资料下载

禁用Err的端口状态,启用&禁用自动恢复功能

由管理员撰写。发表于 思科交换机-Catalyst交换机配置

4.1025641025641 1 1 1 1 1 评分4.10(39投票)
 压住他

思科交换机4507RE-WS-X45-SUP7L-E-20禁用 是自动 禁用Cisco Catalyst交换机上的端口. When a port is 错误已禁用,它实际上已关闭,并且该端口上没有发送或接收流量。

错误已禁用 大多数运行Cisco IOS软件的Catalyst交换机均支持该功能。包括以下所有模型:

  • 催化剂2940/2950/2960 / 2960S
  • 催化剂3550/3560 / 3560-E / 3750 / 3750-E
  • 催化剂4000/4500 / 4507R
  • 催化剂6000/6500

 The 禁用 错误禁用功能旨在在端口出现问题或错误时通知管理员。  催化剂转换可以进入的原因 禁用 模式和关闭端口很多,包括:

  • 双工不匹配
  • 环回错误
  • 链接震荡(上/下)
  • 港口保安 Violation
  • 单播浮动
  • UDLD失败
  • 广播风暴
  • BPDU防护

 

当端口处于错误禁用状态时,该端口将被有效关闭,并且该端口上不会发送或接收任何流量。端口LED设置为橙色,当您发出 show interfaces命令,端口状态显示为 禁用.

以下是禁用错误端口的示例:

2960G# 显示界面gigabit0 / 7
GigabitEthernet0 / 7关闭,线路协议关闭(错误禁用)
 硬件是千兆以太网,地址是001b.54aa.c107(bia 001b.54aa.c107)
 MTU 1500字节,BW 100000 Kbit,DLY 100 usec,
    可靠性234/255,txload 1/255,rxload 1/255
 封装ARPA,未设置环回
 保持活动设置(10秒)
 自动双工,自动速度,媒体类型为10/100 / 1000BaseTX
 输入流控制已关闭,输出流控制不受支持
 ARP类型:ARPA,ARP超时04:00:00
 最后输入18w5d,输出18w5d,输出永不挂起
 上次清除“显示界面”计数器从未
 输入队列:0/75/0/0(大小/最大/滴/冲洗);总输出下降:0
 排队策略:fifo
 输出队列:0/40(最大/最大)
 5分钟输入速率0位/秒,0包/秒
 5分钟输出速率0位/秒,0包/秒
    输入1011个数据包,862666字节,0无缓冲区
    收到157个广播(0个多播)
    0矮,0巨人,0油门
    3021输入错误,2 CRC,0帧,0超限,0忽略
    0个看门狗,144个多播,0个暂停输入
    检测到0个输入数据包,其中有运球情况
    402154封包输出,86290866字节,0下溢
    0个输出错误,0个冲突,1个接口复位
    0个杂音,0个后期碰撞,0个延迟
    0丢失载波,0无载波,0 PAUSE输出
    0个输出缓冲区故障,交换了0个输出缓冲区

要恢复处于Errdisable状态的端口,需要进行人工干预,管理员必须访问交换机并使用' 关掉 '之后是'没有关机命令。此命令序列将再次启用该端口,但是,如果问题仍然存在,请期望很快再次找到处于Errdisable状态的端口。

 

了解和配置错误自动恢复

如上所述,端口可以进入Errdisable状态有多种原因。 一个常见的原因是端口安全性错误,也在下面的示例中使用。

在所有错误中,端口安全更多是功能而不是错误。端口安全性允许在配置为第2层端口的接口上限制MAC地址。这有效地防止了其他人连接网络上不需要的集线器或交换机。端口安全性允许我们指定要连接到特定端口的单个MAC地址,从而限制了对特定计算机的访问。

如果发生违规,“端口安全”将自动禁用该端口。这是启用端口安全性时默认端口安全策略的行为。以下是端口安全性的配置示例:

2960G(配置)# 接口GigabitEthernet0 / 48
2960G(config-if)# 交换端口访问VLAN 2
2960G(config-if)# 切换端口模式访问
2960G(config-if)# 交换端口端口安全
2960G(config-if)# 生成树portfast

将主机连接到端口后,我们可以获得有关其端口安全状态的更多信息,以及在发生违规时将采取的措施:

2960G# 显示端口安全接口GigabitEthernet 0/48
港口保安                    : Enabled
端口状态                       : 安全 -up
违规模式                  : 关掉
老化时间                       : 0 mins
老化类型                       : Absolute
安全 Static地址老化:已禁用
最大MAC地址   : 1
MAC总地址          : 1
配置的MAC地址:0
粘性MAC地址        : 0
上次来源地址:Vlan   : 001b.54aa.c107
安全违规计数     : 0

请注意 违规模式 被设置为 关掉 。这意味着,当检测到违规时,交换机会将gigabitethernet 0/48置于err-disable关闭状态,如下所示:

%PORT_SECURITY-2-PSECURE_VIOLATION: 发生安全冲突是由端口GigabitEthernet0 / 48上的MAC地址0031.f6ac.03f5引起的

尽管几乎总是需要知道何时发生端口安全违规,但在某些情况下,自动恢复是理想的功能,尤其是在意外违规期间。

以下命令在端口安全违规发生30秒后启用自动恢复功能:

2960G(配置)# 严重的恢复会导致精神错乱
2960G(配置)# 错误恢复间隔30

 

确定错误状态的原因

要查看错误原因,并查看启用了自动恢复功能的原因,请使用 显示错误恢复 命令:

 

2960G# 显示错误的恢复
错误原因    Timer Status
-----------------    --------------
udld                       Disabled
bpduguard              Disabled
      Disabled
通道错误配置   Disabled
vmps                     Disabled
拍拍               Disabled
dtp-flap                  Disabled
链接襟翼                 Disabled
安全违规      Enabled
sfp-config-mismat   Disabled
gbic无效             Disabled
dhcp-rate-limit        Disabled
单播洪水           Disabled
风暴控制          Disabled
回送                Disabled
计时器间隔:30秒
在下次超时时启用的接口。

 

 We have now confirmed that autorecovery is enabled for port-security violations. If it is required to enable the 禁用 autorecovery feature for all supported reasons, use the following 命令:

2960G(配置)# 错误恢复导致所有

 

为了测试我们的配置,我们强行违反端口安全性,导致交换机将有问题的端口置于关闭状态。请注意,我们已为启用自动恢复 全部错误 端口安全违规导致接口处于关闭状态的原因和剩余时间:

 

2960G# 显示错误的恢复
错误原因    Timer Status
-----------------         --------------
udld                        Enabled
bpduguard               Enabled
       Enabled
通道错误配置    Enabled
vmps                      Enabled
拍拍                Enabled
dtp-flap                  Enabled
链接襟翼                 Enabled
安全违规    Enabled
sfp-config-mismat   Enabled
gbic无效            Enabled
dhcp-rate-limit       Enabled
单播洪水          Enabled
风暴控制         Enabled
回送               Enabled

计时器间隔:30秒

下一次超时将启用的接口:

接口     禁用 reason      Time left(sec)
---------         -----------------            --------------
Gi0 / 48          n          17

 

十七秒后,交换机自动从端口安全冲突中恢复并重新启用接口:

%PM-4-ERR_RECOVER:尝试从中恢复 安全违反错误禁用状态千兆以太网0/48
18w4d:%LINK-3-UPDOWN:接口GigabitEthernet0 / 48,状态更改为up
18w4d:%LINEPROTO-5-UPDOWN:接口GigabitEthernet0 / 48上的线路协议,状态更改为up

 

禁用Errdisable功能

在某些情况下,可能有必要针对特定​​支持的功能禁用Errdisable机制,以克服持续的接口关闭和自动恢复的麻烦。 尽管Catalyst IOS不允许禁用所有功能,但我们仍然可以微调该机制并有选择地禁用一些功能。

要查看 禁用 由开关监控的原因,请使用 显示错误检测 命令:

2960G# show errdisable detect

错误原因      Detection    Mode

-----------------      ---------    ----

bpduguard               Enabled      port

通道错误配置       Enabled      port

community-limit         Enabled      port

dhcp-rate-limit         Enabled      port

dtp-flap                Enabled      port

gbic无效            Enabled      port
inline-power            Enabled      port
invalid-policy          Enabled      port

链接襟翼               Enabled      port

回送                Enabled      port

lsgroup                 Enabled      port

mac-limit               Enabled      port

拍拍               Enabled      port
port-mode-failure       Enabled      port
安全违规        Enabled      port/vlan

n      Enabled      port
sfp-config-mismatch     Enabled      port
small-frame             Enabled      port

风暴控制           Enabled      port

udld                    Enabled      port

vmps                    Enabled      port


如图所示,该命令列出了所有受支持的Errdisable原因。 对于我们的示例,假设我们要禁用 内联电源Errdisable功能。

为此,我们只需使用以下命令:

2960G(配置)# 错误恢复导致所有

 

并验证 禁用 已禁用此功能:

2960G# show errdisable detect
错误原因      Detection    Mode
-----------------      ---------    ----

bpduguard               Enabled      port

通道错误配置       Enabled      port

community-limit         Enabled      port

dhcp-rate-limit         Enabled      port

dtp-flap                Enabled      port

gbic无效            Enabled      port
inline-power            Disabled     port
invalid-policy          Enabled      port

链接襟翼               Enabled      port

回送                Enabled      port

lsgroup                 Enabled      port

mac-limit               Enabled      port

拍拍               Enabled      port
port-mode-failure       Enabled      port
安全违规       Enabled      port/vlan

n      Enabled      port
sfp-config-mismatch     Enabled      port
small-frame             Enabled      port

风暴控制           Enabled      port

udld                    Enabled      port

vmps                    Enabled      port


总体而言,如果配置和监视正确,Errdisable功能将是一个非常有用的工具。花必要的时间来试用Cisco Catalyst交换机的受支持选项,并对其进行微调以适合您的网络需求。 

返回思科交换机部分

 压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置