Cisco IOSプラットフォームでのerrdisableポート状態の回復

概要

このドキュメントでは、errdisabled状態とその回復方法について説明し、errdisable回復例を示します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの例を作成するには、ラボ環境で、デフォルト設定の2台のCisco Catalyst 4500/6500シリーズスイッチ（または同等のスイッチ）が必要です。スイッチではCisco IOS^®ソフトウェアが稼働している必要があり、各スイッチにはEtherChannelとPortFastが可能な2つのファストイーサネットポートが必要です。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントでは、errdisable とエラー ディセーブルという語を同じ意味で使用しています。スイッチで 1 つ以上のポートがエラー ディセーブル状態になる、つまり、ポートが errdisabled 状態になった場合、多くのお客様からの問い合せが Cisco テクニカルサポートに寄せられます。お客様からは、エラー ディセーブル状態がなぜ発生したのか、どのようにすればポートを正常な状態に復元できるのかという質問を受けます。

errdisable を使用するプラットフォーム

次の Catalyst スイッチでは、errdisable 機能がサポートされています。

• Cisco IOS ソフトウェアが稼働する Catalyst スイッチ

  • 2900XL/3500XL

  • 2940/2950/2960/2970

  • 3550/3560/3560-E/3750/3750-E

  • 3650 / 3850

  • 4500/4503/4506/4507/4510/4500-X

  • 6500/6503/6504/6506/6509

  • 9200/9300/9400/9500

errdisable の実装方法は、ソフトウェア プラットフォームによって異なります。このドキュメントでは、特に Cisco IOS ソフトウェアが稼動するスイッチの errdisable について説明します。

『Cisco IOS

errdisable の機能

ポートがイネーブルに設定されていても、スイッチのソフトウェアがポートのエラー状態を検出した場合は、ソフトウェアがそのポートをシャットダウンします。つまり、ポートでエラー状態が発生することにより、スイッチのオペレーティング システム ソフトウェアが自動的にポートをディセーブルにします。

ポートがエラー ディセーブルになると、効果的にシャットダウンされ、このポートでトラフィックの送受信は行われなくなります。ポートのLEDがオレンジ色になり、show interfacesコマンドを発行すると、ポートのステータスがerr-disabledと表示されます。スイッチの Command-Line Interface（CLI; コマンドライン インターフェイス）で、エラーディセーブルのポートがどのように表示されるかについての例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 

Port    Name       Status       Vlan       Duplex  Speed Type
Gi4/1              err-disabled 100          full   1000 1000BaseSX

または、エラー状態のためにインターフェイスがディセーブルになっている場合は、コンソールと syslog の両方に次のようなメッセージが表示されます。

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

ホスト ポートが Bridge Protocol Data Unit（BPDU; ブリッジ プロトコル データ ユニット）を受信すると、この例のようなメッセージが表示されます。実際のメッセージは、エラー状態となる理由によって異なります。

エラー ディセーブル機能は、次の 2 つの目的を果たします。

• ポートの問題がいつどこで発生しているかを管理者に知らせます。

• モジュール上の他のポート（またはモジュール全体）が、このポートが原因で故障する可能性を軽減します。

  バッファが不良ポートによって占有されたり、カード上のプロセス間通信がポートのエラー メッセージによって占有されたりすると、そのような障害が発生し、結果的に重大なネットワークの問題を引き起こす場合があります。エラー ディセーブル機能は、そのような状況を防止するのに役立ちます。

errdisable の原因

この機能が最初に実装されたのは、スイッチの 1 つのポートで過剰コリジョンやレイト コリジョンが検出されるような、特殊なコリジョン状態を処理するためでした。連続 16 回のコリジョンがスイッチで発生し、フレームが廃棄されると、過剰コリジョンが発生します。レイトコリジョンは、回線上のすべてのデバイスが回線が使用中であることを認識しなかったために発生します。一般的に、これらのエラーの原因には、次のようなものがあります。

• 仕様に従っていないケーブル（長すぎる、タイプが間違っている、または不良）

• Network Interface Card（NIC; ネットワーク インターフェイス カード）の不良（物理的な問題またはドライバの問題）

• ポートのデュプレックスの設定ミス

  ポートのデュプレックスの設定ミスは、直接接続された 2 つのデバイス（たとえばスイッチに接続された NIC など）の間で速度とデュプレックスが正しくネゴシエートされないため、一般的なエラーの原因の一つに挙げられます。LANでコリジョンが発生するのは、半二重接続だけです。Carrier Sense Multiple Access（CSMA; キャリア検知多重アクセス）がイーサネットでは採用されているので、コリジョンがトラフィックに占める割合が小さければ、半二重でコリジョンが発生するのは正常です。

インターフェイスが errdisable 状態になる理由はさまざまです。次のような理由が考えられます。

• 二重モードの不一致

• ポート チャネルの設定ミス

• BPDU Guard 違反

• UniDirectional Link Detection（UDLD; 単方向リンク検出）条件

• レイト コリジョンの検出

• リンクフラップの検出

• セキュリティ違反

• ポート集約プロトコル（PAgP）フラップ

• レイヤ 2 トンネリング プロトコル（L2TP）ガード

• DHCP スヌーピングのレート制限

• 不適切な GBIC/Small Form Factor Pluggable（SFP; 着脱可能小型フォーム ファクタ）モジュールまたはケーブル

• アドレス解決プロトコル（ARP）の検査

• インライン パワー

注：エラーディセーブル検出は、これらすべての理由により、デフォルトで有効になっています。エラーディセーブル検出を無効にするには、no errdisable detect cause コマンドを使用します。show errdisable detect コマンドによって、エラーディセーブルの検出状態が表示されます。

ポートが errdisabled 状態かどうか判断する

show interfaces コマンドを発行すれば、ポートがエラー ディセーブルになっているかどうかを判断できます。

アクティブなポートの例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 
 !--- Refer to show interfaces status for more information on the command. 
Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      Connected    100          full   1000 1000BaseSX

同じポートがエラー ディセーブル状態になった場合の例を次に示します。

cat6knative#show interfaces gigabitethernet 4/1 status 
 !--- Refer to show interfaces status for more information on the command. 
Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

注：ポートがエラーディセーブルになると、ポートに関連付けられている前面パネルのLEDがオレンジ色に設定されます。

errdisabled 状態の理由を判断する（コンソール メッセージ、Syslog、および show errdisable recovery コマンド）

スイッチは、ポートをエラー ディセーブル状態にすると、ポートをディセーブルにした理由を説明するメッセージをコンソールに送信します。このセクションの例では、ポートをディセーブルにした理由を示す 2 つのサンプル メッセージを示します。

• 1 つめのディセーブルは、PortFast BPDU ガード機能によるものです。

• もう 1 つのディセーブルは、EtherChannel の設定の問題によるものです。

注：これらのメッセージは、show logコマンドを発行してsyslogに表示することもできます。

次にサンプル メッセージを示します。

%SPANTREE-SP-2-BLOCK_BPDUGUARD: 
   Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE: 
   bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

 %SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1

errdisable recovery を有効にしている場合は、show errdisable recovery コマンドを発行すると、errdisable 状態の理由を特定できます。ランダム データの例は次のとおりです。

cat6knative#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Enabled
bpduguard            Enabled
security-violatio    Enabled
channel-misconfig    Enabled
pagp-flap            Enabled
dtp-flap             Enabled
link-flap            Enabled
l2ptguard            Enabled
psecure-violation    Enabled
gbic-invalid         Enabled
dhcp-rate-limit      Enabled
mac-limit            Enabled
unicast-flood        Enabled
arp-inspection       Enabled

Timer interval: 300 seconds

Interfaces that can be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          273

errdisabled 状態からのポートの復旧

このセクションでは、エラーディセーブルのポートがどのように発生し、修正できるかについての例を紹介しており、さらに、ポートがエラー ディセーブルになる理由を補足して説明しています。errdisable 状態からポートを復旧するためには、まず根本的な問題を特定して修正し、次にポートを再びイネーブルにします。根本的な問題を修正する前にポートを再びイネーブルにすると、ポートは再びエラー ディセーブル状態になります。

根本的な問題の修正

ポートがディセーブルになった原因を発見した後、その根本的な問題を修正します。問題の原因によって修正方法は異なります。シャットダウンの契機となる原因はたくさんあります。このセクションでは、最も顕著で一般的な原因について次に説明します。

• EtherChannel の設定に誤りがある

  EtherChannel が正しく動作するためには、関係するポートの設定が一致している必要があります。VLAN、トランク モード、速度、デュプレックスなどの設定が、ポート間で一致している必要があります。スイッチ内で一致しない設定のほとんどは、チャネルの作成時に検出されてレポートされます。1 つのスイッチが EtherChannel 用に設定されていて、もう 1 つのスイッチが EtherChannel 用に設定されていない場合は、EtherChannel 用に設定されている側のチャネルに使用されているポートをスパニング ツリー プロセスがシャットダウンできます。EtherChannel の on モードでは、チャネリングを行う前に、ネゴシエートするための PAgP パケットを相手側に送信しません。単に相手側もチャネリング中であると仮定します。さらに、この例では、相手側のスイッチの EtherChannel がオンになっておらず、これらのポートはチャネリングされていない個々のポートのままになっています。相手側のスイッチをこの状態で 1 分間ほどそのままにしておくと、EtherChannel がオンになっているスイッチの Spanning Tree Protocol（STP; スパニング ツリー プロトコル）はループが存在すると認識します。このため、チャネリング ポートが errdisabled 状態になります。

  この例では、ループが検出されて、ポートがディセーブルになりました。show etherchannel summary コマンドの出力では、Number of channel-groups in use が 0 と表示されています。次のように、関係するポートの 1 つを見ると、状態が err-disabled であることを確認できます。

  %SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration of Gi4/1
  
  cat6knative#show etherchannel summary
   !--- Refer to show etherchannel for more information on the command. 
  Flags:  D - down        P - in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
  
          u - unsuitable for bundling
  Number of channel-groups in use: 0
  Number of aggregators:           0
  
  Group  Port-channel  Protocol    Ports
  ------+-------------+-----------+-----------------------------------------------

  このスイッチのポートが errdisable になったので、EtherChannel は切断されました。

  cat6knative#show interfaces gigabitethernet 4/1 status
  
  Port    Name               Status       Vlan       Duplex  Speed Type
  Gi4/1                      err-disabled 100          full   1000 1000BaseSX

  何が問題だったのかを判別するために、エラー メッセージを参照してください。メッセージは、EtherChannel でスパニング ツリー ループが発生したことを示しています。このセクションで説明しているように、EtherChannel が 1 つのデバイス（この場合はスイッチ）では（desirable モードではなく）on モードを使用して手動でオンになっており、接続されているもう 1 つのデバイス（この場合は相手側のスイッチ）では EtherChannel がまったくオンになっていない場合に、この問題が発生する可能性があります。この状況を修正する 1 つの方法は、接続の両側でチャネル モードを desirable に設定してから、ポートを再度有効にします。そうすれば、両方がチャネリングに同意した場合にだけ、それぞれの側にチャネルを形成します。チャネリングに同意しない場合は、通常のポートとして両側とも機能し続けます。

  cat6knative(config-terminal)#interface gigabitethernet 4/1
  cat6knative(config-if)#channel-group 3 mode desirable non-silent
  

• 二重モードの不一致

デュプレックスのミスマッチがあると、速度とデュプレックスを正しく自動ネゴシエートできないので、エラーの原因になることがよくあります。同じ LAN セグメント上で他のデバイスが送信しなくなるまで待つ必要がある半二重方式のデバイスとは異なり、全二重方式のデバイスは、送信するデータがデバイスにあるときにはいつでも他のデバイスに関係なく送信します。半二重方式のデバイスの送信中にこのような送信が発生すると、半二重方式のデバイスは、その状態をコリジョン（スロット タイム内の場合）またはレイト コリジョン（スロット タイム後の場合）と見なします。全二重方式のデバイス側ではコリジョンの発生が想定されていないため、廃棄されたパケットの再送信が必要であるとは認識されません。比率の低いコリジョンは、半二重では正常ですが、全二重では正常ではありません。多くのレイト コリジョンを受信するスイッチ ポートがあれば、通常はデュプレックスのミスマッチの問題が発生していると考えられます。ケーブルの両側のポートで同じ速度とデュプレックスが設定されていることを確認してください。show interfaces interface_number コマンドを使用すれば、Catalyst スイッチのポートの速度とデュプレックスを表示できます。Cisco Discovery Protocol（CDP; Cisco 検出プロトコル）の最近のバージョンでは、ポートがエラー ディセーブル状態になる前に、デュプレックスのミスマッチに関する警告を通知できます。

さらに、自動極性切り替え機能などの NIC の設定が、問題の原因となる場合があります。それらの設定が疑われる場合は、設定をオフにします。あるベンダー製の NIC が複数あり、それらの NIC すべてで同じ問題が発生する場合は、製造元の Web サイトでリリース ノートを調べて、最新のドライバが使用されているかどうかを確認してください。

レイト コリジョンには、他にも次のような原因があります。

• NIC の不良（設定の問題だけでなく、物理的問題がある場合）
• ケーブルの不良
• ケーブル セグメントが長すぎる
• BPDU ポート ガード

PortFastを使用するポートは、端末（ワークステーションやサーバなど）にだけ接続する必要があり、スパニングツリーBPDUを生成するデバイス（スイッチなど）、またはブリッジを行うブリッジとルータには接続しないでください。スパニング ツリー PortFast が設定されているポートでスイッチがスパニング ツリー BPDU を受信し、スパニング ツリー BPDU ガードがイネーブルになっている場合は、ループが発生しないようにするために、スイッチがそのポートを errdisabled 状態にします。PortFast では、スイッチのポートは物理的なループを生成できないものと仮定されています。したがって、PortFast では、そのポートの最初のスパニング ツリーのチェックをスキップして、起動時に端末でタイムアウトが発生することを防ぎます。ネットワーク管理者は、PortFast を注意深く実装する必要があります。PortFast がイネーブルになっているポートでは、LAN をループのない状態に保つための BPDU ガードが役立ちます。

次の例は、この機能をオンにする方法を示しています。次の例が選択されたのは、この場合にエラーディセーブル状態が発生しやすいからです。

cat6knative(config-if)#spanning-tree bpduguard enable
 !--- Refer to spanning-tree bpduguard for more information on the command. 

この例では、Catalyst 6509 スイッチが別のスイッチ（6509）に接続されています。6500 からは 2 秒ごとに BPDU が送信されます（デフォルトのスパニング ツリー設定を使用）。6509 のスイッチ ポートで PortFast をイネーブルにすると、このポートに着信する BPDU が BPDU ガード機能によって監視されます。ポートに BPDU が着信する、つまり、エンド デバイスではないデバイスがそのポートで検出されると、スパニング ツリー ループが発生する可能性を防ぐために、BPDU ガード機能はそのポートをエラーディセーブル状態にします。

cat6knative(config-if)#spanning-tree portfast enable

!--- Refer to spanning-tree portfast (interface configuration mode) !--- for more information on the command.


Warning: Spantree port fast start can only be enabled on ports connected
to a single host.  Connecting hubs, concentrators, switches, bridges, etc. to
a fast start port can cause temporary spanning tree loops.

%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state.

このメッセージは、PortFast がイネーブルになっているポートで BPDU が受信されたことを示し、スイッチはポート Gi4/1 をシャットダウンしています。

cat6knative#show interfaces gigabitethernet 4/1 status

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

このポートは不適切な接続がされているため、PortFast 機能をオフにする必要があります。ポートの接続が不適切な理由は、PortFast 機能がイネーブルになっているのにスイッチが別のスイッチに接続されているからです。PortFast を使用できるのは、端末に接続されているポートだけであることに注意してください。

cat6knative(config-if)#spanning-tree portfast disable

• UDLD

  UDLD プロトコルは、光ファイバまたは銅のイーサネット ケーブル（カテゴリ 5 のケーブルなど）を使用して接続されるデバイスにおいて、ケーブルの物理的な設定を監視して単方向リンクの存在を検出します。単方向リンクが検出されると、UDLD は影響があるポートをシャットダウンして、ユーザにアラートを通知します。単方向リンクは、スパニング ツリー トポロジのループなどの、さまざまな問題の原因となる可能性があります。

  注:UDLDは、隣接デバイス間でプロトコルパケットを交換します。リンク上の両方のデバイスで UDLD がサポートされており、それぞれのポートでイネーブルになっている必要があります。リンクの 1 つのポートだけで UDLD がイネーブルになっている場合は、UDLD が設定されている側も errdisable 状態になる可能性があります。

  UDLD が設定されている各スイッチ ポートでは、そのポートのデバイス ID（またはポート ID）およびそのポートの UDLD で認識された隣接デバイス（またはポート ID）が格納された UDLD プロトコル パケットが送信されます。隣接ポートでは、もう一方の側から受信したパケットに、自分のデバイス ID またはポート ID（エコー）が認識される必要があります。着信 UDLD パケットで、自分のデバイス ID またはポート ID を特定の期間認識できないと、リンクは単方向とみなされます。そのため、対応するポートがディセーブルになって、次のようなメッセージがコンソールに表示されます。

  PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in err-disable state.

  UDLDの動作、設定、およびコマンドについての詳細は、ドキュメント『Catalyst 6500リリース12.2SXFおよび再構築ソフトウェアコンフィギュレーションガイド』を参照してください。

• リンクフラップ エラー

  リンクフラップとは、インターフェイスが継続的にアップ状態とダウン状態を繰り返すことです。10 秒間に 5 回以上フラップすると、インターフェイスは errdisabled 状態になります。リンク フラップの一般的な原因は、ケーブルの不良、デュプレックスのミスマッチ、Gigabit Interface Converter（GBIC; ギガビット インターフェイス コンバータ）カードの不良などのレイヤ 1 の問題です。ポートがシャットダウンされた理由を示すコンソール メッセージまたは syslog サーバに送信されたメッセージを参照してください。

  %PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/1 in err-disable state

  フラップの値を表示するには、次のコマンドを発行します。

  cat6knative#show errdisable flap-values
   !--- Refer to show errdisable flap-values for more information on the command. 
  ErrDisable Reason    Flaps    Time (sec)
  -----------------    ------   ----------
  pagp-flap              3       30
  dtp-flap               3       30
  link-flap              5       10

• ループバック エラー

  キープアライブを送信したポートにキープアライブ パケットがループバックされると、ループバック エラーが発生します。デフォルトでは、すべてのインターフェイスに対して、スイッチはキープアライブを送信します。ネットワークにはスパニング ツリーでブロックされていない論理ループが存在するので、通常は、デバイスが自分の発信元インターフェイスにパケットをループバックできます。自分が送出したキープアライブ パケットを発信元インターフェイスが受信すると、スイッチによってそのインターフェイスがディセーブル（errdisable）にされます。次のメッセージは、キープアライブ パケットが、そのキープアライブを送信したポートにループバックされることが原因で発生します。

  %PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in err-disable state

  Cisco IOS ソフトウェア リリース 12.1EA ベースのソフトウェアでは、デフォルトですべてのインターフェイスにキープアライブが送信されます。Cisco IOS ソフトウェア リリース 12.2SE ベースのソフトウェア以降では、デフォルトではキープアライブがファイバおよびアップリンクのインターフェイスには送信されません。詳細は、Cisco Bug ID CSCea46385(登録ユーザ専用)を参照してください。

  回避策としては、キープアライブを無効にして、Cisco IOS ソフトウェア リリース 12.2SE 以降にアップグレードすることを推奨します。

• ポート セキュリティに違反している

  動的に学習された MAC アドレスおよび静的 MAC アドレスを使用したポートのセキュリティを使用して、ポートの入トラフィックを制限できます。トラフィックを制限するために、ポートにトラフィックを送信できる MAC アドレスを制限できます。セキュリティ違反が発生した場合にスイッチのポートをエラー ディセーブルに設定するには、次のコマンドを発行します。

  cat6knative(config-if)#switchport port-security violation shutdown
  

  次の 2 つの場合にセキュリティ違反が発生します。

  • セキュア ポート上のセキュアな MAC アドレスの最大数に達しており、入トラフィックの発信元 MAC アドレスが指定されているいずれのセキュアな MAC アドレスとも異なる場合

    この場合は、ポートのセキュリティによって設定された違反モードが適用されます。

  • 1 つのセキュア ポート上で設定または学習されたセキュア MAC アドレスを持つトラフィックが、同じ VLAN 上の別のセキュア ポートにアクセスしようとした場合

    この場合は、ポートのセキュリティによってシャットダウン違反モードが適用されます。

• L2pt ガード

  レイヤ 2 PDU がトンネルまたは着信エッジ スイッチ上のアクセス ポートに到達すると、スイッチでは、カスタマー PDU 宛先 MAC アドレスが、周知の Cisco 固有のマルチキャスト アドレス（01-00-0c-cd-cd-d0）で上書きされます。802.1Q トンネリングがイネーブルになっていると、パケットにはタグが二重に付きます。外側のタグはカスタマーのメトロ タグであり、内側のタグはカスタマーの VLAN タグです。コア スイッチでは内側のタグが無視され、同じメトロ VLAN のすべてのトランク ポートにパケットが転送されます。発信側のエッジ スイッチでは、適切なレイヤ 2 プロトコル情報および MAC アドレス情報が復元され、同じメトロ VLAN のすべてのトンネル ポートかアクセス ポートにパケットが転送されますこのため、レイヤ 2 PDU はそのまま残り、サービス プロバイダー インフラストラクチャを介してカスタマー ネットワークの反対側に配信されます。

  Switch(config)#interface gigabitethernet 0/7
  l2protocol-tunnel {cdp | vtp | stp}
  

  インターフェイスは errdisabled 状態になります。独自の宛先 MAC アドレスでカプセル化された PDU が、レイヤ 2 トンネリングが有効になっているトンネル ポートまたはアクセス ポートから受信される場合、そのトンネル ポートは、ループを防止するためにシャットダウンされます。このポートは、プロトコル用に設定されたシャットダウンしきい値に達した場合にもシャットダウンされます。ポートを手動で再度有効にする(shutdown、no shutdownコマンドシーケンスを発行する)か、またはerrdisable recoveryが有効な場合は、指定された時間間隔後に操作が再試行されます。

  インターフェイスをerrdisable状態から回復するには、errdisable recovery cause l2ptguardコマンドを使用してポートを再度有効にします。このコマンドは、インターフェイスを再びイネーブルにして再試行できるようにするために、レイヤ 2 最大レート エラーからの回復メカニズムを設定するために使用されます。間隔を設定することもできます。errdisable recovery はデフォルトでディセーブルになっています。イネーブルにした場合、デフォルトの間隔は 300 秒です。

• 不適切な SFP ケーブル

  Catalyst 3560とCatalyst 3750スイッチを接続してSFP相互接続ケーブルを使用すると、エラーメッセージの%PHY-4-SFP_NOT_SUPPORTEDが表示されてポートがerrdisable状態になります。

  Cisco Catalyst 3560 SFP 相互接続ケーブル（CAB-SFP-50CM=）により、Catalyst 3560 シリーズ間に低コストでポイントツーポイントのギガビット イーサネット接続が提供されます。SFPトランシーバの代わりに50 cm(cm)ケーブルを使用すると、短距離でSFPポートを介してCatalyst 3560シリーズスイッチを相互接続できます。SFP 相互接続ケーブルは、すべての Cisco Catalyst 3560 シリーズ スイッチでサポートされています。

  Catalyst 3560 スイッチが Catalyst 3750 や他のタイプの Catalyst スイッチ モデルに接続される場合には、CAB-SFP-50CM= ケーブルは使用できません。CAB-SFP-50CM=ケーブルの代わりに、両方のデバイスでSFP(GLC-T)付き銅線ケーブルを使用して両方のスイッチを接続できます。

• 802.1X セキュリティ違反

  DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, 
  New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode
  %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in err-disable state

  このメッセージは、特定のインターフェイス上のポートが単一ホスト モードで設定されていることを示しています。インターフェイス上で検出される新規のホストはセキュリティ違反として扱われます。ポートはエラー ディセーブル状態になっています。

• ポートに 1 つのホストしか接続されていないことを確認します。IP 電話とその背後のホストに接続する必要がある場合は、スイッチポート上で、マルチドメイン認証モードを設定します。

• Multidomain Authentication（MDA; マルチドメイン認証）モードを使用すると、802.1X、MAC authentication bypass（MAB）、または Web ベース認証（ホスト用のみ）を使用して、IP 電話と IP 電話の背後の単一のホストでそれぞれ独立して認証を実行できるようになります。このアプリケーションでは、マルチドメインは2つのドメイン（データと音声）を指し、ポートごとに2つのMACアドレスだけが許可されます。スイッチではホストをデータ VLAN に、IP 電話を音声 VLAN に配置することができますが、これらは同じスイッチ ポート上にあるように見えます。データ VLAN 割り当ては、認証中に AAA サーバから受信された VSA（vendor-specific attribute; ベンダー固有属性）から取得することができます。

• 詳細は、『Catalyst 4500シリーズスイッチソフトウェアコンフィギュレーションガイド、12.2(50)SG』の「マルチドメイン認証モード」セクションを参照してください。

• errdisabled 状態のポートの再有効化

根本的な問題を修正しても、errdisable recovery をスイッチに設定していない場合は、ポートはディセーブルのままになります。この場合は、ポートを手動で再びイネーブルにする必要があります。ポートを手動で再度有効にするには、関連するインターフェイスで、shutdown コマンドを発行してから no shutdown インターフェイス モード コマンドを発行します。

errdisable recovery コマンドを使用すれば、指定した時間が経過した後に、ポートを自動的に再度有効にするエラーの種類を選択できます。show errdisable recovery コマンドでは、発生する可能性があるすべての条件に対する、エラーディセーブルのデフォルトの復旧状態が表示されます。

cat6knative#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Disabled bpduguard Disabled security-violatio Disabled channel-misconfig Disabled pagp-flap Disabled dtp-flap Disabled link-flap Disabled l2ptguard Disabled l2ptguard Disabled psecure-violation Disabled gbic-invalid dhcp rate-limit Disabled mac-limit Disabled unicast-flood Disabled arp-inspection Disabled Timer interval: 300秒

errdisable recovery をオンにするためには、errdisable 条件を選択して、次のコマンドを発行します。

• cat6knative#errdisable recovery cause ? allすべての原因から回復するためのイネーブルタイマーarp-inspection arp-inspectionの原因から回復するためのイネーブルタイマーarp-inspection error disable state bpduguardの原因から回復するためのイネーブルタイマーBPDU-guard error disable state channel-misconfigの原因から回復するためのイネーブルタイマーdhcp-rate-limit error disable state dtp-flapの原因から回復するためのイネーブルタイマーdtp-flap disable state gbic-invalidの無効GBICエラーからからの回復タイマーerror disable state mac-limit mac limitから回復するタイマーを有効にするdisable state pagp-flap pagp-flapから回復するタイマーを有効にするerror disable state psecure-violation psecure violationから回復するタイマーを有効にするdisable state security-violation 802.1x violation disable state udldから回復するタイマーを有効にするudld error disable state unicast-flood disable状態から回復するタイマーを有効にする

次の例は、BPDU ガードの errdisable 復旧条件をイネーブルにする方法を示しています。

cat6knative(Config)#errdisable recovery cause bpduguard

• このコマンドの優れた機能の 1 つは、errdisable recovery をイネーブルにしている場合に、ポートがエラーディセーブル状態になった一般的な理由が表示されることです。次の例では、ポート 2/4 がシャットダウンされた理由が BPDU ガード機能だったことに注目してください。
• cat6knative#show errdisable recovery ErrDisable Reason Timer Status ----------------- -------------- udld Disabled bpduguard Enabled security-violatio Disabled channel-misconfig Disabled pagp-flap Disabled dtp-flap Disabled link-flap Disabled l2ptguard Disabled l2ptguard Disabled psecure-violation Disabled gbic-invalid dhcp rate-limit Disabled mac-limit Disabled unicast-flood Disabled arp-inspection Disabled Timer interval: 300秒タイムアウトで有効になるインターフェイス：Interface Errdisable Reason Time left sec --------- --------------------- -------------- Fa2/4 bpduguard 29
• errdisable recovery のいずれかの条件がイネーブルになっている場合は、この条件を満たすポートが 300 秒後に再びイネーブルになります。次のコマンドを発行すれば、この 300 秒というデフォルトも変更できます。
• cat6knative(Config)#errdisable recovery interval timer_interval_in_seconds

• この例では、errdisable recovery の間隔が 300 秒から 400 秒に変更されています。
• cat6knative(Config)#errdisable回復間隔400

確認

• show version：スイッチで使用されているソフトウェアのバージョンが表示されます。

• show interfaces interface interface_number status：スイッチ ポートの現在のステータスが表示されます。

• show errdisable detect：errdisable タイムアウト機能の現在の設定が表示されます。いずれかのポートが現在エラー ディセーブルになっている場合は、エラー ディセーブルになった理由も表示されます。

トラブルシュート

• show interfaces status err-disabled：errdisabled 状態に関係しているローカル ポートが表示されます。

• show etherchannel summary：EtherChannel の現在のステータスが表示されます。

• show errdisable recovery：errdisable 状態の場合にインターフェイスがイネーブルになるまでの時間が表示されます。

• show errdisable detect：errdisable 状態になった理由が表示されます。

• スイッチポートの問題をトラブルシューティングする方法についての詳細は、『スイッチポートおよびインターフェイスの問題のトラブルシューティング』を参照してください。

関連情報

• Catalyst 6500/6000シリーズスイッチのハードウェアおよびよくある問題のトラブルシューティング
• ルートガードによるスパニングツリープロトコルの強化
• EtherChannelの不一致検出について理解する
• スイッチポートおよびインターフェイスの問題のトラブルシューティング
• LAN 製品に関するサポート ページ
• テクニカルサポート - Cisco Systems