Récupérer l’état du port Errdisable sur les plateformes Cisco IOS
Table des matières
Introduction
Ce document décrit l’état « ErrDisabled », précise comment y remédier et fournit des exemples de récupération ErrDisable.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les résultats de ce document proviennent des commutateurs Cisco Catalyst 4500/6500. Les commutateurs exécutaient le logiciel Cisco IOS® et disposaient de ports Ethernet compatibles avec EtherChannel et PortFast.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Ce document utilise les termes « errdisable » et « error disable » de façon interchangeable. Il est courant de demander une assistance technique (assistance technique Cisco) lorsque vous remarquez qu'un ou plusieurs ports de commutateur ont été désactivés par erreur, ce qui signifie que les ports ont l'état errdisabled. L'objectif de ce document est d'aider à comprendre pourquoi l'erreur de désactivation s'est produite et comment rétablir le fonctionnement normal des ports.
Remarque : l'état du port « error disabled » s'affiche dans le résultat de la commande show interfaces interface_number status.
La fonctionnalité errdisable est prise en charge sur les commutateurs Catalyst qui exécutent Cisco IOS et Cisco IOS XE.
Les commandes utilisées pour implémenter et vérifier errdisable peuvent varier selon les plates-formes logicielles. Ce document se concentre spécifiquement sur errdisable pour les commutateurs qui exécutent le logiciel Cisco IOS.
Errdisable
Fonction d'errdisable
Si la configuration montre un port à activer, mais que le logiciel sur le commutateur détecte une situation d'erreur sur le port, le logiciel arrête ce port. En d'autres termes, le port est automatiquement désactivé par le logiciel de système d'exploitation du commutateur en raison d'une condition d'erreur qui est produite sur le port.
Quand un port est désactivé par erreur, il est arrêté de façon effective et aucun trafic n'est envoyé ou reçu sur le ce port. La LED du port est définie sur la couleur orange, et quand vous émettez la commande show interfaces, l'état du port affiche err-disabled. Voici un exemple de ce à quoi ressemble un port désactivé pour erreur à partir de l'interface de ligne de commande (CLI) du commutateur :
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Ou, si l'interface a été désactivée en raison d'une condition d'erreur, vous pouvez voir des messages semblables aux suivants dans la console et le syslog :
%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state
Cet exemple de message s'affiche quand un port hôte reçoit BDPU (Bridge Protocol Data Unit). Le message réel dépend de la raison de la condition d'erreur.
La fonctionnalité error disable sert à atteindre deux objectifs :
-
Elle permet à l'administrateur de savoir quand et où il y a un problème de port.
-
Elle élimine la possibilité que ce port puisse entraîner la défaillance d'autres ports sur le module (ou de tout le module).
Une telle panne peut se produire quand un port défectueux monopolise les mémoires tampons ou que les messages d'erreur de port monopolisent les communications entre processus sur la carte, ce qui peut finalement entraîner de graves problèmes réseau. La fonctionnalité error disable permet d'empêcher ces situations.
Causes d'errdisable
Cette fonctionnalité a été mise en application la première fois afin de manipuler les situations spéciales de collision dans lesquelles le commutateur a détecté des collisions excessives ou en retard sur un port. Des collisions excessives se produisent quand une trame est supprimée parce que le commutateur rencontre 16 collisions dans une ligne. Les collisions tardives se produisent parce que chaque périphérique sur le fil ne reconnaissait pas que le fil était en cours d’utilisation. Les causes possibles de ces types d'erreurs sont notamment les suivantes :
-
Un câble qui ne respecte pas les spécifications (trop long, de type inapproprié ou défectueux)
-
Une carte d'interface réseau (NIC) défectueuse (avec des problèmes physiques ou des problèmes de pilote)
-
Une configuration incorrecte de port en duplex
Une configuration incorrecte de port en duplex est une cause courante des erreurs en raison d'une mauvaise négociation de la vitesse et du duplex entre deux périphériques directement connectés (par exemple, une NIC qui se connecte à un commutateur). Seules les connexions bidirectionnelles non simultanées peuvent rencontrer des collisions dans un réseau local. En raison de la nature CSMA (Carrier Sense Multiple Access) d'Ethernet, les collisions sont normales pour le semi-duplex, tant que les collisions ne dépassent pas un petit pourcentage du trafic.
Il y a diverses raisons du passage de l'interface dans l'état errdisable. La raison peut être l'une des suivantes :
-
Non-correspondance de mode duplex
-
Configuration incorrecte du canal de port
-
Violation de la protection BPDU
-
Condition UDLD (UniDirectional Link Detection)
-
Détection de collisions tardives
-
Détection d'affolement de liaison
-
Violation de la sécurité
-
Affolement du protocole d'agrégation de ports (PAgP)
-
Protection du protocole L2TP (Layer 2 Tunneling Protocol)
-
Limite du taux de surveillance DHCP
-
Module ou câble GBIC/SFP (Small Form-Factor Pluggable) incorrect
-
Inspection du protocole de résolution d'adresse (ARP)
-
Alimentation
Déterminer si les ports sont dans l'état errdisabled
Vous pouvez déterminer si votre port a été désactivé pour erreur si vous émettez la commande show interfaces.
Voici un exemple d'un port actif :
cat6k#show interfaces gigabitethernet 4/1 status !--- Refer to show interfaces status for more information on the command. Port Name Status Vlan Duplex Speed Type Gi4/1 connected 100 full 1000 1000BaseSX
Voici un exemple du même port dans l'état err-disabled :
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Déterminer la raison de l'état errdisabled (messages de console, syslog et la commande show errdisable recovery)
Quand le commutateur met un port dans l'état error-disabled, il envoie un message à la console qui décrit pourquoi il a désactivé le port. L'exemple de cette section fournit deux exemples de messages qui montrent la raison de la désactivation de port :
-
Une désactivation est due à la fonctionnalité de protection des BPDU PortFast.
-
L'autre désactivation est due à un problème de configuration d'EtherChannel.
Voici les exemples de messages :
%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port. %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state %SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1
Si vous avez activé errdisable recovery, vous pouvez déterminer la raison de l'état errdisable si vous émettez la commande show errdisable recovery. Voici un exemple :
cat6k#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled psecure-violation Enabled gbic-invalid Enabled dhcp-rate-limit Enabled mac-limit Enabled unicast-flood Enabled arp-inspection Enabled Timer interval: 300 seconds Interfaces that can be enabled at the next timeout: Interface Errdisable reason Time left(sec) --------- --------------------- -------------- Fa2/4 bpduguard 273
Récupérer un port de l'état errdisabled
Cette section fournit des exemples de la façon dont vous pouvez rencontrer un port désactivé par erreur et comment le corriger, ainsi qu'une brève discussion de quelques raisons supplémentaires qu'un port peut devenir désactivé par erreur. Afin de récupérer un port de l'état errdisable, commencez par identifier et corriger le problème racine, puis réactivez le port. Si vous réactivez le port avant de corriger le problème racine, les ports sont simplement à nouveau désactivés.
Corriger le problème racine
Après avoir découvert pourquoi les ports ont été désactivés, corrigez le problème racine. La solution dépend de ce qui a déclenché le problème. Il y a de nombreuses choses qui peuvent déclencher l'arrêt. Cette section décrit certaines des causes les plus apparentes et les plus courantes :
-
Configuration incorrecte d'EtherChannel
Pour qu'EtherChannel fonctionne, les ports qui sont impliqués doivent avoir des configurations cohérentes. Les ports doivent avoir le même VLAN, le même mode de liaison agréée, la même vitesse, le même duplex, etc. La plupart des différences de configuration dans un commutateur sont détectées et signalées quand vous créez le canal. Si un commutateur est configuré pour EtherChannel et que l'autre commutateur n'est pas configuré pour EtherChannel, le processus de spanning tree peut arrêter les ports avec canal du côté qui est configuré pour EtherChannel. Le mode on d'EtherChannel n'envoie pas de paquets PAgP pour négocier avec l'autre côté avant la transmission ; il suppose simplement que l'autre côté effectue la transmission. En outre, cet exemple n'active pas EtherChannel pour l'autre commutateur, mais laisse ces ports comme des ports individuels sans canal. Si vous laissez l'autre commutateur dans cet état pendant une minute environ, le protocole Spanning Tree (STP) sur le commutateur où EtherChannel est activé pense qu'il y a une boucle. Cela met les ports de tunnellisation dans l'état errdisabled.
En cet exemple, une boucle a été détectée et les ports ont été désactivés. La sortie de la commande show etherchannel summary montre que l'option Number of channel-groups in use a la valeur 0. Quand vous regardez l'un des ports impliqués, vous pouvez voir que l'état est err-disabled :
%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration of Gi4/1 cat6k#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling Number of channel-groups in use: 0 Number of aggregators: 0 Group Port-channel Protocol Ports ------+-------------+-----------+-----------------------------------------------EtherChannel a été arrêté parce que les ports ont été placés dans l'état errdisable sur ce commutateur.
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Pour déterminer l'origine du problème, regardez le message d'erreur. Le message indique qu'EtherChannel a rencontré une boucle de spanning tree. Comme l'explique cette section, ce problème peut se poser quand un périphérique (le commutateur, dans le cas présent) a EtherChannel activé manuellement à l'aide du mode on (par opposition à désirable) et l'autre périphérique connecté (l'autre commutateur, dans le cas présent) n'a pas EtherChannel activé du tout. Une façon de corriger la situation est de définir le mode du canal sur desirable des deux côtés de la connexion, puis de réactiver les ports. Ensuite, chaque côté forme un canal seulement si les deux côtés acceptent de créer un canal. S'ils n'acceptent pas de créer un canal, les deux côtés continuent à fonctionner comme des ports normaux.
cat6k(config)#interface gigabitethernet 4/1 cat6k(config-if)#channel-group 3 mode desirable non-silent
- Non-correspondance de mode duplex
Les non-correspondances de mode duplex sont courantes en raison d'une mauvaise négociation automatique de la vitesse et du mode duplex. À la différence d'un périphérique en mode semi-duplex, qui doit attendre jusqu'à ce qu'il n'y ait aucun autre périphérique qui transmette sur le même segment LAN, un périphérique en mode duplex intégral transmet chaque fois que le périphérique a quelque chose à envoyer, indépendamment des autres périphériques. Si cette transmission se produit tandis que le périphérique en mode semi-duplex transmet, le périphérique en mode semi-duplex considère cela comme une collision (pendant l'intervalle de temps) ou comme une collision tardive (après l'intervalle de temps). Puisque le côté duplex intégral n'attend jamais de collisions, ce côté ne se rend jamais compte qu'il doit retransmettre ce paquet supprimé. Un bas taux de collisions est normal avec le semi duplex, mais n'est pas normal avec le bidirectionnel simultané. Un port de commutateur qui reçoit beaucoup de collisions tardives indique habituellement un problème de non-correspondance de mode duplex. Assurez-vous que les ports des deux côtés du câble sont définis à la même vitesse et au même duplex. La commande Show interfaces interface_number vous indique la vitesse et le duplex pour les ports de commutateur Catalyst. Les versions ultérieures de Cisco Discovery Protocol (CDP) peuvent vous avertir au sujet d'une non-correspondance de mode duplex avant que le port soit mis dans l'état error-disabled.
En outre, il y a des paramètres sur une NIC, tels que des fonctionnalités de polarité automatique, qui peuvent provoquer le problème. En cas de doute, désactivez ces paramètres. Si vous avez plusieurs NIC d'un constructeur et que les NIC ont toutes le même problème, consultez le site Web du constructeur pour vérifier dans les notes de publication que vous disposez des pilotes les plus récents.
D'autres causes de collisions tardives sont notamment les suivantes :
- Une NIC défectueuse (avec des problèmes physiques, et pas simplement des problèmes de configuration)
- Un câble défectueux
- Un segment de câble qui est trop long
- Protection de port des BPDU
Un port qui utilise PortFast doit uniquement se connecter à une station d’extrémité (telle qu’une station de travail ou un serveur) et non à des périphériques qui génèrent des unités BPDU Spanning Tree, tels que des commutateurs, ou des ponts et des routeurs qui établissent un pont. Si le commutateur reçoit une BPDU de spanning tree sur un port sur lequel la protection de PortFast pour le spanning tree et des BPDU pour le spanning tree est activée, il met le port en mode errdisabled afin d'assurer la protection contre les boucles potentielles. PortFast suppose qu'un port sur un commutateur ne peut pas produire une boucle physique. Par conséquent, il ignore les contrôles de spanning-tree initiaux pour ce port, ce qui évite l'expiration des stations d'extrémité au démarrage. L'administrateur réseau doit soigneusement implémenter PortFast. Sur les ports sur lesquels PortFast est activé, la protection des BPDU permet de garantir que le LAN reste sans boucles.
Cet exemple montre comment activer cette fonctionnalité. Cet exemple a été choisi parce que la création d'une situation de désactivation d'erreur est facile dans ce cas :
cat6k(config-if)#spanning-tree bpduguard enable !--- Refer to spanning-tree bpduguard for more information on the command.
Dans cet exemple, un commutateur Catalyst 6509 est connecté à un autre commutateur (un 6509). Le commutateur 6500 envoie des BPDU toutes les 2 secondes (à l'aide des paramètres de spanning tree par défaut). Quand vous activez PortFast sur le port de commutateur 6509, la fonctionnalité de protection des BPDU observe les BPDU qui entrent sur ce port. Quand une BPDU entre dans le port, ce qui signifie qu'un périphérique qui n'est pas un périphérique d'extrémité est détecté sur ce port, la fonctionnalité de protection des BPDU désactive le port afin d'éviter la possibilité d'une boucle de spanning tree.
cat6k(config-if)#spanning-tree portfast enable !--- Refer to spanning-tree portfast (interface configuration mode) for more information on the command. Warning: Spantree port fast start can only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary spanning tree loops. %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state.
Dans ce message, le commutateur indique qu'il a reçu une BPDU sur un port ayant PortFast activé, et donc le commutateur a arrêté le port Gi4/1.
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Vous devez désactiver la fonctionnalité PortFast parce que ce port est un port avec une connexion incorrecte. La connexion est incorrecte car PortFast est activé, et le commutateur se connecte à un autre commutateur. Rappelez-vous que PortFast est destiné à être utilisé seulement sur les ports qui se connectent à des stations d'extrémité.
cat6k(config-if)#spanning-tree portfast disable
-
UDLD
Le protocole UDLD permet aux périphériques qui sont connectés via des câbles Ethernet à fibre optique ou en cuivre (par exemple, le câblage de catégorie 5) pour surveiller la configuration physique des câbles et détecter quand il y a une liaison unidirectionnelle. Quand une liaison unidirectionnelle est détectée, UDLD arrête le port affecté et alerte l'utilisateur. Les liaisons unidirectionnelles peuvent poser un certain nombre de problèmes, notamment des boucles de topologie Spanning Tree.
Chaque port de commutateur qui est configuré pour UDLD envoie les paquets du protocole UDLD qui contiennent le périphérique de port (ou l'ID de port) et le périphérique voisin (ou les ID de port) qui sont vus par UDLD sur ce port. Les ports voisins doivent voir leur propre périphérique ou ID de port (écho) dans les paquets qui sont reçus en provenance de l'autre côté. Si le port ne voit pas son propre périphérique ou ID de port dans les paquets UDLD entrants pendant une durée spécifique, la liaison est considérée comme unidirectionnelle. Par conséquent, le port respectif est désactivé et un message semblable à celui-ci est imprimé sur la console :
PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in err-disable state.
Pour plus d'informations sur le fonctionnement, la configuration et les commandes UDLD, référez-vous au document Guide de configuration de Catalyst 6500.
-
Erreur d'affolement de liaison
L'affolement de liaison signifie que l'interface est continuellement active et désactive. L'interface est mise dans l'état errdisabled si elle s'affole plus de cinq fois en 10 secondes. La cause courante d'un affolement de liaison est un problème de couche 1 tel qu'un mauvais défectueux, une non-correspondance de mode duplex ou une carte GBIC (Gigabit Interface Converter) défectueuse. Regardez les messages sur la console ou les messages qui ont été envoyés au serveur syslog et qui indiquent la raison de l'arrêt du port.
%PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/1 in err-disable state
Émettez la commande suivante afin d'afficher les valeurs d'affolement :
cat6k#show errdisable flap-values !--- Refer to show errdisable flap-values for more information on the command. ErrDisable Reason Flaps Time (sec) ----------------- ------ ---------- pagp-flap 3 30 dtp-flap 3 30 link-flap 5 10
-
Erreur de bouclage
Une erreur de bouclage se produit quand le paquet keepalive fait une boucle vers le port qui a envoyé le keepalive. Le commutateur envoie des keepalives à toutes les interfaces par défaut. Un périphérique envoie en boucle les paquets à l'interface source, ce qui se produit habituellement parce qu'il y a dans le réseau une boucle logique que le spanning tree n'a pas bloquée. L'interface source reçoit le paquet keepalive qu'il a envoyé, et le commutateur désactive l'interface (errdisable). Le message suivant survient parce que le paquet keepalive fait une boucle vers le port qui a envoyé le keepalive :
%PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in err-disable state
Les keepalives sont envoyés sur toutes les interfaces par défaut dans le logiciel Cisco IOS Version 12.1EA. Dans le logiciel Cisco IOS Version 12.2SE et ultérieures, les keepalives ne sont pas envoyés par défaut sur les interfaces à fibres et avec liaisons ascendantes.
La solution de contournement suggérée est de désactiver les keepalives et d'effectuer une mise à niveau vers le logiciel Cisco IOS Version 12.2SE ou ultérieures.
-
Violation de la sécurité de port
Vous pouvez utiliser la sécurité de port avec des adresses MAC apprises dynamiquement et statiques pour restreindre le trafic entrant d'un port. Pour restreindre le trafic, vous pouvez limiter les adresses MAC qui sont autorisées à envoyer du trafic dans le port. Afin de configurer le port de commutateur en error disable s'il y a une violation de la sécurité, émettez la commande suivante :
cat6k(config-if)#switchport port-security violation shutdown
Une violation de la sécurité se produit dans l'une de ces deux situations :
-
Quand le nombre maximal d'adresses MAC sécurisées est atteint sur un port sécurisé et que l'adresse MAC source du trafic entrant diffère de toutes les adresses MAC sécurisées identifiées.
Dans ce cas, la sécurité de port applique le mode de violation configuré.
-
Si du trafic avec une adresse MAC sécurisée qui est configurée ou apprises sur un port sécurisé essaye d'accéder à un autre port sécurisé dans le même VLAN.
Dans ce cas, la sécurité de port applique le mode de violation shutdown.
-
-
Protection L2TP
Lorsque les unités de données de protocole de couche 2 entrent dans le tunnel ou le port d’accès du commutateur de périphérie entrant, le commutateur remplace l’adresse MAC de destination de l’unité de données de protocole d’origine par une adresse de multidiffusion propriétaire Cisco bien connue (01-00-0c-cd-cd-d0). Si la transmission tunnel 802.1Q est activée, les paquets sont également doublement marqués. La balise externe est la balise metro et la balise interne est la balise VLAN. Les commutateurs principaux ignorent les balises internes et transfèrent le paquet à tous les ports de liaison agréée du même VLAN métro. Les commutateurs de périphérie du côté sortant restaurent le protocole de couche 2 et les informations d'adresse MAC appropriés, et transfèrent les paquets à tous les ports de tunnel ou d'accès du même VLAN métro. Par conséquent, les unités de données de protocole de couche 2 sont conservées intactes et acheminées à travers l’infrastructure du fournisseur de services de l’autre côté du réseau.
Switch(config)#interface gigabitethernet 0/7 Switch(config-if)#l2protocol-tunnel {cdp | vtp | stp}L'interface passe dans l'état errdisabled. Si une PDU encapsulée (avec l'adresse MAC de destination propriétaire) est reçue en provenance d'un port de tunnel ou d'un port d'accès avec la transmission tunnel de couche 2 activée, le port de tunnel est arrêté pour empêcher les boucles. Le port s'arrête également quand un seuil d'arrêt configuré pour le protocole est atteint. Vous pouvez réactiver manuellement le port (émettre une séquence de commandes shutdown, no shutdown) ou si la récupération errdisable est activée, l'opération est retentée après un intervalle de temps spécifié.
Pour récupérer l'interface à partir de l'état errdisable, réactivez le port avec la commande errdisable recovery cause l2ptguard. Cette commande est utilisée pour configurer le mécanisme de récupération sur une erreur de débit maximal de couche 2 de sorte que l'interface puisse être sortie de l'état disabled et autorisée à faire une nouvelle tentative. Vous pouvez également définir un délai. Errdisable recovery est désactivée par défaut ; lorsqu'elle est activée, l'intervalle de temps par défaut est de 300 secondes.
-
Câble SFP incorrect
Les ports passent en état errdisable avec le message d'erreur « %PHY-4-SFP_NOT_SUPPORTED » lorsque vous connectez des commutateurs Catalyst 3560 et Catalyst 3750 et utilisez un câble d'interconnexion SFP.
Le câble d'interconnexion SFP Cisco Catalyst 3560 (CAB-SFP-50CM=) fournit une connexion Gigabit Ethernet point à point à faible coût entre des commutateurs de la gamme Catalyst 3560. Le câble de 50 cm (50 cm) est une alternative aux émetteurs-récepteurs SFP pour interconnecter les commutateurs de la gamme Catalyst 3560 via leurs ports SFP sur une courte distance. Tous les commutateurs de la gamme Cisco Catalyst 3560 prennent en charge le câble d'interconnexion SFP.
Quand un commutateur Catalyst 3560 est connecté à un commutateur Catalyst 3750 ou à tout autre type de modèle de commutateur Catalyst, vous ne pouvez pas utiliser le câble CAB-SFP-50CM=. Vous pouvez connecter les deux commutateurs à l'aide d'un câble en cuivre avec SFP (GLC-T) sur les deux périphériques au lieu d'un câble CAB-SFP-50CM=.
-
Violation de la sécurité 802.1X
DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in err-disable state
Ce message indique que le port sur l'interface spécifiée est configuré en mode hôte simple. Tout nouvel hôte qui est détecté sur l'interface est traité comme une violation de la sécurité. Le port a été désactivé pour erreur.
-
Assurez-vous qu'un seul hôte est connecté au port. Si vous devez vous connecter à un téléphone IP et à un hôte derrière lui, configurez le mode Multidomain Authentication sur ce port de commutateur.
-
Le mode Multidomain Authentication (MDA) permet à un téléphone IP et à un hôte unique derrière le téléphone IP d'être authentifié indépendamment, avec 802.1X, le bypass d'authentification MAC (MAB) ou (pour l'hôte seulement) l'authentification basée sur le Web. Dans cette application, Multidomain se réfère à deux domaines - des données et Voix - et on permet seulement deux adresses MAC par port. Le commutateur peut placer l'hôte dans le VLAN données et le téléphone IP dans le VLAN voix, bien qu'ils semblent être sur le même port de commutateur. L'affectation du VLAN données peut être obtenue à partir des attributs spécifiques au constructeur (VSA) reçus du serveur AAA dans l'authentification.
-
Pour plus d'informations, référez-vous au document Authentification multidomaine IEEE 802.1X.
- Réactiver les ports errdisabled
Une fois le problème racine corrigé, les ports sont encore désactivés si vous n'avez pas configuré errdisable recovery sur le commutateur. Dans ce cas, vous devez réactiver les ports manuellement. Émettez la commande shutdown puis la commande de mode interface no shutdown sur l'interface associée afin de réactiver manuellement les ports.
La commande errdisable recovery vous permet de choisir le type d'erreurs qui réactivent automatiquement les ports après un délai spécifié. La commande show errdisable recovery montre l'état errdisable recovery par défaut pour toutes les conditions possibles.
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Disabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
cat6k# Remarque : l'intervalle de temporisation par défaut est de 300 secondes et, par défaut, la fonctionnalité de temporisation est désactivée.
Pour activer errdisable recovery et choisir les conditions errdisable, émettez la commande suivante :
cat6k#configure terminal
cat6k(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
arp-inspection Enable timer to recover from arp inspection error
disable state
bpduguard Enable timer to recover from BPDU Guard error disable
state
channel-misconfig Enable timer to recover from channel misconfig disable
state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
disable state
dtp-flap Enable timer to recover from dtp-flap error disable
state
gbic-invalid Enable timer to recover from invalid GBIC error disable
state
l2ptguard Enable timer to recover from l2protocol-tunnel error
disable state
link-flap Enable timer to recover from link-flap error disable
state
link-monitor-failure Enable timer to recover from link monitoring failure
loopback Enable timer to recover from loopback disable state
mac-limit Enable timer to recover from mac limit disable state
oam-remote-failure Enable timer to recover from remote failure detected by
OAM
pagp-flap Enable timer to recover from pagp-flap error disable
state
psecure-violation Enable timer to recover from psecure violation disable
state
security-violation Enable timer to recover from 802.1x violation disable
state
storm-control Enable timer to recover from storm-control error
disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable
state
vmps Enable timer to recover from vmps shutdown error
disable state
Cet exemple montre comment activer la condition errdisable recovery de la protection des BPDU :
cat6k(config)#errdisable recovery cause bpduguard
cat6k(config)#end - Une fonctionnalité intéressante de cette commande est que, si vous activez la récupération errdisable, la commande répertorie les raisons générales pour lesquelles les ports ont été placés dans l'état error disable. Dans cet exemple, notez que la fonctionnalité de protection des BPDU était la raison de l'arrêt du port 2/4 :
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Enabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- --------------------- --------------
Fa2/4 bpduguard 290- Si l'une des conditions d'errdisable recovery est activée, les ports avec cette condition sont réactivés après 300 secondes. Vous pouvez également modifier cette valeur par défaut de 300 secondes si vous émettez cette commande errdisable recovery interval <timer_interval_in_seconds> sous la configuration globale.
- Cet exemple modifie le délai d'errdisable recovery de 300 à 400 secondes :
cat6k#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
cat6k(config)#errdisable recovery interval 400
cat6k(config)#end
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Disabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 400 seconds
Interfaces that will be enabled at the next timeout:
cat6k#Vérifier
-
show version - Affiche la version du logiciel qui est utilisé sur le commutateur.
-
affichez l'état des interfacesinterface interface_number - Affiche l'état actuel du port de commutateur.
-
show errdisable detect - Affiche les configurations actuelles de la caractéristique errdisable de délai d'attente et si les ports sont actuellement désactivés à cause d'erreurs, la raison pour laquelle ils sont désactivés à cause d'une erreur.
Dépannage
-
show interfaces status err-disabled - Affiche quels ports locaux sont impliqués dans l'état de désactivation causée par une erreur errdisabled.
-
show etherchannel summary - Affiche l'état actuel de l'EtherChannel.
-
show errdisable recovery - Affiche le délai prévu après lequel les interfaces sont activées pour des conditions de désactivation causée par une erreur errdisable.
-
show errdisable detect - Affiche la raison pour l'état de désactivation causée par une erreur errdisable.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
4.0 |
19-Aug-2024 |
Mise à jour du contenu technique et du formatage. |
3.0 |
17-Jul-2023 |
Mise à jour Introduction, SEO, traduction automatique, exigences de style et formatage. |
2.0 |
16-Jun-2022 |
Ajout de modèles de commutateurs Catalyst.
Commutateurs et références CatOS supprimés (obsolètes).
Messages d'erreur reformatés. |
1.0 |
24-Apr-2006 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)