Errdisable-poortstatus herstellen op Cisco IOS-platformen
Inhoud
Inleiding
In dit document wordt de status errdisabled besproken, hoe hieruit te komen en biedt voorbeelden van errdisable-herstel.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De uitgangen in dit document zijn afkomstig van Cisco Catalyst 4500/6500 Series Switches. De switches hadden Cisco IOS®-software en hadden Ethernet-poorten die geschikt zijn voor EtherChannel en PortFast.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit document gebruikt de termen errdisable en error disable (vanwege fout uitgeschakeld) door elkaar. Het is gebruikelijk om technische ondersteuning te zoeken (Cisco Technical Support) wanneer u opmerkt dat een of meer switch poorten foutloos zijn geworden, wat betekent dat de poorten een status van foutloos hebben. Het doel van dit document is om te helpen begrijpen waarom de fout is uitgeschakeld en hoe u de poorten weer normaal kunt gebruiken.
Opmerking: de poortstatus van de fout is uitgeschakeld en wordt weergegeven in de uitvoer van de opdracht interface_number status van de show interfaces.
De erreless eigenschap wordt ondersteund op Catalyst switches die Cisco IOS en Cisco IOS XE gebruiken.
De opdrachten die worden gebruikt voor het implementeren en verifiëren van de foutmelding kunnen per softwareplatform verschillen. Dit document is specifiek gericht op errdisable voor switches waarop Cisco IOS-software wordt uitgevoerd.
Errdisable
Functie van Errdisable
Als de configuratie aangeeft dat een poort moet worden ingeschakeld, maar software op de switch een foutsituatie op de poort detecteert, schakelt de software die poort uit. Met andere woorden: de poort wordt automatisch uitgeschakeld door de besturingssysteemsoftware van de switch vanwege een foutconditie die wordt gedetecteerd op de poort.
Wanneer een poort vanwege een fout wordt uitgeschakeld, wordt deze ook echt uitgeschakeld en wordt er geen verkeer verzonden naar of ontvangen op die poort. De poort-led krijgt de kleur oranje en wanneer u de opdracht show interfaces gebruikt, toont de poortstatus err-disabled. In dit voorbeeld ziet u hoe een vanwege een fout uitgeschakelde poort eruitziet op de opdrachtregelinterface (CLI) van de switch:
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Of, als de interface is uitgeschakeld vanwege een foutconditie, ziet u berichten die vergelijkbaar zijn met deze in zowel de console als de syslog:
%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state
Dit voorbeeldbericht toont wanneer een hostpoort de bridge protocol data unit (BPDU) ontvangt. De daadwerkelijke bericht is afhankelijk van de reden voor de foutconditie.
De functie voor uitschakelen vanwege fout heeft twee doelen:
-
Deze laat de beheerder weten wanneer en waar er een poortprobleem is.
-
De mogelijkheid dat deze poort ervoor kan zorgen dat andere poorten op de module (of de hele module) een storing krijgt, wordt weggenomen.
Een dergelijke storing kan optreden wanneer een slechte poort buffers monopoliseert of poortfoutmeldingen de interne procescommunicaties op de kaart monopoliseren, wat uiteindelijk ernstige netwerkproblemen kan veroorzaken. De functie voor uitschakelen vanwege fout helpt deze situaties te voorkomen.
Oorzaken van Errdisable
De functie werd in eerste instantie geïmplementeerd om speciale botsingsituaties af te handelen waarin de switch overmatige of late botsingen op een poort detecteerde. Overmatige botsingen treden op wanneer een frame wordt verwijderd omdat de switch 16 botsingen op rij tegenkomt. Late botsingen kunnen optreden omdat elk apparaat op de kabel niet herkende dat de kabel in gebruik was. Mogelijke oorzaken van deze typen fouten zijn onder andere:
-
Een kabel die buiten specificatie valt (te lang, het verkeerde type of defect)
-
Een slechte netwerkinterfacekaart (NIC) (met fysieke problemen of stuurprogrammaproblemen)
-
Een poortduplex-misconfiguratie
Een poortduplex-misconfiguratie is een veelvoorkomende oorzaak van de fouten vanwege het niet kunnen onderhandelen van de snelheid en niet goed een duplex kunnen uitvoeren tussen twee direct verbonden apparaten (bijvoorbeeld een NIC die verbinding maakt met een switch). Alleen half-duplex verbindingen kunnen botsingen in een LAN hebben. Vanwege de CSMA-aard (carrier sense multiple access) van Ethernet zijn botsingen normaal voor half-duplex, zolang als de botsingen een klein percentage verkeer niet overschrijden.
Er zijn verschillende redenen waarom de interface naar errdisable schakelt. De reden kan zijn:
-
Duplex-mismatch
-
Misconfiguratie van poortkanaal
-
Overtreding van BDPU Guard
-
Voorwaarde UniDirectional Link Detection (UDLD)
-
Detectie van late botsing
-
Detectie van link-flap
-
Beveiligingsovertreding
-
Port Aggregation Protocol (PAgP) flap
-
Layer 2 Tunneling Protocol (L2TP) guard
-
Snelheidslimiet voor DHCP-snooping
-
Onjuiste module of kabel voor GBIC / Small Form-Factor Pluggable (SFP)
-
Inspectie van Address Resolution Protocol (ARP)
-
Inline voeding
Bepalen of poorten zich in de status Errdisabled bevinden
U kunt bepalen of uw poort vanwege fouten is uitgeschakeld als u de opdracht show interfaces gebruikt.
Hier is een voorbeeld van een actieve poort:
cat6k#show interfaces gigabitethernet 4/1 status !--- Refer to show interfaces status for more information on the command. Port Name Status Vlan Duplex Speed Type Gi4/1 connected 100 full 1000 1000BaseSX
Hier is een voorbeeld van dezelfde poort in de status vanwege fout uitgeschakeld:
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
De reden voor de status Errdisabled vaststellen (consoleberichten, Syslog en de opdracht Errdisable-herstel weergeven)
Wanneer de switch een poort in de status vanwege fout uitgeschakeld zet, stuurt de switch een bericht naar de console die beschrijft waarom de poort is uitgeschakeld. Het voorbeeld in dit gedeelte biedt twee voorbeeldberichten die de reden voor poortuitschakeling tonen.
-
De ene uitschakeling wordt uitgevoerd vanwege de functie PortFast BPDU Guard.
-
De andere uitschakeling wordt uitgevoerd vanwege een EtherChannel-configuratieprobleem.
Hier zijn de voorbeeldberichten:
%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port. %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state %SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1
Als u errdisable-herstel hebt ingeschakeld, kunt u de reden bepalen voor de errdisable-status als u de opdracht show errdisable recovery gebruikt. Hierna volgt een voorbeeld:
cat6k#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Enabled bpduguard Enabled security-violatio Enabled channel-misconfig Enabled pagp-flap Enabled dtp-flap Enabled link-flap Enabled l2ptguard Enabled psecure-violation Enabled gbic-invalid Enabled dhcp-rate-limit Enabled mac-limit Enabled unicast-flood Enabled arp-inspection Enabled Timer interval: 300 seconds Interfaces that can be enabled at the next timeout: Interface Errdisable reason Time left(sec) --------- --------------------- -------------- Fa2/4 bpduguard 273
Een poort uit de status Errdisabled halen
Deze sectie geeft voorbeelden van hoe u een fout uitgeschakelde poort kunt tegenkomen en hoe u deze kunt herstellen, evenals een korte bespreking van een paar extra redenen dat een poort kan worden uitgeschakeled door fout. Als u een poort uit de errdisable-status wilt halen, identificeert en corrigeert u het hoofdprobleem en schakelt u de poort opnieuw in. Als u de poort opnieuw inschakelt voordat u het hoofdprobleem oplost, wordt de poort weer vanwege een fout uitgeschakeld.
Het hoofdprobleem oplossen
Nadat u ontdekt waarom de poorten zijn uitgeschakeld, lost u het hoofdprobleem op. De oplossing is afhankelijk van wat het probleem heeft geactiveerd. Er zijn verschillende dingen die de uitschakeling kunnen activeren. In dit gedeelte worden enkele van de meest zichtbare en voorkomende oorzaken besproken:
-
EtherChannel-misconfiguratie
Voor het functioneren van EtherChannel moeten de daarbij betrokken poorten consistente configuraties hebben. De poorten moeten dezelfde VLAN hebben, dezelfde trunkmodus, dezelfde snelheid, dezelfde duplex, enz. De meeste configuratieverschillen binnen een switch worden opgemerkt en gemeld wanneer u het kanaal maakt. Als de ene switch is geconfigureerd voor EtherChannel en de andere switch niet is geconfigureerd voor EtherChannel, kan het spanning tree-proces de poortkanalen aan de zijde die is geconfigureerd voor EtherChannel uitschakelen. De aan-modus van EtherChannel stuurt geen PAgP-pakketten om te onderhandelen met de andere zijde voorafgaand aan channeling; er wordt aangenomen dat de andere zijde ook bezig is met channeling. Bovendien schakelt dit voorbeeld EtherChannel niet in voor de andere switch, maar laat deze poorten staan als individuele poorten zonder kanaal. Als u de andere switch gedurende ongeveer een minuut in deze status laat staan, denkt het Spanning Tree Protocol (STP) op de switch waarop de EtherChannel is ingeschakeld dat er een lus is. Hiermee komen de kanaalpoorten in de errdisabled-status.
In dit voorbeeld werd een lus gedetecteerd en werden de poorten uitgeschakeld. De uitvoer van de opdracht show etherchannel summary toont dat het Aantal kanaalgroepen in gebruik 0 is. Wanneer u naar een van de betrokken poorten kijkt, ziet u dat de status err-disabled is:
%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration of Gi4/1 cat6k#show etherchannel summary Flags: D - down P - in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator u - unsuitable for bundling Number of channel-groups in use: 0 Number of aggregators: 0 Group Port-channel Protocol Ports ------+-------------+-----------+-----------------------------------------------Het EtherChannel is uitgeschakeld omdat de poorten op deze switch in errdisable zijn gezet.
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
Kijk naar de foutmelding om te bepalen wat het probleem was. Het bericht heeft aan dat het EtherChannel een spanning tree-lus is tegengekomen. Zoals in dit gedeelte wordt uitgelegd, kan dit probleem optreden wanneer het ene apparaat (de switch in dit geval) EtherChannel handmatig heeft ingeschakeld met het gebruik van de aan-modus (anders dan gewenst) en het andere verbonden apparaat (de andere switch in dit geval) EtherChannel helemaal niet heeft ingeschakeld. Een manier om de situatie op te lossen is om de kanaalmodus in te stellen naar gewenst op beide zijden van de verbinding, en vervolgens de poorten opnieuw in te schakelen. Vervolgens vormt elke zijde een kanaal, maar alleen als beide zijden akkoord gaan met channeling. Als ze niet akkoord gaan met channeling, blijven beide zijden functioneren als normale poorten.
cat6k(config)#interface gigabitethernet 4/1 cat6k(config-if)#channel-group 3 mode desirable non-silent
- Duplex-mismatch
Duplex-mismatches komen veel voor omdat snelheid en duplex niet juist automatisch kan worden onderhandeld. In tegenstelling tot een half-duplex-apparaat, wat moet wachten totdat er geen andere apparaten meer zijn die overdrachten uitvoeren op hetzelfde LAN-segment, voert een volledig duplex-apparaat overdrachten uit wanneer het apparaat iets moet verzenden, zonder rekening te hoeven houden met andere apparaten. Als deze overdracht plaatsvindt wanneer het half-duplex-apparaat ook bezig is met een overdracht, beschouwt het half-duplex-apparaat dit ofwel als een botsing (tijdens de slot-tijd) of een late botsing (na de slot-tijd). Omdat de volledige duplex-zijde nooit botsingen verwacht, realiseert deze zijde zich nooit dat deze het verwijderde pakket opnieuw moet overdragen. Een laag percentage aan botsingen is normaal met half-duplex, maar is niet normaal met volledig duplex. Een switchpoort die veel late botsingen ontvangt, geeft normaal gesproken aan dat er een probleem met duplex-mismatch is. Zorg ervoor dat de poorten aan beide zijden van de kabel zijn ingesteld op dezelfde snelheid en duplex. De opdracht show interfaces interface_number toont de snelheid en duplex voor Catalyst-switchpoorten. Latere versies van Cisco Discovery Protocol (CDP) kunnen u waarschuwen voor een duplex-mismatch voordat de poort in de status error-disabled wordt gezet.
Bovendien zijn er instellingen op een NIC, zoals functies voor automatische polariteitsbepaling, die het probleem kunnen veroorzaken. Schakel deze instellingen uit als u twijfelt. Als u meerdere NIC's hebt van een leverancier en alle NIC's lijken hetzelfde probleem te hebben, bekijkt u op de website van de fabrikant de releaseopmerkingen om te controleren of u de nieuwste stuurprogramma's hebt.
Andere oorzaken van late botsingen zijn onder andere:
- Een slechte NIC (met fysieke problemen, niet alleen configuratieproblemen)
- Een slechte kabel
- Een kabelsegment dat te lang is
- BPDU-poortguard
Een poort die PortFast gebruikt, mag alleen verbinding maken met een eindstation (zoals een werkstation of server) en niet met apparaten die spanning tree-BPDU's genereren, zoals switches of bridges en routers die bridging uitvoeren. Als de switch een spanning tree-BPDU ontvangt op een poort waarop spanning tree PortFast en spanning tree BPDU-guard is ingeschakeld, zet de switch de poort in de errdisabled-modus als bescherming tegen mogelijke lussen. PortFast neemt aan dat een poort op een switch geen fysieke lus kan genereren. Daarom slaat PortFast de initiële spanning tree-controles voor die poort over, waarmee de time-out van eindstations bij opstarten wordt vermeden. De netwerkbeheerder moet PortFast zorgvuldig implementeren. Op poorten waarvoor PortFast is ingeschakeld, helpt BPDU-guard ervoor te zorgen dat de LAN lusvrij blijft.
Dit voorbeeld toont hoe u deze functie kunt inschakelen. Dit voorbeeld is gekozen omdat het maken van een fout-uitgeschakelde situatie in dit geval eenvoudig is:
cat6k(config-if)#spanning-tree bpduguard enable !--- Refer to spanning-tree bpduguard for more information on the command.
In dit voorbeeld is een Catalyst 6509-switch verbonden met een andere switch (een 6509). De 6500 stuurt elke 2 seconden BPDU's (met gebruik van de standaardinstellingen voor spanning tree). Wanneer u PortFast inschakelt op de 6509-switchpoort, let de functie BPDU-guard op BPDU's die binnenkomen op deze poort. Wanneer een BPDU binnenkomt op de poort, wat betekent dat een apparaat dat geen eindapparaat is wordt gedetecteerd op die poort, schakelt de functie BPDU-guard de poort uit vanwege een fout om de mogelijkheid van een spanning tree-lus te vermijden.
cat6k(config-if)#spanning-tree portfast enable !--- Refer to spanning-tree portfast (interface configuration mode) for more information on the command. Warning: Spantree port fast start can only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc. to a fast start port can cause temporary spanning tree loops. %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state.
In dit bericht geeft de switch aan dat deze een BPDU heeft ontvangen op een poort met PortFast ingeschakeld, en dus schakelt de switch poort Gi4/1 uit.
cat6k#show interfaces gigabitethernet 4/1 status Port Name Status Vlan Duplex Speed Type Gi4/1 err-disabled 100 full 1000 1000BaseSX
U moet de PortFast-functie uitschakelen omdat deze poort een poort met een onjuiste verbinding is. De verbinding is niet goed omdat PortFast is ingeschakeld, en de switch verbinding maakt met een andere switch. Denk eraan dat PortFast alleen moet worden gebruikt op poorten die verbinding maken met eindstations.
cat6k(config-if)#spanning-tree portfast disable
-
UDLD
Het UDLD-protocol zorgt ervoor dat apparaten die via glasvezel of koperen Ethernet-kabels zijn verbonden (bijvoorbeeld bekabeling van Categorie 5) de fysieke configuratie van de kabels bewaken en detecteren wanneer er sprake is van een unidirectionele link. Wanneer een unidirectionele link wordt gedetecteerd, schakelt UDLD de betreffende poort uit en waarschuwt de gebruiker. Unidirectionele links kunnen verschillende problemen veroorzaken, waaronder Spanning Tree-topologielussen.
Elke switchpoort die wordt geconfigureerd voor UDLD stuurt UDLD-protocolpakketten met het poortapparaat (of de poort-ID) en het naastgelegen apparaat (of poort-ID's) die worden gezien door UDLD op die poort. De naastgelegen poorten moeten hun eigen apparaat of poort-ID zien (echo) in de pakketten die van de andere kant worden ontvangen. Als de poort zijn eigen apparaat of poort-ID niet ziet in de binnenkomende UDLD-pakketten gedurende een specifieke tijdsduur, wordt de link beschouwd als unidirectioneel. Daarom wordt de respectievelijke poort uitgeschakeld en een bericht zoals dit wordt op de console afgedrukt:
PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in err-disable state.
Raadpleeg de Catalyst 6500 Configuration Guide van het document voor meer informatie over de bediening, configuratie en opdrachten van de UDLD.
-
Link-flap-fout
Link-flap betekent dat de interface voortdurend omhoog en omlaag gaat. De interface wordt in de errdisabled-status gezet als er meer dan vijf keer per 10 seconden flaps worden gedetecteerd. De meest voorkomende oorzaak van een link-flap is een probleem van Layer 1, zoals een slechte kabel, duplex-mismatch of slechte GBIC-kaart (Gigabit Interface Converter). Bekijk de consoleberichten of de berichten die zijn verzonden naar de syslog-server waarin de reden voor de poortuitschakeling vermeld staat.
%PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/1 in err-disable state
Gebruik deze opdracht om de flap-waarden te bekijken:
cat6k#show errdisable flap-values !--- Refer to show errdisable flap-values for more information on the command. ErrDisable Reason Flaps Time (sec) ----------------- ------ ---------- pagp-flap 3 30 dtp-flap 3 30 link-flap 5 10
-
Loopback-fout
Een loopback-fout treedt op wanneer het keepalive-pakket terug wordt gelust naar de poort die de keepalive heeft verzonden. De switch stuurt de keepalives standaard naar alle interfaces. Een apparaat kan de pakketten teruglussen naar de broninterface, wat normaal gesproken optreedt omdat er een logische lus in het netwerk is die niet is geblokkeerd door de spanning tree. De broninterface ontvangt het keepalive-pakket dat deze heeft verzonden, en de switch schakelt de interface uit (errdisable). Dit bericht verschijnt omdat het keepalive-pakket wordt teruggelust naar de poort die de keepalive heeft verzonden:
%PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in err-disable state
Keepalives worden standaard verzonden op alle interfaces in Cisco IOS Software Release 12.1EA-gebaseerde software. In Cisco IOS Software Release 12.2SE-gebaseerde software en later worden keepalives niet standaard verzonden op glasvezel- en uplink-interfaces.
De voorgestelde tijdelijke oplossing is om keepalives uit te schakelen en te upgraden naar Cisco IOS Software Release 12.2SE of nieuwer.
-
Poortbeveiligingsovertreding
U kunt poortbeveiliging gebruiken met dynamisch geleerde en statische MAC-adressen om het binnenkomende verkeer op een poort te beperken. Als u het verkeer wilt beperken, kunt u de MAC-adressen die verkeer naar de poort mogen verzenden, beperken. Voor het configureren van de switchpoort om vanwege een fout uit te schakelen als er een beveiligingsovertreding is, gebruikt u deze opdracht:
cat6k(config-if)#switchport port-security violation shutdown
Een beveiligingsovertreding treedt in een van deze twee situaties op:
-
Wanneer het maximale aantal beveiligde MAC-adressen wordt bereikt op een beveiligde poort en het bron-MAC-adres van het binnenkomende verkeer verschilt van alle geïdentificeerde beveiligde MAC-adressen.
In dit geval past poortbeveiliging de geconfigureerde overtredingsmodus toe.
-
Als verkeer met een beveiligd MAC-adres dat is geconfigureerd of geleerd op de ene beveiligde poort probeert toegang te krijgen tot een andere beveiligde poort in dezelfde VLAN.
In dit geval past poortbeveiliging de overtredingsmodus voor uitschakelen toe.
-
-
L2pt Guard
Wanneer Layer 2 PDU’s de switch of toegangspoort op de inkomende edge ingaan, overschrijft de switch het oorspronkelijke PDU-bestemmings-MAC-adres met een bekend Cisco-bedrijfseigen multicast-adres (10-00-0c-cd-cd-d0). Als 802.1Q-tunneling is ingeschakeld, worden pakketten ook dubbel getagd. De buitenste tag is de metrotag en de binnenste tag is de VLAN-tag. De kernswitch negeert de binnenste tags en stuurt het pakket door naar alle trunkpoorten in dezelfde metro-VLAN. De edge-switches aan de uitgaande zijde herstellen het juiste Layer 2-protocol en MAC-adresinformatie en sturen de pakketten door naar alle tunnel- of toegangspoorten in dezelfde metro-VLAN. Daarom wordt Layer 2 PDU’s intact gehouden en over de service-provider-infrastructuur aan de andere kant van het netwerk geleverd.
Switch(config)#interface gigabitethernet 0/7 Switch(config-if)#l2protocol-tunnel {cdp | vtp | stp}De interface schakelt naar de errdisabled-status. Als een ingesloten PDU (met het bedrijfseigen bestemmings-MAC-adres) wordt ontvangen van een tunnelpoort of toegangspoort met Layer 2-tunneling ingeschakeld, wordt de tunnelpoort uitgeschakeld om lussen te voorkomen. De poort wordt ook uitgeschakeld wanneer een geconfigureerde uitschakeldrempel voor het protocol wordt bereikt. U kunt de poort handmatig opnieuw inschakelen (gebruik een opdrachtreeks shutdown, no shutdown) of als errdisable-herstel is ingeschakeld, wordt de bewerking na een opgegeven tijdsinterval opnieuw geprobeerd.
Als u de interface wilt herstellen vanuit de errdisable-status, schakelt u de poort opnieuw in met de opdracht errdisable recovery cause l2ptguard. Deze opdracht wordt gebruikt om het herstelmechanisme te confgureren van een Layer 2-fout voor maximale snelheid zodat de interface uit de uitgeschakelde status kan worden gehaald en weer opnieuw kan proberen. U kunt ook het tijdsinterval instellen. Errdisable-herstel is standaard uitgeschakeld; wanneer ingeschakeld is de standaard tijdsinterval 300 seconden.
-
Onjuiste SFP-kabel
Poorten gaan naar erreless status met de foutmelding "%PHY-4-SFP_NOT_SUPPORT" als u Catalyst 3560 en Catalyst 3750 Switches aansluit en een SFP Interconnect-kabel gebruikt.
De Cisco Catalyst 3560 SFP Interconnect-kabel (CAB-SFP-50CM=) zorgt voor een goedkope, point-to-point, Gigabit Ethernet-verbinding tussen switches van de Catalyst 3560-serie. De kabel van 50 centimeter (cm) is een alternatief voor de SFP-transceivers om switches van de Catalyst 3560-series onderling aan te sluiten via hun SFP-poorten over een korte afstand. Alle switches van de Cisco Catalyst 3560-serie ondersteunen de SFP Interconnect-kabel.
Wanneer een Catalyst 3560-switch wordt aangesloten op een Catalyst 3750 of enig ander type Catalyst-switchmodel, kunt u de kabel CAB-SFP-50CM= niet gebruiken. U kunt beide switches aansluiten met een koperen kabel met SFP (GLC-T) op beide apparaten in plaats van een kabel CAB-SFP-50CM=.
-
802.1X-beveiligingsovertreding
DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in err-disable state
Dit bericht geeft aan dat de poort op de opgegeven interface is geconfigureerd in de modus met enkele host. Elke nieuwe host die wordt gedetecteerd op de interface wordt behandeld als een beveiligingsovertreding. De poort is vanwege een fout uitgeschakeld.
-
Zorg ervoor dat er slechts één host is verbonden met de poort. Als u een IP-telefoon moet en een host daarachter moet aansluiten, configureert u Multidomain Authentication Mode op die switchpoort.
-
Met de modus Multidomain authentication (MDA) kunnen een IP-telefoon en een enkele host achter de IP-telefoon onafhankelijk authenticeren, met 802.1X, MAC Authentication Bypass (MAB), of (alleen voor de host) webgebaseerde authenticatie. In deze toepassing verwijst Multidomain naar twee domeinen (data en spraak) en zijn er slechts twee MAC-adressen toegestaan per poort. De switch kan de host in de data-VLAN plaatsen en de IP-telefoon in de spraak-VLAN, hoewel ze op dezelfde switchpoort lijken te staan. De data-VLAN-toewijzing kan worden verkregen van de leveranciersspecifieke attributen (VSA's) die worden ontvangen van de AAA-server binnen authenticatie.
-
Raadpleeg voor meer informatie het document IEEE 802.1X Multidomain Verification.
- De errdisabled-poorten opnieuw inschakelen
Nadat u het hoofdprobleem hebt opgelost, zijn de poorten nog steeds uitgeschakeld als u errdisable-herstel niet hebt geconfigureerd op de switch. In dit geval moet u de poorten handmatig opnieuw inschakelen. Gebruik de opdracht shutdown en vervolgens de interfacemodusopdracht no shutdown op de bijbehorende interface om de poorten handmatig opnieuw in te schakelen.
Met de opdracht errdisable recovery kunt u het type fouten kiezen waarmee de poorten automatisch opnieuw worden ingeschakeld na een opgegeven tijdsduur. De opdracht show errdisable recovery toont de standaard error-disable-herstelstatus voor alle mogelijke voorwaarden.
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Disabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
cat6k# Opmerking: de standaard time-outinterval is 300 seconden en de time-outfunctie is standaard uitgeschakeld.
Als u errdisable recovery wilt inschakelen en de errdisable-voorwaarden wilt kiezen, gebruikt u deze opdracht:
cat6k#configure terminal
cat6k(config)#errdisable recovery cause ?
all Enable timer to recover from all causes
arp-inspection Enable timer to recover from arp inspection error
disable state
bpduguard Enable timer to recover from BPDU Guard error disable
state
channel-misconfig Enable timer to recover from channel misconfig disable
state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
disable state
dtp-flap Enable timer to recover from dtp-flap error disable
state
gbic-invalid Enable timer to recover from invalid GBIC error disable
state
l2ptguard Enable timer to recover from l2protocol-tunnel error
disable state
link-flap Enable timer to recover from link-flap error disable
state
link-monitor-failure Enable timer to recover from link monitoring failure
loopback Enable timer to recover from loopback disable state
mac-limit Enable timer to recover from mac limit disable state
oam-remote-failure Enable timer to recover from remote failure detected by
OAM
pagp-flap Enable timer to recover from pagp-flap error disable
state
psecure-violation Enable timer to recover from psecure violation disable
state
security-violation Enable timer to recover from 802.1x violation disable
state
storm-control Enable timer to recover from storm-control error
disable state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable
state
vmps Enable timer to recover from vmps shutdown error
disable state
Dit voorbeeld laat zien hoe de errdisable-herstelvoorwaarde voor BPDU Guard kan worden ingeschakeld:
cat6k(config)#errdisable recovery cause bpduguard
cat6k(config)#end - Een mooie eigenschap van deze opdracht is dat, als u erreless herstel inschakelt, de opdracht een lijst van algemene redenen dat de poorten in de fout zijn gezet uitschakelen staat. In dit voorbeeld ziet u dat de BPDU Guard-functie de reden was voor het uitschakelen van poort 2/4:
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Enabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- --------------------- --------------
Fa2/4 bpduguard 290- Als een van de errdisable-herstelvoorwaarden is ingeschakeld, worden de poorten met deze voorwaarde na 300 seconden opnieuw ingeschakeld. U kunt dit gebrek van 300 seconden ook veranderen als u dit bevel erreless terugwinningsinterval <timer_interval_in_seconden> onder globale configuratie uitgeeft.
- Dit voorbeeld wijzigt de errdisable-herstelinterval van 300 in 400 seconden:
cat6k#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
cat6k(config)#errdisable recovery interval 400
cat6k(config)#end
cat6k#show errdisable recovery
Recovery Status Timer Status
--------------- ------------
udld Disabled
bpduguard Disabled
security-violation Disabled
channel-misconfig Disabled
vmps Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
storm-control Disabled
arp-inspection Disabled
loopback Disabled
link-monitor-failure Disabled
oam-remote-failure critical-event Disabled
oam-remote-failure dying-gasp Disabled
oam-remote-failure link-fault Disabled
dot1ad-incomp-etype Not supported
dot1ad-incomp-tunnel Not supported
mvrp Not supported
transceiver-incomp Not supported
VSL transceiver-incomp Not supported
packet-buffer Not supported
FEX Licensing module removed Not supported
inline-power Not supported
Timer interval: 400 seconds
Interfaces that will be enabled at the next timeout:
cat6k#Verifiëren
-
show version: toont de versie van de software die wordt gebruikt op de switch.
-
show interfaces interface interface_number status: toont de huidige status van de switchpoort.
-
show errdisable detect: toont de huidige instellingen van de errdisable time-outfunctie en, als een van de poorten momenteel vanwege een fout is uitgeschakeld, de reden van de uitschakeling vanwege fout.
Problemen oplossen
-
show interfaces status err-disabled: toont welke lokale poorten zijn betrokken bij de errdisabled-status.
-
show etherchannel summary: toont de huidige status van de EtherChannel.
-
show errdisable recovery: toont de tijdsperiode waarna de interfaces worden ingeschakeld voor errdisable-voorwaarden.
-
show errdisable detect: toont de reden voor de errdisable-status.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
4.0 |
19-Aug-2024 |
Bijgewerkte technische inhoud en opmaak. |
3.0 |
17-Jul-2023 |
Bijgewerkte Inleiding, SEO, machinevertaling, Stijlvereisten en Opmaak. |
2.0 |
16-Jun-2022 |
Toegevoegd Catalyst switch modellen.
Verwijderde CatOS switches en referenties (verouderd).
Hervormde foutmeldingen. |
1.0 |
24-Apr-2006 |
Eerste vrijgave |
Feedback