Commutation LAN : Protocole Spanning Tree

Récupération de l'état de port Errdisable sur les plates-formes Cisco IOS

30 juillet 2013 - Traduction automatique
Autres versions: PDFpdf | Anglais (17 avril 2009) | Commentaires


Contenu


Introduction

Ce document définit l'état errdisabled, décrit comment récupérer de cet état et fournit des exemples de récupération d'errdisable. Ce document utilise les termes « errdisable » et « error disable » de façon interchangeable. Les clients contactent souvent l'assistance technique Cisco quand ils remarquent qu'un ou plusieurs de leurs ports de commutateur ont été désactivés pour erreur, ce qui signifie que les ports ont un état errdisabled. Ces clients veulent savoir pourquoi la désactivation pour erreur s'est produite et comment ils peuvent restaurer les ports à l'état normal.

Remarque: L'état de port err-disabled s'affiche dans la sortie de la commande show interfaces interface_number status.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Pour créer les exemples fournis dans ce document, vous avez besoin de deux commutateurs de la gamme Cisco Catalyst 4500/6500 (ou équivalent) dans un environnement de laboratoire avec des configurations par défaut. Les commutateurs doivent exécuter le logiciel Cisco IOS® et chaque commutateur doit avoir deux ports qui sont compatibles avec EtherChannel et PortFast.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Plates-formes qui utilisent errdisable

La fonctionnalité errdisable est prise en charge sur les commutateurs Catalyst suivants :

  • Commutateurs Catalyst qui exécutent le logiciel Cisco IOS :

    • 2900XL / 3500XL

    • 2940 / 2950 / 2960 / 2970

    • 3550 / 3560 / 3560-E / 3750 / 3750-E

    • 4000 / 4500

    • 6000 / 6500

  • Commutateurs Catalyst qui exécutent le logiciel Catalyst OS (CatOS) :

    • 2948G

    • 4500 / 4000

    • 5500 / 5000

    • 6500 / 6000

La façon dont errdisable est implémentée varie suivant les plates-formes logicielles. Ce document se concentre spécifiquement sur errdisable pour les commutateurs qui exécutent le logiciel Cisco IOS.

Errdisable

Fonction d'errdisable

Si la configuration montre un port à activer, mais que le logiciel sur le commutateur détecte une situation d'erreur sur le port, le logiciel arrête ce port. En d'autres termes, le port est automatiquement désactivé par le logiciel de système d'exploitation du commutateur en raison d'une condition d'erreur qui est produite sur le port.

Quand un port est désactivé par erreur, il est arrêté de façon effective et aucun trafic n'est envoyé ou reçu sur le ce port. Le voyant du port devient orange et, quand vous émettez la commande show interfaces, l'état du port indique err-disabled. Voici un exemple de ce à quoi ressemble un port désactivé pour erreur à partir de l'interface de ligne de commande (CLI) du commutateur :

cat6knative#show interfaces gigabitethernet 4/1 status 

Port    Name       Status       Vlan       Duplex  Speed Type
Gi4/1              err-disabled 100          full   1000 1000BaseSX

Ou, si l'interface a été désactivée en raison d'une condition d'erreur, vous pouvez voir des messages semblables aux suivants dans la console et le syslog :

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

Cet exemple de message s'affiche quand un port hôte reçoit BDPU (Bridge Protocol Data Unit). Le message réel dépend de la raison de la condition d'erreur.

La fonctionnalité error disable sert à atteindre deux objectifs :

  • Elle permet à l'administrateur de savoir quand et où il y a un problème de port.

  • Elle élimine la possibilité que ce port puisse entraîner la défaillance d'autres ports sur le module (ou de tout le module).

    Une telle panne peut se produire quand un port défectueux monopolise les mémoires tampons ou que les messages d'erreur de port monopolisent les communications entre processus sur la carte, ce qui peut finalement entraîner de graves problèmes réseau. La fonctionnalité error disable permet d'empêcher ces situations.

Causes d'errdisable

Cette fonctionnalité a été d'abord implémentée pour traiter des situations de collision spéciales dans lesquelles le commutateur détectait des collisions excessives ou tardives. Des collisions excessives se produisent quand une trame est supprimée parce que le commutateur rencontre 16 collisions dans une ligne. Des collisions tardives se produisent une fois que chaque périphérique sur le réseau a identifié que le réseau était en cours d'utilisation. Les causes possibles de ces types d'erreurs sont notamment les suivantes :

  • Un câble qui ne respecte pas les spécifications (trop long, de type inapproprié ou défectueux)

  • Une carte d'interface réseau (NIC) défectueuse (avec des problèmes physiques ou des problèmes de pilote)

  • Une configuration incorrecte de port en duplex

    Une configuration incorrecte de port en duplex est une cause courante des erreurs en raison d'une mauvaise négociation de la vitesse et du duplex entre deux périphériques directement connectés (par exemple, une NIC qui se connecte à un commutateur). Seules les connexions en semi-duplex devraient avoir des collisions dans un LAN. En raison de la nature CSMA (Carrier Sense Multiple Access) d'Ethernet, les collisions sont normales pour le semi-duplex, tant que les collisions ne dépassent pas un petit pourcentage du trafic.

Il y a diverses raisons du passage de l'interface dans l'état errdisable. La raison peut être l'une des suivantes :

  • Non-correspondance de mode duplex

  • Configuration incorrecte du canal de port

  • Violation de la protection BPDU

  • Condition UDLD (UniDirectional Link Detection)

  • Détection de collisions tardives

  • Détection d'affolement de liaison

  • Violation de la sécurité

  • Affolement du protocole d'agrégation de ports (PAgP)

  • Protection du protocole L2TP (Layer 2 Tunneling Protocol)

  • Limite du taux de surveillance DHCP

  • Module ou câble GBIC/SFP (Small Form-Factor Pluggable) incorrect

  • Inspection du protocole de résolution d'adresse (ARP)

  • Alimentation

Remarque: La détection d'error disable est activée par défaut pour toutes ces raisons. Afin de désactiver la détection d'error disable, utilisez la commande no errdisable detect cause. La commande show errdisable detect affiche l'état de détection d'error disable.

Déterminer si les ports sont dans l'état errdisabled

Vous pouvez déterminer si votre port a été désactivé pour erreur si vous émettez la commande show interfaces.

Voici un exemple d'un port actif :

cat6knative#show interfaces gigabitethernet 4/1 status 

!--- Refer to show interfaces status for more information on the command.

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      Connected    100          full   1000 1000BaseSX

Voici un exemple du même port dans l'état err-disabled :

cat6knative#show interfaces gigabitethernet 4/1 status 

!--- Refer to show interfaces status for more information on the command.

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

Remarque: Quand un port est désactivé pour erreur, le voyant sur le panneau avant qui est associé au port est éteint.

Déterminer la raison de l'état errdisabled (messages de console, syslog et la commande show errdisable recovery)

Quand le commutateur met un port dans l'état error-disabled, il envoie un message à la console qui décrit pourquoi il a désactivé le port. L'exemple de cette section fournit deux exemples de messages qui montrent la raison de la désactivation de port :

  • Une désactivation est due à la fonctionnalité de protection des BPDU PortFast.

  • L'autre désactivation est due à un problème de configuration d'EtherChannel.

Remarque: Vous pouvez également voir ces messages dans le syslog si vous émettez la commande show log.

Voici les exemples de messages :

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

 %SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1

Si vous avez activé errdisable recovery, vous pouvez déterminer la raison de l'état errdisable si vous émettez la commande show errdisable recovery. Voici un exemple :

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Enabled
bpduguard            Enabled
security-violatio    Enabled
channel-misconfig    Enabled
pagp-flap            Enabled
dtp-flap             Enabled
link-flap            Enabled
l2ptguard            Enabled
psecure-violation    Enabled
gbic-invalid         Enabled
dhcp-rate-limit      Enabled
mac-limit            Enabled
unicast-flood        Enabled
arp-inspection       Enabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          273

Récupérer un port de l'état errdisabled

Cette section fournit des exemples de la façon dont vous pouvez trouver un port désactivé pour erreur et de la façon d'y remédier, ainsi qu'une brève discussion de quelques raisons supplémentaires pour lesquelles un port peut devenir désactivé pour erreur. Afin de récupérer un port de l'état errdisable, commencez par identifier et corriger le problème racine, puis réactivez le port. Si vous réactivez le port avant de corriger le problème racine, les ports sont simplement à nouveau désactivés.

Corriger le problème racine

Après avoir découvert pourquoi les ports ont été désactivés, corrigez le problème racine. La correction dépend du problème déclenchant. Il y a de nombreuses choses qui peuvent déclencher l'arrêt. Cette section décrit certaines des causes les plus apparentes et les plus courantes :

  • Configuration incorrecte d'EtherChannel

    Pour qu'EtherChannel fonctionne, les ports qui sont impliqués doivent avoir des configurations cohérentes. Les ports doivent avoir le même VLAN, le même mode de liaison agréée, la même vitesse, le même duplex, etc. La plupart des différences de configuration dans un commutateur sont détectées et signalées quand vous créez le canal. Si un commutateur est configuré pour EtherChannel et que l'autre commutateur n'est pas configuré pour EtherChannel, le processus de spanning tree peut arrêter les ports avec canal du côté qui est configuré pour EtherChannel. Le mode on d'EtherChannel n'envoie pas de paquets PAgP à négocier avec l'autre côté avant la tunnellisation ; il suppose simplement que l'autre côté effectue la tunnellisation. En outre, cet exemple n'active pas EtherChannel pour l'autre commutateur, mais laisse ces ports comme des ports individuels sans canal. Si vous laissez l'autre commutateur dans cet état pendant une minute environ, le protocole Spanning Tree (STP) sur le commutateur où EtherChannel est activé pense qu'il y a une boucle. Cela met les ports de tunnellisation dans l'état errdisabled.

    En cet exemple, une boucle a été détectée et les ports ont été désactivés. La sortie de la commande show etherchannel summary montre que l'option Number of channel-groups in use a la valeur 0. Quand vous regardez l'un des ports impliqués, vous pouvez voir que l'état est err-disabled :

    %SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration 
    of Gi4/1
    
    
    cat6knative#show etherchannel summary
    
    !--- Refer to show etherchannel for more information on the command.
    
    Flags:  D - down        P - in port-channel
            I - stand-alone s - suspended
            H - Hot-standby (LACP only)
            R - Layer3      S - Layer2
            U - in use      f - failed to allocate aggregator
    
            u - unsuitable for bundling
    Number of channel-groups in use: 0
    Number of aggregators:           0
    
    Group  Port-channel  Protocol    Ports
    ------+-------------+-----------+-----------------------------------------------

    EtherChannel a été arrêté parce que les ports ont été placés dans l'état errdisable sur ce commutateur.

    cat6knative#show interfaces gigabitethernet 4/1 status
    
    Port    Name               Status       Vlan       Duplex  Speed Type
    Gi4/1                      err-disabled 100          full   1000 1000BaseSX

    Pour déterminer l'origine du problème, regardez le message d'erreur. Le message indique qu'EtherChannel a rencontré une boucle de spanning tree. Comme l'explique cette section, ce problème peut se poser quand un périphérique (le commutateur, dans le cas présent) a EtherChannel activé manuellement à l'aide du mode on (par opposition à désirable) et l'autre périphérique connecté (l'autre commutateur, dans le cas présent) n'a pas EtherChannel activé du tout. Une façon de corriger la situation est de définir le mode du canal sur desirable des deux côtés de la connexion, puis de réactiver les ports. Ensuite, chaque côté forme un canal seulement si les deux côtés acceptent de créer un canal. S'ils n'acceptent pas de créer un canal, les deux côtés continuent à fonctionner comme des ports normaux.

    cat6knative(config-terminal)#interface gigabitethernet 4/1
    cat6knative(config-if)#channel-group 3 mode desirable non-silent
    
  • Non-correspondance de mode duplex

    Les non-correspondances de mode duplex sont courantes en raison d'une mauvaise négociation automatique de la vitesse et du mode duplex. À la différence d'un périphérique en mode semi-duplex, qui doit attendre jusqu'à ce qu'il n'y ait aucun autre périphérique qui transmette sur le même segment LAN, un périphérique en mode duplex intégral transmet chaque fois que le périphérique a quelque chose à envoyer, indépendamment des autres périphériques. Si cette transmission se produit tandis que le périphérique en mode semi-duplex transmet, le périphérique en mode semi-duplex considère cela comme une collision (pendant l'intervalle de temps) ou comme une collision tardive (après l'intervalle de temps). Puisque le côté duplex intégral n'attend jamais de collisions, ce côté ne se rend jamais compte qu'il doit retransmettre ce paquet supprimé. Un faible pourcentage de collisions est normal avec le mode semi-duplex mais n'est pas normal avec le mode duplex intégral. Un port de commutateur qui reçoit beaucoup de collisions tardives indique habituellement un problème de non-correspondance de mode duplex. Assurez-vous que les ports des deux côtés du câble sont définis à la même vitesse et au même duplex. La commande show interfaces interface_number vous indique la vitesse et le duplex pour les ports de commutateur Catalyst. Les versions ultérieures de Cisco Discovery Protocol (CDP) peuvent vous avertir au sujet d'une non-correspondance de mode duplex avant que le port soit mis dans l'état error-disabled.

    En outre, il y a des paramètres sur une NIC, tels que des fonctionnalités de polarité automatique, qui peuvent provoquer le problème. En cas de doute, désactivez ces paramètres. Si vous avez plusieurs NIC d'un constructeur et que les NIC ont toutes le même problème, consultez le site Web du constructeur pour vérifier dans les notes de publication que vous disposez des pilotes les plus récents.

    D'autres causes de collisions tardives sont notamment les suivantes :

    • Une NIC défectueuse (avec des problèmes physiques, et pas simplement des problèmes de configuration)

    • Un câble défectueux

    • Un segment de câble qui est trop long

  • Protection de port des BPDU

    Un port qui utilise PortFast doit seulement se connecter à une station d'extrémité (telle qu'un poste de travail ou un serveur) et pas à des périphériques qui produisent des BPDU de spanning tree, tels que des commutateurs, ou des passerelles et des routeurs qui assurent le pontage. Si le commutateur reçoit une BPDU de spanning tree sur un port sur lequel la protection de PortFast pour le spanning tree et des BPDU pour le spanning tree est activée, il met le port en mode errdisabled afin d'assurer la protection contre les boucles potentielles. PortFast suppose qu'un port sur un commutateur ne peut pas produire une boucle physique. Par conséquent, il ignore les contrôles de spanning-tree initiaux pour ce port, ce qui évite l'expiration des stations d'extrémité au démarrage. L'administrateur réseau doit soigneusement implémenter PortFast. Sur les ports sur lesquels PortFast est activé, la protection des BPDU permet de garantir que le LAN reste sans boucles.

    Cet exemple montre comment activer cette fonctionnalité. Cet exemple a été choisi parce que la création d'une situation error-disable est facile dans ce cas :

    cat6knative(config-if)#spanning-tree bpduguard enable
    
    !--- Refer to spanning-tree bpduguard for more information on the command.
    
    

    Dans cet exemple, un commutateur Catalyst 6509 est connecté à un autre commutateur (un 6509). Le commutateur 6500 envoie des BPDU toutes les 2 secondes (à l'aide des paramètres de spanning tree par défaut). Quand vous activez PortFast sur le port de commutateur 6509, la fonctionnalité de protection des BPDU observe les BPDU qui entrent sur ce port. Quand une BPDU entre dans le port, ce qui signifie qu'un périphérique qui n'est pas un périphérique d'extrémité est détecté sur ce port, la fonctionnalité de protection des BPDU désactive le port afin d'éviter la possibilité d'une boucle de spanning tree.

    cat6knative(config-if)#spanning-tree portfast enable
    
    !--- Refer to spanning-tree portfast (interface configuration mode) 
    !--- for more information on the command.
    
    
    Warning: Spantree port fast start should only be enabled on ports connected
    to a single host.  Connecting hubs, concentrators, switches, bridges, etc. to
    a fast start port can cause temporary spanning tree loops.
    
    %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in 
    err-disable state.

    Dans ce message, le commutateur indique qu'il a reçu une BPDU sur un port ayant PortFast activé, et donc le commutateur a arrêté le port Gi4/1.

    cat6knative#show interfaces gigabitethernet 4/1 status
    
    Port    Name               Status       Vlan       Duplex  Speed Type
    Gi4/1                      err-disabled 100          full   1000 1000BaseSX

    Vous devez désactiver la fonctionnalité PortFast parce que ce port est un port avec une connexion incorrecte. La connexion est incorrecte car PortFast est activé, et le commutateur se connecte à un autre commutateur. Rappelez-vous que PortFast est destiné à être utilisé seulement sur les ports qui se connectent à des stations d'extrémité.

    cat6knative(config-if)#spanning-tree portfast disable
    
  • UDLD

    Le protocole UDLD permet aux périphériques qui sont connectés via des câbles Ethernet à fibre optique ou en cuivre (par exemple, le câblage de catégorie 5) pour surveiller la configuration physique des câbles et détecter quand il y a une liaison unidirectionnelle. Quand une liaison unidirectionnelle est détectée, UDLD arrête le port affecté et alerte l'utilisateur. Les liaisons unidirectionnelles peuvent poser un certain nombre de problèmes, notamment des boucles de topologie Spanning Tree.

    Remarque: UDLD fonctionne en permutant des paquets de protocole entre des périphériques voisins. Les deux périphériques sur la liaison doivent prendre en charge UDLD et avoir UDLD activé sur les ports respectifs. Si vous avez UDLD activé sur seulement un port d'une liaison, il peut également laisser l'extrémité configurée avec UDLD pour passez dans l'état errdisable.

    Chaque port de commutateur qui est configuré pour UDLD envoie les paquets du protocole UDLD qui contiennent le périphérique de port (ou l'ID de port) et le périphérique voisin (ou les ID de port) qui sont vus par UDLD sur ce port. Les ports voisins doivent voir leur propre périphérique ou ID de port (écho) dans les paquets qui sont reçus en provenance de l'autre côté. Si le port ne voit pas son propre périphérique ou ID de port dans les paquets UDLD entrants pendant une durée spécifique, la liaison est considérée comme unidirectionnelle. Par conséquent, le port respectif est désactivé et un message semblable à celui-ci est imprimé sur la console :

    PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in 
    err-disable state.

    Pour plus d'informations sur le fonctionnement, la configuration et les commandes d'UDLD, référez-vous au document Configuration d'UDLD (UniDirectional Link Detection).

  • Erreur d'affolement de liaison

    L'affolement de liaison signifie que l'interface est continuellement active et désactive. L'interface est mise dans l'état errdisabled si elle s'affole plus de cinq fois en 10 secondes. La cause courante d'un affolement de liaison est un problème de couche 1 tel qu'un mauvais défectueux, une non-correspondance de mode duplex ou une carte GBIC (Gigabit Interface Converter) défectueuse. Regardez les messages sur la console ou les messages qui ont été envoyés au serveur syslog et qui indiquent la raison de l'arrêt du port.

    %PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/
    1 in err-disable state

    Émettez la commande suivante afin d'afficher les valeurs d'affolement :

    cat6knative#show errdisable flap-values
    
    !--- Refer to show errdisable flap-values for more information on the command.
    
    ErrDisable Reason    Flaps    Time (sec)
    -----------------    ------   ----------
    pagp-flap              3       30
    dtp-flap               3       30
    link-flap              5       10
  • Erreur de bouclage

    Une erreur de bouclage se produit quand le paquet keepalive fait une boucle vers le port qui a envoyé le keepalive. Le commutateur envoie des keepalives à toutes les interfaces par défaut. Un périphérique envoie en boucle les paquets à l'interface source, ce qui se produit habituellement parce qu'il y a dans le réseau une boucle logique que le spanning tree n'a pas bloquée. L'interface source reçoit le paquet keepalive qu'il a envoyé, et le commutateur désactive l'interface (errdisable). Le message suivant survient parce que le paquet keepalive fait une boucle vers le port qui a envoyé le keepalive :

    %PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in
    err-disable state

    Les keepalives sont envoyés sur toutes les interfaces par défaut dans le logiciel Cisco IOS Version 12.1EA. Dans le logiciel Cisco IOS Version 12.2SE et ultérieures, les keepalives ne sont pas envoyés par défaut sur les interfaces à fibres et avec liaisons ascendantes. Pour plus d'informations, référez-vous au bogue Cisco portant l'ID CSCea46385 (clients enregistrés uniquement).

    La solution de contournement suggérée est de désactiver les keepalives et d'effectuer une mise à niveau vers le logiciel Cisco IOS Version 12.2SE ou ultérieures.

  • Violation de la sécurité de port

    Vous pouvez utiliser la sécurité de port avec des adresses MAC apprises dynamiquement et statiques pour restreindre le trafic entrant d'un port. Pour restreindre le trafic, vous pouvez limiter les adresses MAC qui sont autorisées à envoyer du trafic dans le port. Afin de configurer le port de commutateur en error disable s'il y a une violation de la sécurité, émettez la commande suivante :

    cat6knative(config-if)#switchport port-security violation shutdown
    

    Une violation de la sécurité se produit dans l'une de ces deux situations :

    • Quand le nombre maximal d'adresses MAC sécurisées est atteint sur un port sécurisé et que l'adresse MAC source du trafic entrant diffère de toutes les adresses MAC sécurisées identifiées

      Dans ce cas, la sécurité de port applique le mode de violation configuré.

    • Si du trafic avec une adresse MAC sécurisée qui est configurée ou apprises sur un port sécurisé essaye d'accéder à un autre port sécurisé dans le même VLAN

      Dans ce cas, la sécurité de port applique le mode de violation shutdown.

    Pour plus d'informations sur la sécurité de port, référez-vous à Configuration de la sécurité de port.

  • Protection L2TP

    Quand les PDU de couche 2 entrent dans le tunnel ou accèdent au port sur le commutateur de périphérie entrant, le commutateur remplace l'adresse MAC de destination des PDU du client par une adresse de multidiffusion propriétaire Cisco connue (01-00-0c-cd-cd-d0). Si la transmission tunnel 802.1Q est activée, les paquets sont également doublement marqués. La balise externe est la balise métro du client et la balise interne est la balise VLAN du client. Les commutateurs principaux ignorent les balises internes et transfèrent le paquet à tous les ports de liaison agréée du même VLAN métro. Les commutateurs de périphérie du côté sortant restaurent le protocole de couche 2 et les informations d'adresse MAC appropriés, et transfèrent les paquets à tous les ports de tunnel ou d'accès du même VLAN métro. Par conséquent, les PDU de couche 2 sont gardées intactes et remises à travers l'infrastructure du fournisseur de services à l'autre côté du réseau client.

    Switch(config)#interface gigabitethernet 0/7
    l2protocol-tunnel {cdp | vtp | stp}
    

    L'interface passe dans l'état errdisabled. Si une PDU encapsulée (avec l'adresse MAC de destination propriétaire) est reçue en provenance d'un port de tunnel ou d'un port d'accès avec la transmission tunnel de couche 2 activée, le port de tunnel est arrêté pour empêcher les boucles. Le port s'arrête également quand un seuil d'arrêt configuré pour le protocole est atteint. Vous pouvez réactiver manuellement le port (en émettant une séquence de commandes shutdown, no shutdown), ou si errdisable recovery est activée, l'opération est retentée après un intervalle de temps indiqué.

    L'interface peut être récupérée de l'état errdisable en réactivant le port à l'aide de la commande errdisable recovery cause l2ptguard. Cette commande est utilisée pour configurer le mécanisme de récupération sur une erreur de débit maximal de couche 2 de sorte que l'interface puisse être sortie de l'état disabled et autorisée à faire une nouvelle tentative. Vous pouvez également définir un délai. Errdisable recovery est désactivée par défaut ; lorsqu'elle est activée, le délai par défaut est de 300 secondes.

  • Câble SFP incorrect

    Les ports passent dans l'état errdisable avec le message d'erreur %PHY-4-SFP_NOT_SUPPORTED quand vous connectez des commutateurs Catalyst 3560 et Catalyst 3750 à l'aide d'un câble d'interconnexion SFP.

    Le câble d'interconnexion SFP Cisco Catalyst 3560 (CAB-SFP-50CM=) fournit une connexion Gigabit Ethernet point à point à faible coût entre des commutateurs de la gamme Catalyst 3560. Le câble de 50 centimètres (cm) est une alternative à l'utilisation d'émetteurs-récepteurs SFP lors de l'interconnexion de commutateurs de la gamme Catalyst 3560 via leurs ports SFP sur une courte distance. Tous les commutateurs de la gamme Cisco Catalyst 3560 prennent en charge le câble d'interconnexion SFP.

    Quand un commutateur Catalyst 3560 est connecté à un commutateur Catalyst 3750 ou à tout autre type de modèle de commutateur Catalyst, vous ne pouvez pas utiliser le câble CAB-SFP-50CM=. Vous pouvez connecter les deux commutateurs en utilisant un câble cuivre avec SFP (GLC-T) sur les deux périphériques au lieu d'un câble CAB-SFP-50CM=.

  • Violation de la sécurité 802.1X

    DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, 
    New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode
    %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in 
    err-disable state

    Ce message indique que le port sur l'interface spécifiée est configuré en mode hôte simple. Tout nouvel hôte qui est détecté sur l'interface est traité comme une violation de la sécurité. Le port a été désactivé pour erreur.

    Assurez-vous qu'un seul hôte est connecté au port. Si vous devez vous connecter à un téléphone IP et à un hôte derrière lui, configurez le mode Multidomain Authentication sur ce port de commutateur.

    Le mode Multidomain Authentication (MDA) permet à un téléphone IP et à un hôte unique derrière le téléphone IP d'être authentifié indépendamment, avec 802.1X, le bypass d'authentification MAC (MAB) ou (pour l'hôte seulement) l'authentification basée sur le Web. Dans cette application, Multidomain se réfère à deux domaines — des données et Voix — et on permet seulement deux adresses MAC par port. Le commutateur peut placer l'hôte dans le VLAN données et le téléphone IP dans le VLAN voix, bien qu'ils semblent être sur le même port de commutateur. L'affectation du VLAN données peut être obtenue à partir des attributs spécifiques au constructeur (VSA) reçus du serveur AAA dans l'authentification.

    Pour plus d'informations, référez-vous à la section Mode Multidomain Authentication de Configuration de l'authentification basée sur le port 802.1X.

Réactiver les ports errdisabled

Une fois le problème racine corrigé, les ports sont encore désactivés si vous n'avez pas configuré errdisable recovery sur le commutateur. Dans ce cas, vous devez réactiver les ports manuellement. Émettez la commande shutdown puis la commande de mode interface no shutdown sur l'interface associée afin de réactiver manuellement les ports.

La commande errdisable recovery vous permet de choisir le type d'erreurs qui réactivent automatiquement les ports après un délai spécifié. La commande show errdisable recovery montre l'état errdisable recovery par défaut pour toutes les conditions possibles.

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Disabled
bpduguard            Disabled
security-violatio    Disabled
channel-misconfig    Disabled
pagp-flap            Disabled
dtp-flap             Disabled
link-flap            Disabled
l2ptguard            Disabled
psecure-violation    Disabled
gbic-invalid         Disabled
dhcp-rate-limit      Disabled
mac-limit            Disabled
unicast-flood        Disabled
arp-inspection       Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Remarque: L'intervalle de délai d'attente est de 300 secondes et, par défaut, la fonctionnalité de délai d'attente est désactivée.

Pour activer errdisable recovery et choisir les conditions errdisable, émettez la commande suivante :

cat6knative#errdisable recovery cause ?
  all                 Enable timer to recover from all causes
  arp-inspection      Enable timer to recover from arp inspection error disable
                      state
  bpduguard           Enable timer to recover from BPDU Guard error disable
                      state
  channel-misconfig   Enable timer to recover from channel misconfig disable
                      state
  dhcp-rate-limit     Enable timer to recover from dhcp-rate-limit error
                      disable state
  dtp-flap            Enable timer to recover from dtp-flap error disable state
  gbic-invalid        Enable timer to recover from invalid GBIC error disable
                      state
  l2ptguard           Enable timer to recover from l2protocol-tunnel error
                      disable state
  link-flap           Enable timer to recover from link-flap error disable
                      state
  mac-limit           Enable timer to recover from mac limit disable state
  pagp-flap           Enable timer to recover from pagp-flap error disable
                      state
  psecure-violation   Enable timer to recover from psecure violation disable
                      state
  security-violation  Enable timer to recover from 802.1x violation disable
                      state
  udld                Enable timer to recover from udld error disable state
  unicast-flood       Enable timer to recover from unicast flood disable state

Cet exemple montre comment activer la condition errdisable recovery de la protection des BPDU :

cat6knative(Config)#errdisable recovery cause bpduguard

Une fonctionnalité intéressante de cette commande est que, si vous activez errdisable recovery, la commande répertorie les raisons générales pour lesquelles les ports ont été mis dans l'état errdisable. Dans cet exemple, notez que la fonctionnalité de protection des BPDU était la raison de l'arrêt du port 2/4 :

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Disabled
bpduguard            Enabled
security-violatio    Disabled
channel-misconfig    Disabled
pagp-flap            Disabled
dtp-flap             Disabled
link-flap            Disabled
l2ptguard            Disabled
psecure-violation    Disabled
gbic-invalid         Disabled
dhcp-rate-limit      Disabled
mac-limit            Disabled
unicast-flood        Disabled
arp-inspection       Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          290

Si l'une des conditions d'errdisable recovery est activée, les ports avec cette condition sont réactivés après 300 secondes. Vous pouvez également changer cette valeur par défaut de 300 secondes si vous émettez la commande suivante :

cat6knative(Config)#errdisable recovery interval timer_interval_in_seconds

Cet exemple modifie le délai d'errdisable recovery de 300 à 400 secondes :

cat6knative(Config)#errdisable recovery interval 400

Vérifiez

  • show version — Affiche la version du logiciel qui est utilisé sur le commutateur.

  • affichez l'état d'interface_number d'interface d'interfaces — Affiche l'état actuel du port de commutateur.

  • show errdisable detect — Affiche les configurations actuelles de la caractéristique errdisable de délai d'attente et, si les ports l'uns des sont actuellement erreur désactivée, de la raison pour laquelle ils sont erreur désactivée.

Dépannez

  • errer-handicapés de show interfaces status — Affiche quels ports locaux sont impliqués dans l'état errdisabled.

  • résumé de show etherchannel — Affiche l'état actuel de l'EtherChannel.

  • show errdisable recovery — Affiche le délai prévu après quoi les interfaces sont activés pour des conditions errdisable.

  • show errdisable detect — Affiche la raison pour l'état errdisable.

Pour plus d'informations sur de dépannage des problèmes de ports de commutateur, référez-vous à Dépannage des problèmes liés au port de commutateur et à l'interface.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 69980