LAN スイッチング : スパニング ツリー プロトコル

Cisco IOS プラットフォームでの errdisable ポート状態からの復旧

2009 年 5 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 4 月 17 日) | フィードバック

目次


概要

このドキュメントでは、errdisabled 状態とは何かを説明し、さらに errdisable 状態からの復旧方法と復旧例を説明しています。このドキュメントでは、errdisable とエラー ディセーブルという語を同じ意味で使用しています。スイッチで 1 つ以上のポートがエラー ディセーブル状態になる、つまり、ポートが errdisabled 状態になった場合、多くのお客様からの問い合せが Cisco テクニカルサポートに寄せられます。お客様からは、エラー ディセーブル状態がなぜ発生したのか、どのようにすればポートを正常な状態に復元できるのかという質問を受けます。

注:弊社とのサポート契約がないお客様は、製品をご購入いただきました販売店経由でお問い合わせください。

注:show interfaces interface_number status コマンドの出力には、このポートの状態は err-disabled と表示されます。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの例を作成するには、ラボ環境において 2 台の Cisco Catalyst 4500/6500 シリーズのスイッチ(または同等製品)を、クリアな(デフォルト)設定で使用する必要があります。スイッチでは Cisco IOS(R) ソフトウェアが稼働している必要があり、各スイッチに EtherChannel と PortFast をサポートするファスト イーサネット ポートが 2 つ必要です。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

errdisable を使用するプラットフォーム

次の Catalyst スイッチでは、errdisable 機能がサポートされています。

  • Cisco IOS ソフトウェアが稼働する Catalyst スイッチ

    • 2900XL/3500XL

    • 2940 / 2950 / 2960 / 2970

    • 3550/3560/3560-E/3750/3750-E

    • 4000 / 4500

    • 6000 / 6500

  • Catalyst OS(CatOS)ソフトウェアが稼働する Catalyst スイッチ

    • 2948G

    • 4500 / 4000

    • 5500 / 5000

    • 6500 / 6000

errdisable の実装方法は、ソフトウェア プラットフォームによって異なります。このドキュメントでは、特に Cisco IOS ソフトウェアが稼働するスイッチの errdisable について説明しています。



errdisable

errdisable の機能

ポートがイネーブルに設定されていても、スイッチのソフトウェアがポートのエラー状態を検出した場合は、ソフトウェアがそのポートをシャットダウンします。つまり、ポートでエラー状態が発生することにより、スイッチのオペレーティング システム ソフトウェアが自動的にポートをディセーブルにします。

ポートがエラー ディセーブルになると、事実上シャットダウンされて、そのポートではトラフィックの送信または受信が行われなくなります。ポートの LED がオレンジ色になり、show interfaces コマンドを発行すると、err-disabled というポート状態が表示されます。スイッチの Command-Line Interface(CLI; コマンドライン インターフェイス)で、エラーディセーブルのポートがどのように表示されるかについての例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 

Port    Name       Status       Vlan       Duplex  Speed Type
Gi4/1              err-disabled 100          full   1000 1000BaseSX

または、エラー状態のためにインターフェイスがディセーブルになっている場合は、コンソールと syslog の両方に次のようなメッセージが表示されます。

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

ホスト ポートが Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信すると、この例のようなメッセージが表示されます。実際のメッセージは、エラー状態となる理由によって異なります。

エラー ディセーブル機能は、次の 2 つの目的を果たします。

  • ポートの問題がいつどこで発生しているかを管理者に知らせます。

  • モジュール上の他のポート(またはモジュール全体)が、このポートが原因で故障する可能性を軽減します。

    バッファが不良ポートによって占有されたり、カード上のプロセス間通信がポートのエラー メッセージによって占有されたりすると、そのような障害が発生し、結果的に重大なネットワークの問題を引き起こす場合があります。エラー ディセーブル機能は、そのような状況を防止するのに役立ちます。



errdisable の原因

この機能が最初に実装されたのは、スイッチの 1 つのポートで過剰コリジョンやレイト コリジョンが検出されるような、特殊なコリジョン状態を処理するためでした。連続 16 回のコリジョンがスイッチで発生し、フレームが廃棄されると、過剰コリジョンが発生します。レイト コリジョンは、回線上のすべてのデバイスで、回線が使用中であると認識されることによって、発生します。一般的に、これらのエラーの原因には、次のようなものがあります。

  • 仕様に従っていないケーブル(長すぎる、タイプが間違っている、または不良)

  • Network Interface Card(NIC; ネットワーク インターフェイス カード)の不良(物理的な問題またはドライバの問題)

  • ポートのデュプレックスの設定ミス

    ポートのデュプレックスの設定ミスは、直接接続された 2 つのデバイス(たとえばスイッチに接続された NIC など)の間で速度とデュプレックスが正しくネゴシエートされないため、一般的なエラーの原因の一つに挙げられます。LAN 上でコリジョンが発生するのは半二重接続の場合だけです。Carrier Sense Multiple Access(CSMA; キャリア検知多重アクセス)がイーサネットでは採用されているので、コリジョンがトラフィックに占める割合が小さければ、半二重でコリジョンが発生するのは正常です。

インターフェイスが errdisable 状態になる理由はさまざまです。次のような理由が考えられます。

  • デュプレックスのミスマッチ

  • ポート チャネルの設定ミス

  • BPDU ガード違反

  • UniDirectional Link Detection(UDLD; 単方向リンク検出)条件

  • レイト コリジョンの検出

  • リンクフラップの検出

  • セキュリティ違反

  • Port Aggregation Protocol(PAgP; ポート集約プロトコル)のフラップ

  • レイヤ 2 トンネリング プロトコル(L2TP)ガード

  • DHCP スヌーピングのレート制限

  • 不適切な GBIC/Small Form Factor Pluggable(SFP; 着脱可能小型フォーム ファクタ)モジュールまたはケーブル

  • Address Resolution Protocol(ARP; アドレス解決プロトコル)検査

  • インライン パワー

注:エラーディセーブル検出は、これらすべての原因に対してデフォルトでイネーブルになっています。エラーディセーブル検出をディセーブルにするには、no errdisable detect cause コマンドを使用します。show errdisable detect コマンドによって、エラーディセーブル検出の状況が表示されます。



ポートが errdisabled 状態かどうか判断する

show interfaces コマンドを発行すれば、ポートがエラー ディセーブルになっているかどうかを判断できます。

アクティブなポートの例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 

!--- コマンドの詳細は、『show interfaces status』を参照してください。

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      Connected    100          full   1000 1000BaseSX

同じポートがエラー ディセーブル状態になった場合の例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 

!--- コマンドの詳細は、『show interfaces status』を参照してください。

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

注:ポートがエラー ディセーブルになると、前面パネルにあるそのポートの LED が消灯します。



errdisabled 状態の理由を判断する(コンソール メッセージ、Syslog および show errdisable recovery コマンド)

スイッチは、ポートをエラー ディセーブル状態にすると、ポートをディセーブルにした理由を説明するメッセージをコンソールに送信します。このセクションの例では、ポートをディセーブルにした理由を示す 2 つのサンプル メッセージを示します。

  • 1 つめのディセーブルは、PortFast BPDU ガード機能によるものです。

  • もう 1 つのディセーブルは、EtherChannel の設定の問題によるものです。

注:show log コマンドを発行すれば、syslog にあるこれらのメッセージを表示することもできます。

次にサンプル メッセージを示します。

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

 %SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1

errdisable recovery をイネーブルにしてある場合は、show errdisable recovery コマンドを発行すると、errdisable 状態の理由を特定できます。次に例を示します。

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Enabled
bpduguard            Enabled
security-violatio    Enabled
channel-misconfig    Enabled
pagp-flap            Enabled
dtp-flap             Enabled
link-flap            Enabled
l2ptguard            Enabled
psecure-violation    Enabled
gbic-invalid         Enabled
dhcp-rate-limit      Enabled
mac-limit            Enabled
unicast-flood        Enabled
arp-inspection       Enabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          273


errdisabled 状態からのポートの復旧

このセクションでは、エラーディセーブルのポートがどのように発生し、修正できるかについての例を紹介しており、さらに、ポートがエラー ディセーブルになる理由を補足して説明しています。errdisable 状態からポートを復旧するためには、まず根本的な問題を特定して修正し、次にポートを再びイネーブルにします。根本的な問題を修正する前にポートを再びイネーブルにすると、ポートは再びエラー ディセーブル状態になります。

根本的な問題の修正

ポートがディセーブルになった原因を発見した後、その根本的な問題を修正します。問題の契機となった原因によって、修正方法は異なります。シャットダウンの契機となる原因はたくさんあります。このセクションでは、最も顕著で一般的な原因について次のように説明しています。

  • EtherChannel の設定ミス

    EtherChannel が正しく動作するためには、関係するポートの設定が一致している必要があります。VLAN、トランク モード、速度、デュプレックスなどの設定が、ポート間で一致している必要があります。スイッチ内で一致しない設定のほとんどは、チャネルの作成時に検出されてレポートされます。1 つのスイッチが EtherChannel 用に設定されていて、もう 1 つのスイッチが EtherChannel 用に設定されていない場合は、EtherChannel 用に設定されている側のチャネルに使用されているポートをスパニング ツリー プロセスがシャットダウンできます。EtherChannel の on モードでは、チャネリングを行う前に、ネゴシエートするための PAgP パケットを相手側に送信しません。単に相手側もチャネリング中であると仮定します。さらに、この例では、相手側のスイッチの EtherChannel がオンになっておらず、これらのポートはチャネリングされていない個々のポートのままになっています。相手側のスイッチをこの状態で 1 分間ほどそのままにしておくと、EtherChannel がオンになっているスイッチの Spanning Tree Protocol(STP; スパニング ツリー プロトコル)はループが存在すると認識します。このため、チャネリング ポートが errdisabled 状態になります。

    この例では、ループが検出されて、ポートがディセーブルになりました。show etherchannel summary コマンドの出力では、Number of channel-groups in use0 と表示されています。次のように、関係するポートの 1 つを見ると、err-disabled という状態が表示されています。

    %SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration 
    of Gi4/1
    
    
    cat6knative#show etherchannel summary
    
    !--- コマンドの詳細は、『show etherchannel』を参照してください。
    
    Flags:  D - down        P - in port-channel
            I - stand-alone s - suspended
            H - Hot-standby (LACP only)
            R - Layer3      S - Layer2
            U - in use      f - failed to allocate aggregator
    
            u - unsuitable for bundling
    Number of channel-groups in use: 0
    Number of aggregators:           0
    
    Group  Port-channel  Protocol    Ports
    ------+-------------+-----------+-----------------------------------------------
    

    このスイッチのポートが errdisable になったので、EtherChannel は切断されました。

    cat6knative#show interfaces gigabitethernet 4/1 status
    
    Port    Name               Status       Vlan       Duplex  Speed Type
    Gi4/1                      err-disabled 100          full   1000 1000BaseSX
    

    何が問題だったのかを判別するために、エラー メッセージを参照してください。メッセージは、EtherChannel でスパニング ツリー ループが発生したことを示しています。このセクションで説明しているように、EtherChannel が 1 つのデバイス(この場合はスイッチ)では(desirable モードではなく)on モードを使用して手動でオンになっており、接続されているもう 1 つのデバイス(この場合は相手側のスイッチ)では EtherChannel がまったくオンになっていない場合に、この問題が発生する可能性があります。この状態を修正する 1 つの方法は、接続の両側のチャネル モードを desirable に設定してから、ポートを再びイネーブルにする方法です。そうすれば、両方がチャネリングに同意した場合にだけ、それぞれの側にチャネルを形成します。チャネリングに同意しない場合は、通常のポートとして両側とも機能し続けます。

    cat6knative(config-terminal)#interface gigabitethernet 4/1
    cat6knative(config-if)#channel-group 3 mode desirable non-silent
    
  • デュプレックスのミスマッチ

    デュプレックスのミスマッチがあると、速度とデュプレックスを正しく自動ネゴシエートできないので、エラーの原因になることがよくあります。同じ LAN セグメント上で他のデバイスが送信しなくなるまで待つ必要がある半二重方式のデバイスとは異なり、全二重方式のデバイスは、送信するデータがデバイスにあるときにはいつでも他のデバイスに関係なく送信します。半二重方式のデバイスの送信中にこのような送信が発生すると、半二重方式のデバイスは、その状態をコリジョン(スロット タイム内の場合)またはレイト コリジョン(スロット タイム後の場合)と見なします。全二重方式のデバイス側ではコリジョンの発生が想定されていないため、廃棄されたパケットの再送信が必要であるとは認識されません。比率の低いコリジョンは、半二重では正常ですが、全二重では正常ではありません。多くのレイト コリジョンを受信するスイッチ ポートがあれば、通常はデュプレックスのミスマッチの問題が発生していると考えられます。ケーブルの両側のポートで同じ速度とデュプレックスが設定されていることを確認してください。show interfaces interface_number コマンドを使用すれば、Catalyst スイッチのポートの速度とデュプレックスを表示できます。Cisco Discovery Protocol(CDP; Cisco 検出プロトコル)の最近のバージョンでは、ポートがエラー ディセーブル状態になる前に、デュプレックスのミスマッチに関する警告を通知できます。

    さらに、自動極性切り替え機能などの NIC の設定が、問題の原因となる場合があります。それらの設定が疑われる場合は、設定をオフにします。あるベンダー製の NIC が複数あり、それらの NIC すべてで同じ問題が発生する場合は、製造元の Web サイトでリリース ノートを調べて、最新のドライバが使用されているかどうかを確認してください。

    レイト コリジョンには、他にも次のような原因があります。

    • NIC の不良(設定の問題だけでなく、物理的問題がある場合)

    • ケーブルの不良

    • ケーブル セグメントが長すぎる

  • BPDU ポート ガード

    PortFast を使用するポートは、スイッチなどのスパニング ツリー BPDU を生成するデバイスやブリッジングを行うブリッジやルータではなく、端末(ワークステーションやサーバなど)のみに接続する必要があります。スパニング ツリー PortFast が設定されているポートでスイッチがスパニング ツリー BPDU を受信し、スパニング ツリー BPDU ガードがイネーブルになっている場合は、ループが発生しないようにするために、スイッチがそのポートを errdisabled 状態にします。PortFast では、スイッチのポートは物理的なループを生成できないものと仮定されています。したがって、PortFast では、そのポートの最初のスパニング ツリーのチェックをスキップして、起動時に端末でタイムアウトが発生することを防ぎます。ネットワーク管理者は、PortFast を注意深く実装する必要があります。PortFast がイネーブルになっているポートでは、LAN をループのない状態に保つための BPDU ガードが役立ちます。

    次の例は、この機能をオンにする方法を示しています。次の例が選択されたのは、この場合にエラーディセーブル状態が発生しやすいからです。

    cat6knative(config-if)#spanning-tree bpduguard enable
    
    !--- コマンドの詳細は、『spanning-tree bpduguard』を参照してください。
    
    

    この例では、Catalyst 6509 スイッチが別のスイッチ(6509)に接続されています。6500 からは 2 秒ごとに BPDU が送信されます(デフォルトのスパニング ツリー設定を使用)。6509 のスイッチ ポートで PortFast をイネーブルにすると、このポートに着信する BPDU が BPDU ガード機能によって監視されます。ポートに BPDU が着信する、つまり、エンド デバイスではないデバイスがそのポートで検出されると、スパニング ツリー ループが発生する可能性を防ぐために、BPDU ガード機能はそのポートをエラーディセーブル状態にします。

    cat6knative(config-if)#spanning-tree portfast enable
    
    !--- このコマンドの詳細は、 
    !--- 『spanning-tree portfast(インターフェイス設定モード)』を参照してください。
    
    
    Warning: Spantree port fast start should only be enabled on ports connected
    to a single host.  Connecting hubs, concentrators, switches, bridges, etc. to
    a fast start port can cause temporary spanning tree loops.
    
    %PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in 
    err-disable state.
    

    このメッセージは、PortFast がイネーブルになっているポートで BPDU が受信されたことを示し、スイッチはポート Gi4/1 をシャットダウンしています。

    cat6knative#show interfaces gigabitethernet 4/1 status
    
    Port    Name               Status       Vlan       Duplex  Speed Type
    Gi4/1                      err-disabled 100          full   1000 1000BaseSX
    

    このポートは不適切な接続がされているため、PortFast 機能をオフにする必要があります。ポートの接続が不適切な理由は、PortFast 機能がイネーブルになっているのにスイッチが別のスイッチに接続されているからです。PortFast を使用できるのは、端末に接続されているポートだけであることに注意してください。

    cat6knative(config-if)#spanning-tree portfast disable
    
  • UDLD

    UDLD プロトコルは、光ファイバまたは銅のイーサネット ケーブル(カテゴリ 5 のケーブルなど)を使用して接続されるデバイスにおいて、ケーブルの物理的な設定を監視して単方向リンクの存在を検出します。単方向リンクが検出されると、UDLD は影響があるポートをシャットダウンして、ユーザにアラートを通知します。単方向リンクは、スパニング ツリー トポロジのループなどの、さまざまな問題の原因となる可能性があります。

    注:UDLD は、隣接デバイス間でプロトコル パケットを交換することによって動作しています。リンク上の両方のデバイスで UDLD がサポートされており、それぞれのポートでイネーブルになっている必要があります。リンクの 1 つのポートだけで UDLD がイネーブルになっている場合は、UDLD が設定されている側も errdisable 状態になる可能性があります。

    UDLD が設定されている各スイッチ ポートでは、そのポートのデバイス ID(またはポート ID)およびそのポートの UDLD で認識された隣接デバイス(またはポート ID)が格納された UDLD プロトコル パケットが送信されます。隣接ポートでは、もう一方の側から受信したパケットに、自分のデバイス ID またはポート ID(エコー)が認識される必要があります。着信 UDLD パケットで、自分のデバイス ID またはポート ID を特定の期間認識できないと、リンクは単方向とみなされます。そのため、対応するポートがディセーブルになって、次のようなメッセージがコンソールに表示されます。

    PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in 
    err-disable state.
    

    UDLD の動作、設定およびコマンドについての詳細は、ドキュメント『単方向リンク検出(UDLD)の設定』を参照してください。

  • リンクフラップ エラー

    リンクフラップとは、インターフェイスが継続的にアップ状態とダウン状態を繰り返すことです。10 秒間に 5 回以上フラップすると、インターフェイスは errdisabled 状態になります。リンク フラップの一般的な原因は、ケーブルの不良、デュプレックスのミスマッチ、Gigabit Interface Converter(GBIC; ギガビット インターフェイス コンバータ)カードの不良などのレイヤ 1 の問題です。ポートがシャットダウンされた理由を示すコンソール メッセージまたは syslog サーバに送信されたメッセージを参照してください。

    %PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/
    1 in err-disable state
    

    フラップの値を表示するには、次のコマンドを発行します。

    cat6knative#show errdisable flap-values
    
    !--- コマンドの詳細は、『show errdisable flap-values』を参照してください。
    
    ErrDisable Reason    Flaps    Time (sec)
    -----------------    ------   ----------
    pagp-flap              3       30
    dtp-flap               3       30
    link-flap              5       10
    
  • ループバック エラー

    キープアライブを送信したポートにキープアライブ パケットがループバックされると、ループバック エラーが発生します。デフォルトでは、すべてのインターフェイスに対して、スイッチはキープアライブを送信します。ネットワークにはスパニング ツリーでブロックされていない論理ループが存在するので、通常は、デバイスが自分の発信元インターフェイスにパケットをループバックできます。自分が送出したキープアライブ パケットを発信元インターフェイスが受信すると、スイッチによってそのインターフェイスがディセーブル(errdisable)にされます。次のメッセージは、キープアライブ パケットが、そのキープアライブを送信したポートにループバックされることが原因で発生します。

    %PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in
    err-disable state
    

    Cisco IOS ソフトウェア リリース 12.1EA ベースのソフトウェアでは、デフォルトですべてのインターフェイスにキープアライブが送信されます。Cisco IOS ソフトウェア リリース 12.2SE ベースのソフトウェア以降では、デフォルトではキープアライブがファイバおよびアップリンクのインターフェイスには送信されません。詳細は、Cisco bug ID CSCea46385 登録ユーザ専用)を参照してください。
    一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

    回避策としては、キープアライブをディセーブルにして、Cisco IOS ソフトウェア リリース 12.2SE 以降にアップグレードすることを推奨いたします。

  • ポートのセキュリティ違反

    動的に学習された MAC アドレスおよび静的 MAC アドレスを使用したポートのセキュリティを使用して、ポートの入トラフィックを制限できます。トラフィックを制限するために、ポートにトラフィックを送信できる MAC アドレスを制限できます。セキュリティ違反が発生した場合にスイッチのポートをエラー ディセーブルに設定するには、次のコマンドを発行します。

    cat6knative(config-if)#switchport port-security violation shutdown
    

    次の 2 つの場合にセキュリティ違反が発生します。

    • セキュア ポート上のセキュアな MAC アドレスの最大数に達しており、入トラフィックの発信元 MAC アドレスが指定されているいずれのセキュアな MAC アドレスとも異なる場合

      この場合は、ポートのセキュリティによって設定された違反モードが適用されます。

    • 1 つのセキュア ポート上で設定または学習されたセキュア MAC アドレスを持つトラフィックが、同じ VLAN 上の別のセキュア ポートにアクセスしようとした場合

      この場合は、ポートのセキュリティによってシャットダウン違反モードが適用されます。

    ポートのセキュリティについての詳細は、『ポートのセキュリティの設定』を参照してください。

  • L2pt ガード

    レイヤ 2 PDU がトンネルまたは着信エッジ スイッチ上のアクセス ポートに到達すると、スイッチでは、カスタマー PDU 宛先 MAC アドレスが、周知の Cisco 固有のマルチキャスト アドレス(01-00-0c-cd-cd-d0)で上書きされます。802.1Q トンネリングがイネーブルになっていると、パケットにはタグが二重に付きます。外側のタグはカスタマーのメトロ タグであり、内側のタグはカスタマーの VLAN タグです。コア スイッチでは内側のタグが無視され、同じメトロ VLAN のすべてのトランク ポートにパケットが転送されます。発信側のエッジ スイッチでは、適切なレイヤ 2 プロトコル情報および MAC アドレス情報が復元され、同じメトロ VLAN のすべてのトンネル ポートかアクセス ポートにパケットが転送されます。このため、レイヤ 2 PDU はそのまま残り、サービス プロバイダー インフラストラクチャを介してカスタマー ネットワークの反対側に配信されます。

    Switch(config)#interface gigabitethernet 0/7
    l2protocol-tunnel {cdp | vtp | stp}
    

    インターフェイスは errdisabled 状態になります。独自の宛先 MAC アドレスでカプセル化された PDU が、レイヤ 2 トンネリングがイネーブルになっているトンネル ポートまたはアクセス ポートから受信される場合、そのトンネル ポートは、ループを防止するためにシャットダウンされます。このポートは、プロトコル用に設定されたシャットダウンしきい値に達した場合にもシャットダウンされます。shutdown コマンドに続けて no shutdown コマンドを入力すると、ポートを再び手動でイネーブルにできます。errdisable recovery がイネーブルになっていると、指定された間隔で動作が再試行されます。

    インターフェイスは、コマンド errdisable recovery cause l2ptguard を使用して、ポートを再びイネーブルにすることで errdisable 状態から回復できます。このコマンドは、インターフェイスを再びイネーブルにして再試行できるようにするために、レイヤ 2 最大レート エラーからの回復メカニズムを設定するために使用されます。間隔を設定することもできます。errdisable recovery はデフォルトでディセーブルになっています。イネーブルにした場合、デフォルトの間隔は 300 秒です。

  • 不適切な SFP ケーブル

    SFP 相互接続ケーブルを使用して Catalyst 3560 と Catalyst 3750 スイッチを接続すると、%PHY-4-SFP_NOT_SUPPORTED エラー メッセージが表示されてポートが errdisable 状態になります。

    Cisco Catalyst 3560 SFP 相互接続ケーブル(CAB-SFP-50CM=)により、Catalyst 3560 シリーズ間に低コストでポイントツーポイントのギガビット イーサネット接続が提供されます。短距離で SFP ポートを介して Catalyst 3560 シリーズ スイッチへ相互接続する場合の SFP トランシーバの使用に対する代替に、この 50 cm のケーブルを使用します。SFP 相互接続ケーブルは、すべての Cisco Catalyst 3560 シリーズ スイッチでサポートされています。

    Catalyst 3560 スイッチが Catalyst 3750 や他のタイプの Catalyst スイッチに接続される場合には、CAB-SFP-50CM= ケーブルは使用できません。どちらのスイッチも、CAB-SFP-50CM= ケーブルではなく、両方のデバイス上で、SFP(GLC-T)とともに銅ケーブルを使用して接続できます。

  • 802.1X セキュリティ違反

    DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, 
    New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode
    %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in 
    err-disable state
    

    このメッセージは、特定のインターフェイス上のポートが単一ホスト モードで設定されていることを示しています。インターフェイス上で検出される新規のホストはセキュリティ違反として扱われます。ポートはエラー ディセーブル状態になっています。

    ポートに 1 つのホストしか接続されていないことを確認します。IP 電話とその背後のホストに接続する必要がある場合は、スイッチポート上で、マルチドメイン認証モードを設定します。

    Multidomain Authentication(MDA; マルチドメイン認証)モードを使用すると、802.1X、MAC authentication bypass(MAB)、または Web ベース認証(ホスト用のみ)を使用して、IP 電話と IP 電話の背後の単一のホストでそれぞれ独立して認証を実行できるようになります。このアプリケーションでは、マルチドメインによって 2 つのドメイン(データと音声)が参照され、ポートあたり 2 つの MAC アドレスだけが許可されます。スイッチではホストをデータ VLAN に、IP 電話を音声 VLAN に配置することができますが、これらは同じスイッチ ポート上にあるように見えます。データ VLAN 割り当ては、認証中に AAA サーバから受信された VSA(vendor-specific attribute; ベンダー固有属性)から取得することができます。

    詳細は、『802.1X ポートベース認証の設定』の「マルチドメイン認証モード」セクションを参照してください。



errdisabled 状態のポートの再イネーブル

根本的な問題を修正しても、errdisable recovery をスイッチに設定していない場合は、ポートはディセーブルのままになります。この場合は、ポートを手動で再びイネーブルにする必要があります。ポートを手動でイネーブルにするには、関連するインターフェイスで、shutdown コマンドを発行してから no shutdown インターフェイス モード コマンドを発行します。

errdisable recovery コマンドでは、指定した時間が経過した後に、ポートを自動的に再イネーブルするエラーの種類を選択できます。show errdisable recovery コマンドでは、発生する可能性があるすべての状況に対する、エラーディセーブルのデフォルトの復旧状態が表示されます。

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Disabled
bpduguard            Disabled
security-violatio    Disabled
channel-misconfig    Disabled
pagp-flap            Disabled
dtp-flap             Disabled
link-flap            Disabled
l2ptguard            Disabled
psecure-violation    Disabled
gbic-invalid         Disabled
dhcp-rate-limit      Disabled
mac-limit            Disabled
unicast-flood        Disabled
arp-inspection       Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

注:デフォルトでは、タイムアウト間隔は 300 秒に設定されており、タイムアウト機能はディセーブルになっています。

errdisable recovery をオンにするためには、errdisable 条件を選択して、次のコマンドを発行します。

cat6knative#errdisable recovery cause ?
  all                 Enable timer to recover from all causes
  arp-inspection      Enable timer to recover from arp inspection error disable
                      state
  bpduguard           Enable timer to recover from BPDU Guard error disable
                      state
  channel-misconfig   Enable timer to recover from channel misconfig disable
                      state
  dhcp-rate-limit     Enable timer to recover from dhcp-rate-limit error
                      disable state
  dtp-flap            Enable timer to recover from dtp-flap error disable state
  gbic-invalid        Enable timer to recover from invalid GBIC error disable
                      state
  l2ptguard           Enable timer to recover from l2protocol-tunnel error
                      disable state
  link-flap           Enable timer to recover from link-flap error disable
                      state
  mac-limit           Enable timer to recover from mac limit disable state
  pagp-flap           Enable timer to recover from pagp-flap error disable
                      state
  psecure-violation   Enable timer to recover from psecure violation disable
                      state
  security-violation  Enable timer to recover from 802.1x violation disable
                      state
  udld                Enable timer to recover from udld error disable state
  unicast-flood       Enable timer to recover from unicast flood disable state

次の例は、BPDU ガードの errdisable 復旧条件をイネーブルにする方法を示しています。

cat6knative(Config)#errdisable recovery cause bpduguard

このコマンドの優れた機能の 1 つは、errdisable recovery をイネーブルにしている場合に、ポートがエラーディセーブル状態になった一般的な理由が表示されることです。次の例では、ポート 2/4 がシャットダウンされた理由が BPDU ガード機能だったことに注目してください。

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Disabled
bpduguard            Enabled
security-violatio    Disabled
channel-misconfig    Disabled
pagp-flap            Disabled
dtp-flap             Disabled
link-flap            Disabled
l2ptguard            Disabled
psecure-violation    Disabled
gbic-invalid         Disabled
dhcp-rate-limit      Disabled
mac-limit            Disabled
unicast-flood        Disabled
arp-inspection       Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          290

errdisable recovery のいずれかの条件がイネーブルになっている場合は、この条件を満たすポートが 300 秒後に再びイネーブルになります。次のコマンドを発行すれば、この 300 秒というデフォルトも変更できます。

cat6knative(Config)#errdisable recovery interval timer_interval_in_seconds

この例では、errdisable recovery の間隔が 300 秒から 400 秒に変更されています。

cat6knative(Config)#errdisable recovery interval 400


確認

  • show version:スイッチで使用されているソフトウェアのバージョンが表示されます。

  • show interfaces interface interface_number status:スイッチのポートの現在のステータスが表示されます。

  • show errdisable detect:errdisable タイムアウト機能の現在の設定が表示されます。いずれかのポートが現在エラー ディセーブルになっている場合は、エラー ディセーブルになった理由も表示されます。



トラブルシューティング

  • show interfaces status err-disabled:どのローカル ポートが errdisabled 状態になっているかが表示されます。

  • show etherchannel summary:EtherChannel の現在のステータスが表示されます。

  • show errdisable recovery:errdisable 状態の場合にインターフェイスがイネーブルになるまでの時間が表示されます。

  • show errdisable detect:errdisable ステータスになった理由が表示されます。

スイッチ ポートの問題のトラブルシューティングについての詳細は、『トラブルシューティング:スイッチ ポートおよびインターフェイスの問題』を参照してください。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 69980