交换机err-disabled状态解决方案

练习结果 : RCNP3.0 模拟考试不保证题库是新的哦，只是指导思路你完成本练习的总分：0/100习题 1用户发现无法远程telnet 到路由器上，通过连接console口执行show run输出了以下内容，那么无法telnet的原因是（）enable password ruijieline vty 0 4loginexitno service password-encryption你的选择期望的选项答案简介没配置特权密码配置了no service password-encryption没有配置登录密码没有配置登录账户名单选题（一个答案）分数 : 0/2习题 2当交换机端口因违反端口安全规定而进入“err-disabled”状态后，使用什么命令将其恢复？.你期答案简介的选择望的选项errdisable recoveryno shutdownrecovery errdisablerecovery单选题（一个答案）分数 : 0/2习题 3在配置静态路由时，会根据网络的特殊需求配置递归路由。

下列选项中对递归静态路由陈述正确的是?你的选择期望的选项答案简介静态路由在配置时只指定了下一跳IP，没有指定输出接口，输出接口要根据另一条路由计算得到静态路由在配置时只指定了输出接口，没有指定下一跳路由器，假设其目的是在该接口直连的链路上的，因此匹配该路由的报文将直接把报文的目的地址作为下一跳地址静态路由在配置时只指定了输出接口，没有指定下一跳，下一跳要根据输出接口来得到静态的路由在配置时即指定了直连下一跳又指定了输出接口单选题（一个答案）分数 : 0/2习题 4RLDP环路检测（）违例方式和STP协议存在冲突，建议采用（）违例方式。

你期答案简介的选择望的选项block/shutdown-portshutdown-svi/shutdown-portblock/shutdown-sviblock/shutdown-svi单选题（一个答案）分数 : 0/2习题 5下列关于S5750E VSU 说法正确的是（）你的选择期望的选项答案简介A．仅支持最多2台设备组建VSUB．不支持与其他系列交换机组建VSUC．支持千兆端口作为VSLD．成员设备最大数量为12多选题（多个答案）分数 : 0/2习题 6一个管理员想让自己的笔记本电脑无论连接到交换机S2628G的哪一个VLAN中，都能直接管理这台交换机。

交换机err-disabled状态解决方案一.err-disabled状态的作用:通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色,本人色盲,官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err-disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet2/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi2/1, putting Gi2/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.二.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).10.DHCP侦听限速.三.检验端口是否处于err-disabled状态:可以使用show interfaces命令查看端口状态,如:NUAIKO#show interfaces gigabitethernet 2/1 statusPort Name Status Vlan Duplex Speed TypeGi2/1 err-disabled 100 full 100 0 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet2/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi2/1, putting Gi2/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1如果启用了errdisable recovery功能,可以使用show errdisable recovery 命令查看处于err-disabled状态的原因,如:NUAIKO#show errdisable recoveryErrDisable Reason Timer Status−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−udld Enabledbpduguard Enabledsecurity-violation Enabledchannel-misconfig Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledpsecure-violation Enabledgbic-invalid Enableddhcp-rate-limit Enabledmac-limit Enabledunicast-flood Enabledarp-inspection EnabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec) −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−Fa2/4 bpduguard 273四.恢复err-disabled状态:当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.找出问题的根源,以比较常见的做为例子:1.以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi2/1如下,查看EC信息显示使用的信道组数量为0:NUAIKO#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:NUAIKO#show interfaces gigabitethernet 2/1 statusPort Name Status Vlan Duplex Speed TypeGi2/1 err-disabled 100 full 100 0 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 2/1channel-group 1 mode desirable non-silent!2.双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外,网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3.BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路.假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:!interface gigabitethernet 2/1spanning-tree bpduguard enablespanning-tree portfast enable!此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi2/1, putting Gi2/1 inerr-disable state.验证:NUAIKO#show interfaces gigabitethernet 2/1 statusPort Name Status Vlan Duplex Speed TypeGi2/1 err-disabled 100 full 100 0 1000BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4.UDLD:UDLD协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi2/1, putting Gi2/1 in err-disable state.5.链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi2/1, putting Gi2/1 in err-disable state可以使用如下命令查看不同的振荡的值:NUAIKO#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−pagp-flap 3 30dtp-flap 3 30link-flap 5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6.回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err-disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi2/1, putting Gi2/1 in err-disable state从CISCO IOS 12.2SE之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到12.2SE或后续版本.更多信息可以参见CISCO BUG ID CSCea46385(需要一定权限的CCO).7.违反端口安全(Port Security)策略:端口安全特性提供了根据MAC地址,动态的对交换机端口进行保护的特性.违反该策略将导致端口进入err-disabled状态.端口安全的原理和配置这里就不再赘述,有兴趣的可以去CISCO的Documentation CD里查阅(当然如果你比我还懒的话,可以加我Q:13030130,我讲给你听).五.重新启用进入err-disabled状态的端口:再找到引起err-disabled状态的根源后,如果没有配置errdisable recovery,此时端口仍然处于禁用状态.这种情况下,就必须手动的重新启动这些端口(在接口下先shutdown再no shutdown).errdisable recovery允许你根据错误类型,在一定时间后(默认值是300秒)自动的重新启用该端口.使用show errdisable recovery命令查看该特性的默认设置:NUAIKO#show errdisable recoveryErrDisable Reason Timer Status−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−udld Disabledbpduguard Disabledsecurity-violation Disabledchannel-misconfig Disabledpagp-flap Disableddtp-flap Disabledlink-flap Disabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledmac-limit Disabledunicast-flood Disabledarp-inspection DisabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec) −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−Fa2/4 bpduguard 273默认情况下超时特性是禁用的.如下是启用errdisable recovery并选择相应的条件:NUAIKO#errdisable recovery cause ?其中?对应show errdisable recovery的输出内容中"ErrDisable Reason"一项.如下:NUAIKO#show errdisable recoveryErrDisable Reason Timer Status−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−udld Disabledbpduguard Enabledsecurity-violation Disabledchannel-misconfig Disabledpagp-flap Disableddtp-flap Disabledlink-flap Disabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledmac-limit Disabledunicast-flood Disabledarp-inspection DisabledTimer interval: 300 secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec) −−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−Fa2/4 bpduguard 273注意上面的输出内容,可以看出BPDU Guard是引起Fa2/4进入err-disabled状态的原因.当任意errdisable条件被启用,默认300秒后将重新启用该端口.该时间可以通过errdisable recovery interval {sec}进行修改.。

公司一个楼层交换机cisco2960的F0/21端口自己down了，一片怨声载道，人生鼎沸，妈了个B的。

通过命令：sh int f0/21 看到如下结果：cisco12#sh int f0/21FastEthernet0/21 is down, line protocol is down (err-disabled)Hardware is Fast Ethernet, address is 0024.1351.2e95 (bia 0024.1351.2e95)MTU 1500 bytes, BW 100000 Kbit, DL Y 100 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Auto-duplex, Auto-speed, media type is 10/100BaseTXinput flow-control is off, output flow-control is unsupportedARP type: ARPA, ARP Timeout 04:00:00Last input 19:29:25, output 19:29:20, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec130997686 packets input, 111565127662 bytes, 0 no bufferReceived 3733082 broadcasts (0 multicasts)0 runts, 0 giants, 0 throttles38 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored0 watchdog, 3191174 multicast, 0 pause input0 input packets with dribble condition detected121355446 packets output, 78684231708 bytes, 0 underruns0 output errors, 0 collisions, 1 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out通过红色部分了解端口处于故障状态，然后通过命令sh logging看看日志，结果如下：cisco12#sh loggingSyslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)Console logging: level debugging, 219 messages logged, xml disabled,filtering disabledMonitor logging: level debugging, 0 messages logged, xml disabled,filtering disabledBuffer logging: level debugging, 219 messages logged, xml disabled,filtering disabledException Logging: size (4096 bytes)Count and timestamp logging messages: disabledFile logging: disabledTrap logging: level informational, 222 message lines loggedLog Buffer (4096 bytes):hernet0/5, changed state to down7w5d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w5d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down7w5d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w5d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down7w6d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down7w6d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down7w6d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up7w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up8w1d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down8w1d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down8w1d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up8w1d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up8w1d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changedstate to down8w1d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down8w4d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up8w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up8w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down8w4d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down8w5d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up8w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up9w1d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down9w1d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down9w3d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up9w3d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up9w3d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down9w3d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to down9w4d: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up9w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up9w5d: %ETHCNTR-3-LOOP_BACK_DETECTED: Loop-back detected on FastEthernet0/21.9w5d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/21, putting Fa0/21 in err-disable state9w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/21, changed state to down9w5d: %LINK-3-UPDOWN: Interface FastEthernet0/21, changed state to down9w6d: %LINK-3-UPDOWN: Interface FastEthernet0/19, changed state to up9w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/19, changed state to up9w6d: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.200.254)9w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/19, changed state to down9w6d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/19, changed state to up红色部分知道了网络有loopback error detected，日吧。

交换机接口故障排查与修复内蒙古自治区乌兰察布市 012000摘要：在网络运维中，常需检查交换机端口，这些端口包含大量数据信息，仔细观察和分析这些数据信息，有助于解决网络故障。

关键词：交换机；接口故障；原因；对策网络运维虽然看似简单，但其实包含了很多内容，这就需运维人员学习更多的理论知识，打下坚实理论基础。

此外，具有逻辑推理及分析判断能力，能通过故障现象分析其原因，能通过表象看到事物本质。

而且还要具备解决问题的方法及应急能力，通过平常学习及经验积累，能快速找到问题解决方案，在短时间内排出故障，防止长时间延迟，降低用户体验。

一、交换机概述交换机是一种网络设备，通常用于将计算机、服务器、路由器等设备连接起来，并在它们之间进行数据交换和转发。

其是现代计算机网络中的重要组成部分，能提高网络效率及安全性。

交换机的工作原理是将数据包转发到目标设备，而不是广播到整个网络。

这种转发方式称为单播，它能提高网络性能和带宽利用率。

在交换机中，每个端口都有一个唯一的MAC地址，这个地址用于标识连接到该端口的设备。

当数据包到达交换机时，交换机会查找目标设备的MAC地址，并将数据包转发到相应的端口，从而实现数据的传输。

交换机可分为两种类型：传统、智能交换机。

其中，传统交换机通常只能进行基本的数据转发和过滤，而智能交换机则能进行更多高级功能，如VLAN划分、流量控制、QoS管理等。

智能交换机通常具有更高性能及更多功能，但也更加昂贵。

此外，因交换机有带宽很高的内部交换矩阵和背部总线，并且这个背部总线上挂接了所有端口，通过内部交换矩阵，能把数据包直接迅速传送到目的节点而非所有节点，不会浪费网络资源，产生较高效率。

同时在此过程中，数据传输安全程度高，更是受到使用者欢迎及普遍好评。

交换机数据带宽具有独享性，在这种前提下，在同一时间段内，交换机能将数据传输到多个节点间，并且每个节点都可当做独立网段而独自享有固定的部分带宽，则无与其他设备竞争实用的必要。

网络天地 • Network World8 •电子技术与软件工程 Electronic Technology & Software Engineering 【关键词】校园网 汇聚层 链路光衰 交换机环路1 引言随着高校信息化建设的不断推进，信息化基础设施的重要组成部分——校园网的拓扑结构不断丰富，设备数量逐年增加，校园网的稳定、高效运行给运维人员提出了更高的要求。

用户终端和接入层网络故障，易分析解决、影响范围小。

但是，对于担负楼宇通信的汇聚层交换机来讲，一旦出现问题，故障点难分析、耗时久、影响范围大。

因此，需要在工作中多分析积累以便快速解决问题。

本文结合工作实践，详细探讨汇聚层网络出现的多个问题及解决思路和方法。

2 链路光衰过大在采用三层组网模式的校园网物理链路中，汇聚层与核心层、接入层与汇聚层通常采用光纤连接方式。

每条光纤链路需要满足苛刻且敏感的物理条件，否则，可能引发重大的网络问题。

光纤链路的光衰过大是引起链路中断的多发因素。

检测链路光衰最直观有效的方法是利用光模块的DDM （数字诊断监控）功能。

以思科多模模块为例，使用命令show interfaces transceiver ，可得到以下结果：Switch#show interfaces transceiver Temperature V oltage Tx Power Rx Power Port (Celsius) (V olts) (dBm) (dBm)--------- ----------- ------- -------- --------Gi0/3 28.1 3.31 -5.5 -24.9 -- low alarm Gi0/3端口Rx Power 接收功率低值告警，高校校园网汇聚层故障分析及处理文/庞镭需查看对端设备的光功率来锁定故障点。

对于不具备DDM 功能的光纤模块，即提示“This module doesn ’t support DDM ！”，则需要通过复杂的步骤来判断故障情况。

导致交换机接口出现err-disable的几个常见原因：引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation第一个当F EC两端配置不匹配的时候就会出现err-disable。

假设Switch A把FEC模式配置为on，这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的，它假设Switch B已经配置好FEC了。

但实事上Swtich B并没有配置FEC，当Switch B的这个状态超过1分钟后，Switch A的STP就认为有环路出现，因此也就出现了err-disable。

解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel，否则接口还处于正常状态。

第二个原因就是双工不匹配。

一端配置为half-duplex后，他会检测对端是否在传输数据，只有对端停止传输数据，他才会发送类似于ack的包来让链路up，但对端却配置成了full-duplex，他才不管链路是否是空闲的，他只会不停的发送让链路up的请求，这样下去，链路状态就变成err-disable了。

三、第三个原因BPDU，也就是和portfast和BPDU guard有关。

如果一个接口配置了portfast，那也就是说这个接口应该和一个pc连接，pc是不会发送spanning-tree的BPDU帧的，因此这个口也接收BPDU来生成spanning-tree，管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性，但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上，于是这个接口接到了BPDU帧，因为配置了BPDU guard，这个接口自然要进入到err-disable状态。

拯救步骤1：查看日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了err-disable状态。

查看端口的状态Switch# show inter fa0/20 statusPort Name Status Vlan Duplex Speed Type Fa0/20 link to databackup err-disabled562 auto auto 10/100BaseTX这条信息更加明确的表示了该端口处于err-disabled状态。

既然看到了该端口是被置于了错误的状态了，我们就应该有办法将其再恢复成正常的状态。

拯救步骤2：将端口从错误状态中恢复回来进入交换机全局配置模式，执行errdisable recovery cause ?，会看到如下信息：Switch(config)#errdisable recovery cause ?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable statechannel-misconfig Enable timer to recover from channel misconfig disable statedhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable statedtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover froml2protocol-tunnel error disable statelink-flap Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable statesecurity-violation Enable timer to recover from 802.1x violation disable stateudld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有非常多的原因会引起端口被置于错误状态，由于我们明确的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直接键入命令：Switch(config)#errdisable recovery cause loopback是啊，就这么简单的一条命令，就把困挠我们很长时间的问题解决了，真的就这么神奇。

在cisco交换机中为了防止ip被盗用或员工乱改ip，可以做以下措施，既ip与mac地址的绑定，和ip与交换机端口的绑定。

一、通过IP查端口先查ＭＡＣ地址，再根据ＭＡＣ地址查端口：bangonglou3#show arp | include 208.41 或者show mac-address-table 来查看整个端口的ip-mac表nternet 10.138.208.41 4 0006.1bde.3de9 ARPA Vlan10bangonglou3#show mac-add | in 0006.1bde10 0006.1bde.3de9 DYNAMIC Fa0/17bangonglou3#exit二、ip与mac地址的绑定，这种绑定可以简单有效的防止ip被盗用，别人将ip改成了你绑定了mac地址的ip后，其网络不同，（tcp/udp协议不同，但netbios网络共项可以访问），具体做法：cisco(config)#arp 10.138.208.81 0000.e268.9980 ARPA这样就将10.138.208.81 与mac:0000.e268.9980 ARPA绑定在一起了三、ip与交换机端口的绑定，此种方法绑定后的端口只有此ip能用，改为别的ip后立即断网。

有效的防止了乱改ip。

cisco(config)# interface FastEthernet0/17cisco(config-if)# ip access-group 6 incisco(config)#access-list 6 permit 10.138.208.81这样就将交换机的FastEthernet0/17端口与ip:10.138.208.81绑定了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理，比如MAC地址与具体的端口绑定，限制具体端口通过的MAC地址的数量，或者在具体的端口不允许某些MAC地址的帧流量通过。

ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Disabled
security-violatio Disabled
gbic-invalid Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
Switch(config)#errdisable recovery cause loopback
是啊，就这么简单的一条命令，就把困挠我们很长时间的问题解决了，真的就这么神奇。那么如何验证这条命令是生效了呢？
拯救步骤3：显示被置于错误状态端口的恢复情况
Switch# show errdisable recovery
查看端口的状态
Switch# show inter fa0/20 status
Port Name Status Vlan Duplex Speed Type
Fa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX
出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启的状态下将该端口“拯救”回来的方法。
拯救步骤1：查看日志/端口的状态
登录进入交换机后，执行show log，会看到如下的提示：
21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.

端口出现 err-disabled 现象关于接口处于 err-disable 的故障排查故障症状:线路不通,物理指示灯灭或者显示为橙色 (不同平台指示灯状态不同show interface 输出显示接口状态:FastEthernet0/47 is down, line protocol is down (err-disabled接口状态是 err-disable 。

sw1#show interfaces statusPort Name Status Vlan Duplex Speed TypeFa0/47 err-disabled 1 auto auto 10/100BaseTX如果出现了接口状态为 err-disable , show interfaces status err-disabled命令能查看触发 err-disable 的原因。

下面示例原因为 bpduguard ,在连接了交换机的端口配置了 spanning-tree bpduguard enable。

sw1#show interfaces status err-disabledPort Name Status ReasonFa0/47 err-disabled bpduguard接口产生 err-disable 的原因可以由以下的命令来查看,系统缺省的配置是所有列出的原因都能导致接口被置为 err-disable 。

sw1#show errdisable detectErrDisable Reason Detection status----------------- ---------------- udld Enabledbpduguard Enabled security-violatio Enabled channel-misconfig Enabled psecure-violation Enabled dhcp-rate-limit Enabled unicast-flood Enabled vmps Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledgbic-invalid Enabled loopback Enableddhcp-rate-limit Enabled unicast-flood Enabled从列表中,我们可以看出常见的原因有 udld , bpduguard , link-flap 以及 loopback 等。

交换机安全-实施DHCP Snooping和IP ARP inspection功能了解了解DHCP Snooping1. DHCP Snooping功能概述DHCP都非常熟悉了，对于DHCP客户端而言，初始过程中都是通过发送广播的DHCP discovery消息寻找DHCP服务器，然而这时候如果内网中存在私设的DHCP服务器，那么就会对网络造成影响，例如客户端通过私设的DHCP服务器拿到一个非法的地址，最终导致PC无法上网。

2. DHCP Snooping技术特性3. DHCP Snooping基本特征DHCP Snooping将交换机分为Trust和Untrust两种安全级别端口DHCP Snooping仅接收并处理来自Trust接口的DHCP报文信息DHCP Snooping仅对目标VLAN起作用，其他Vlan无影响DHCP Snooping维护一张基本绑定数据库（binding database）保存针对Untrust接口的MAC地址、IP地址（DHCP分配的）、租期、绑定类型、VLAN号、接口编号DHCP Snooping为DAI的防ARP欺骗提供基本条件4. DHCP Snooping保护目的防止局域网内非法私立DHCP服务器分发IP地址，影响网络5. DHCP Snooping实施原则：条件具备的情况下，全网实施效果最好DHCP Snooping实施后，对整个VLAN 生效，默认端口为非信任端口，因此建议反向实施，即先部署DHCP Snooping，再修改接入交换机的上行接口为信任接口。

6. DHCP Snooping实施范围条件具备的情况下，全网接入交换机均需实施DHCP Snooping保护7.DHCP Snooping实施条件交换机IOS 须支持DHCP Snooping特性了解IP ARP inspection（DAI）1.DAI保护概述：(本文所述DAI保护指DAI及DHCP snooping的集成使用）与DHCP snooping一样，DAI（Dynamic ARP inspection）也是Cisco CISF（Catalyst Integrated Security Features）安全特性中的一项安全防护技术，主要用于防止MAC地址欺骗。

交换机端⼝假死（err-disable）解决⽅法出现了这个问题，我们不得不重视起交换机端⼝“假死”的现象，寻求在交换机不重启的状态下将该端⼝“拯救”回来 的⽅法。

拯救步骤1：查看⽇志/端⼝的状态 登录进⼊交换机后，执⾏show log，会看到如下的提⽰： 21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20. 21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state 以上信息就明确表⽰由于检测到第20端⼝出现了环路，所以将该端⼝置于了err-disable状态。

查看端⼝的状态 Switch# show inter fa0/20 status Port Name Status Vlan Duplex Speed Type Fa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX 这条信息更加明确的表⽰了该端⼝处于err-disabled状态。

既然看到了该端⼝是被置于了错误的状态了，我们就应该有办法将其再恢复成正常的状态。

拯救步骤2：将端⼝从错误状态中恢复回来 进⼊交换机全局配置模式，执⾏errdisable recovery cause ?，会看到如下信息： Switch(config)#errdisable recovery cause ? all Enable timer to recover from all causes bpduguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable state gbic-invalid Enable timer to recover from invalid GBIC error disable state l2ptguard Enable timer to recover from l2protocol-tunnel error disable state link-flap Enable timer to recover from link-flap error disable state loopback Enable timer to recover from loopback detected disable state pagp-flap Enable timer to recover from pagp-flap error disable state psecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from 802.1x violation disable state udld Enable timer to recover from udld error disable state unicast-flood Enable timer to recover from unicast flood disable state vmps Enable timer to recover from vmps shutdown error disable state 从列出的选项中，我们可以看出，有⾮常多的原因会引起端⼝被置于错误状态，由于我们明确的知道这台交换机上 的端⼝是由于环路问题⽽被置于错误状态的，所以就可以直接键⼊命令： Switch(config)#errdisable recovery cause loopback 是啊，就这么简单的⼀条命令，就把困挠我们很长时间的问题解决了，真的就这么神奇。

pagp-flap Enable timer to recover from pagp-flap error disable state
psecure-violation Enable timer to recover from psecure violation disable state
gbic-invalid Disabled
dhcp-rate-limit Disabled
unicast-flood Disabled
loopback Disabled
Timer interval: 300 seconds
Interfaces that will be enabled at the next timeout:
Interface Errdisable reason Time left(sec)
--------- ----------------- --------------
Fa0/47 bpduguard 217
配置IOS重新激活errdisable的接口，使用以下命令：
unicast-flood Enable timer to recover from unicast flood disable state
vmps Enable timer to recover from vmps shutdown error disable
security-violation Enable timer to recover from 802.1x violation disable state
udld Enable timer to recover from udld error disable state

处理交换机端口“假死”问题前几天在维护宿舍网络时碰着一个当时感受很独特的问题：4楼交换机的20口无论怎么连线，链路都不通；进入交换机，端口也启不了；连其他的端口全没有问题。

本觉得是端口坏掉了，其后听说是因为环路，20口被关了，错误规复就好了。

于是上网查了查，大白了个中的原理：交换机正在事情的端口，溘然变成封锁状态的假死现象，第一可以用重启交换机来办理，第二可以用呼吁规复。

对付用呼吁规复的要领的详细步调如下：步调1：查察日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d:%ETHCNTR-3-LOOP_BACK_DETECTED:Keepalive packet loop-back detected on FastEthernet0/20.21w6d:%PM-4-ERR_DISABLE:loopback error detected on Fa0/20,putting Fa0/20in err-disable state以上信息就明晰暗示由于检测到第20端口呈现了环路，所以将该端口置于了err-disable状态。

查察端口的状态Switch#show inter fa0/20statusPort Name Status Vlan Duplex Speed TypeFa0/20link to databackup err-disabled562auto auto10/100BaseTX这条信息越发明晰的暗示了该端口处于err-disabled状态。

既然看到了该端口是被置于了错误的状态了，我们就应该有步伐将其再规复成正常的状态。

拯救步调2：将端口从错误状态中规复返来进入交换机全局设置模式，执行errdisable recovery cause?，会看到如下信息：Switch(config)#errdisable recovery cause?all Enable timer to recover from all causesbpduguard Enable timer to recover from BPDU Guard error disable state channel-misconfig Enable timer to recover from channel misconfig disable state dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error disable state dtp-flap Enable timer to recover from dtp-flap error disable stategbic-invalid Enable timer to recover from invalid GBIC error disable statel2ptguard Enable timer to recover from l2protocol-tunnel error disable statelink-flap Enable timer to recover from link-flap error disable stateloopback Enable timer to recover from loopback detected disable statepagp-flap Enable timer to recover from pagp-flap error disable statepsecure-violation Enable timer to recover from psecure violation disable state security-violation Enable timer to recover from802.1x violation disable state udld Enable timer to recover from udld error disable stateunicast-flood Enable timer to recover from unicast flood disable statevmps Enable timer to recover from vmps shutdown error disable state从列出的选项中，我们可以看出，有很是多的原因会引起端口被置于错误状态，由于我们明晰的知道这台交换机上的端口是由于环路问题而被置于错误状态的，所以就可以直接键入呼吁：Switch(config)#errdisable recovery cause loopback拯救步调3：显示被置于错误状态端口的规复情形Switch#show errdisable recoveryErrDisable Reason Timer Status—————–————–udld Disabledbpduguard Disabledsecurity-violatio Disabledchannel-misconfig Disabledvmps Disabledpagp-flap Disableddtp-flap Disabledlink-flap Disabledgbic-invalid Disabledl2ptguard Disabledpsecure-violation Disabledgbic-invalid Disableddhcp-rate-limit Disabledunicast-flood Disabledloopback EnabledTimer interval:300secondsInterfaces that will be enabled at the next timeout:Interface Errdisable reason Time left(sec)————————–————–Fa0/8loopback276Fa0/17loopback267Fa0/20loopback250从以上显示的信息可以看出，这台交换机有三个端口（Fa0/8、Fa0/17、Fa0/20）会别离在276、267、250秒之后规复为正常的状态，实际情形也是这样，等了几分钟今后，我们找了一台条记本电脑，别离接到这几个端口上试了一下，端口都可以正常事情了。

Cisco交换机端口出现“err-disabled”状态的情况分析1、引言通常情况下,如果交换机运转正常,其中端口一项显示为启用(enable)状态.但是如果交换机的软件(CISCO IOS/CatOS)检测到端口的一些错误,端口将随即被关闭.也就是说,当交换机的操作系统检测到交换机端口发生些错误事件的时候,交换机将自动关闭该端口.2、现象描述当端口处于err-disabled状态,将没有任何流量从该端口被转发出去,也将不接收任何进站流量.从交换机外观上看去,端口相对应的LED状态灯也将由正常的绿色变为暗黄色(或者叫做橘黄色，官方给的说法是amber,琥珀色).同时使用查看端口状态的一些命令,比如show interfaces,也会看到端口是处于err-disabled状态的.还有种情况是,当交换机因一种错误因素导致端口被禁用(err- disabled),这种情况通常会看到类似如下日志信息:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable stateerr-disabled的两个作用的:1.告诉管理员端口状态出错.2.消除因某个端口的错误导致所有端口,或者整个模块功能的出错.err-disabled状态的起因:该特性最初是用于处理特定的冲突形势,比如过分冲突(excessive collisison)和后期冲突(late collision).由于CSMA/CD机制的制定,当发生16次冲突后帧将被丢弃,此时发生excessive collision;而late collision是指在发送方发送了64个字节之后,正常的和合法的冲突就不可能发生了.理论上正常的网络传播一定会在此之前就完成了,但是如果线路过长的话会在前64个字节完成后发生冲突,后期冲突和发生在前64个字节的冲突最明显的区别是后者网卡会自动重新传输正常的冲突帧,但不会重传后期冲突的帧.后期冲突发生在时间超时和中继器的远端.一般而言,这样的冲突在本地网段会简单地判断为一个帧校验序列(FCS)错误.引起这种错误的可能原因有:1.线缆的不规范使用,比如超出了最大传输距离或者使用了错误的线缆类型.2.网卡的不正常工作(物理损坏或者驱动程序的错误).3.端口双工模式的错误配置,如双工不匹配.如下是端口处于err-disabled状态的几种原因:1.双工不匹配.2.端口信道的错误配置.3.违反BPDU守护(BPDU Guard)特性.4.单向链路检测(UDLD).5.检测到后期冲突.6.链路振荡.7.违反某些安全策略.8.端口聚合协议(PAgP)的振荡.9.层2隧道协议(L2TP)守护(L2TP Guard).10.DHCP侦听限速.3、处理过程可以使用show interfaces命令查看端口状态,如:switch#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duplex Speed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX当交换机的某个端口处于err-disabled状态后,交换机将发送为什么这么做的日志信息到控制台端口.也可以使用show log查看系统日志,如:%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port gigabitethernet 0/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi 0/1, putting Gi0/1 in err-disable state%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1可以使用show interfaces status err-disabled命令查看处于err-disabled状态的原因,如:switch #show interfaces status err-disabledPort Name Status Reason Err-disabled VlansFa0/1 err-disabled loopback当出现err-disabled状态后,首先要做的,是找出引起该状态的根源,然后重新启用该端口;如果顺序不一致,将导致该端口再次进入err-disabled状态.4、原因分析以比较常见的做为例子:1).以太网信道(EC)的错误配置:如果要让EC能够正常工作,参与到EC绑定的端口的配置,必须是一致的,比如处于同一VLAN,trunk模式相同,速率和双工模式都匹配等等.如果一端配置了EC,而另一端没有配置EC,STP将关闭配置了EC一方的参与到EC中的端口.并且当PAgP的模式是处于on模式的时候,交换机是不会向外发送PAgP信息去进行协商的(它认为对方是处于EC).这种情况下STP判定出现环路问题,因此将端口设置为err-disabled状态.如:%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfigurationof Gi0/1如下,查看EC信息显示使用的信道组数量为0:SWITCH#show etherchannel summaryFlags: D - down P - in port-channelI - stand-alone s - suspendedH - Hot-standby (LACP only)R - Layer3 S - Layer2U - in use f - failed to allocate aggregatoru - unsuitable for bundlingNumber of channel-groups in use: 0Number of aggregators: 0EC没有正常工作是由于端口被设置为err-disabled状态:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan Duple x Speed TypeGi0/1 err-disabled 100full 1000 1000BaseSX为找出为何EC没有正常工作,根据错误信息暗示,STP检测到环路.之前提到过,这种情况的发生,是由于一方配置了EC,设置PAgP模式为on模式,这种模式和desirable模式正好相反,而另一方没有配置EC.因此,为了解决这种问题的发生,将EC的PAgP模式设置为可以主动协商的desirable模式.,然后再重新启用该端口.如下:!interface gigabitethernet 0/1channel-group 1 mode desirable non-silent!2).双工模式不匹配:双工模式不匹配的问题比较常见,由于速率和双工模式自动协商的故障,常导致这种问题的发生.可以使用show interfaces命令查看双方端口的速率和双工模式.后期版本的CDP也能够在将端口处于err-disabled状态之前发出警告日志信息.另外, 网卡的不正常设置也将引起双工模式的不匹配.解决办法,如双方不能自动协商,使用duplex命令(CISCO IOS和CatOS有所不同)修改双方双工模式使之一致.3).BPDU Guard:通常启用了快速端口(PortFast)特性的端口用于直接连接端工作站这种不会产生BPDU的末端设备.由于PortFast特性假定交换机的端口不会产生物理环路,因此,当在启用了PortFast和BPDU Guard特性的端口上收到BPDU后,该端口将进入err-disabled状态,用于避免潜在环路.假如我们将两台6509交换机相连,在其中一台上启用PortFast特性并打开BPDU Guard特性:interface gigabitethernet 0/1spanning-tree bpduguard enablespanning-tree portfast enable此时将看到如下日志信息:%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi0/1, putting Gi0/1 in err-disable state.验证:SWITCH#show interfaces gigabitethernet 0/1 statusPort Name Status Vlan DuplexSpeed TypeGi0/1 err-disabled 100 full 1000 1000BaseSX像这种情况,不能启用PortFast特性,因此禁用该特性可以解决该问题.4).UDLD:UDLD 协议允许通过光纤或铜线相连的设备监控线缆的物理配置,并且可以检测是否存在单向链路.如果检测到有单向链路,UDLD将关闭相关端口并发出警告日志信息.单向链路可以引起一系列的问题,最常见的就是STP拓扑环路.注意,为了启用UDLD,双方必须都支持该协议,并且要单独在每个端口启用UDLD.如果你只在一方启用了UDLD,同样的会引起端口进入err-disabled状态,如:%PM-SP-4-ERR_DISABLE: udld error detected on Gi0/1, putting Gi0/1 in err-disable state.5).链路振荡错误:链路振荡(flap)是指短时间内端口不停的处于up/down状态,如果端口在10秒内连续振荡5次,端口将被设置为err-disabled状态,如:%PM-4-ERR_DISABLE: link-flap error detected on Gi0/1, putting Gi0/1 in err-disable state可以使用如下命令查看不同的振荡的值:SWITCH#show errdisable flap-valuesErrDisable Reason Flaps Time (sec)pagp-flap 3 30dtp-flap 3 30 link-flap 5 10引起链路震荡的常见因素,可能是物理层的问题,比如GBIC的硬件故障等等.因此解决这种问题通常先从物理层入手.6).回环(loopback)错误:当keepalive信息从交换机的出站端口被发送出去后,又从该接口收到该信息,就会发生回环错误.交换机默认情况下会从所有端口向外发送keepalive信息.但由于STP没能阻塞某些端口,导致这些信息可能会被转发回去形成逻辑环路.因此出现这种情况后,端口将进入err- disabled状态,如:%PM-4-ERR_DISABLE: loopback error detected on Gi0/1, putting Gi0/1 in err-disable state从CISCO IOS 12.2SE之后的版本,keepalive信息将不再从光纤和上行端口发送出去,因此解决这种问题的方案是升级CISCO IOS软件版本到12.2SE或后续版本。

关于cisco errdisableshow inter statusshow inter status errshow errdisable recoveryerrdisable recovery cause ?(config)#no errdisable detect cause allerrdisable recovery interval 300(config-if)#no keep交换机端口假死(err-disable)解决方法--------------------------------------------------------------------------------出现了这个问题，我们不得不重视起交换机端口“假死”的现象，寻求在交换机不重启的状态下将该端口“拯救”回来的方法。

拯救步骤1：查看日志/端口的状态登录进入交换机后，执行show log，会看到如下的提示：21w6d: %ETHCNTR-3-LOOP_BACK_DETECTED: Keepalive packet loop-back detected on FastEthernet0/20.21w6d: %PM-4-ERR_DISABLE: loopback error detected on Fa0/20, putting Fa0/20 in err-disable state以上信息就明确表示由于检测到第20端口出现了环路，所以将该端口置于了err-disable状态。

查看端口的状态Switch# show inter fa0/20 statusPort Name Status Vlan Duplex Speed TypeFa0/20 link to databackup err-disabled 562 auto auto 10/100BaseTX这条信息更加明确的表示了该端口处于err-disabled状态。

本文介绍了思科7609路由器的端口出现err-disable故障现象的案例，主要是由于端口连接的设备反复UP/DOWN引起。

详细的处理过程请查看下文。

故障现象：某企业的网络结构如下图所示，业务系统服务器直接与两台CISCO7609连接，再上连接到两台huawei NE80路由器，与骨干网络通信。

维护人员在网络测试中发现，重启业务系统A的服务器之后，网络中断，两台CISCO7609与业务系统服务器连接的GE9/12端口出现err-disable 状态。

原因分析：两台CISCO 7609路由器的IOS版本号为version 12.2, 业务系统服务器为华为设备。

以下以CISCO7609与业务系统A相连端口为对象进行分析：1、登陆CISCO7609-1查看日志信息,发现在0:42左右，CISCO7609-1与业务系统A相连的GigabitEthernet9/12端口反复出UP/Down告警。

在Feb 9 00:42:31.967时端口变为err-disable 状态。

以下为CISCO7609-1的部分日志信息：*Feb 9 00:42:26.435 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.015 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:26.435 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:27.019 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.815 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changedstate to up*Feb 9 00:42:28.355 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:27.819 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:28.355 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.843 BEIJING: %LINK-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:29.315 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to up*Feb 9 00:42:29.847 BEIJING: %LINK-SP-3-UPDOWN: Interface GigabitEthernet9/12, changed state to down*Feb 9 00:42:31.967 BEIJING: %PM-SP-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state*Feb 9 00:42:32.147 BEIJING: %PM-SP-STDBY-4-ERR_DISABLE: link-flap error detected on Gi9/12, putting Gi9/12 in err-disable state2、CISCO厂商的设备为了保证网络的可靠性，启用了相应的保护技术。