机制，以克服持续的接口关闭和自动恢复的麻烦。尽管Catalyst IOS不允许禁用所有功能，但我们仍然可以微调该机制并有选择地禁用一些功能。

要查看禁用由开关监控的原因，请使用 显示错误检测 命令：

2960G# show errdisable detect



错误原因      Detection    Mode


-----------------      ---------    ----


bpduguard               Enabled      port


通道错误配置       Enabled      port


community-limit         Enabled      port


dhcp-rate-limit         Enabled      port


dtp-flap                Enabled      port


gbic无效            Enabled      port

inline-power Enabled port


invalid-policy          Enabled      port


链接襟翼               Enabled      port


回送                Enabled      port


lsgroup                 Enabled      port


mac-limit               Enabled      port


拍拍               Enabled      port

port-mode-failure Enabled port


安全违规        Enabled      port/vlan


n      Enabled      port

sfp-config-mismatch Enabled port


small-frame             Enabled      port


风暴控制           Enabled      port


udld                    Enabled      port


vmps                    Enabled      port

如图所示，该命令列出了所有受支持的Errdisable原因。对于我们的示例，假设我们要禁用 内联电源Errdisable功能。

为此，我们只需使用以下命令：

2960G（配置）＃ 错误恢复导致所有

并验证禁用已禁用此功能：

2960G# show errdisable detect
错误原因      Detection    Mode
-----------------      ---------    ----
bpduguard               Enabled      port
通道错误配置       Enabled      port
community-limit         Enabled      port
dhcp-rate-limit         Enabled      port
dtp-flap                Enabled      port
gbic无效            Enabled      port
inline-power            Disabled     port
invalid-policy          Enabled      port
链接襟翼               Enabled      port
回送                Enabled      port
lsgroup                 Enabled      port
mac-limit               Enabled      port
拍拍               Enabled      port
port-mode-failure       Enabled      port
安全违规       Enabled      port/vlan
n      Enabled      port
sfp-config-mismatch     Enabled      port
small-frame             Enabled      port
风暴控制           Enabled      port
udld                    Enabled      port
vmps                    Enabled      port