Wiederherstellung aus dem errdisable-Portstatus auf Cisco IOS-Plattformen

Einleitung

In diesem Dokument wird der errdisabled-Status beschrieben und es wird anhand von Beispielen erläutert, wie die Wiederherstellung danach funktioniert.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Ausgaben in diesem Dokument stammen von Cisco Catalyst Switches der Serien 4500/6500. Auf den Switches wurde die Cisco IOS®^-Software ausgeführt und es gab Ethernet-Ports, die für EtherChannel und PortFast geeignet waren.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

In diesem Dokument werden die Begriffe errdisable und error disable synonym verwendet. Es ist üblich, den technischen Support (Cisco Technical Support) in Anspruch zu nehmen, wenn festgestellt wird, dass ein oder mehrere Switch-Ports aufgrund eines Fehlers deaktiviert wurden. Dies bedeutet, dass die Ports den Status "errdisabled" (deaktiviert) haben. In diesem Dokument wird erklärt, warum die Fehlerdeaktivieren durchgeführt wurden und wie die Ports wieder normal funktionieren.

Die Funktion "errdisable" wird auf Catalyst Switches mit Cisco IOS und Cisco IOS XE unterstützt.

Die zur Implementierung und Überprüfung von errdisable verwendeten Befehle können je nach Softwareplattform variieren. Das vorliegende Dokument behandelt speziell errdisable-fähige Switches, auf denen Cisco IOS-Software ausgeführt wird.

FehlerDeaktivieren

Funktion von Errdisable

Wenn die Konfiguration einen zu aktivierenden Port anzeigt, die Software am Switch jedoch einen Fehler am Port erkennt, fährt die Software diesen Port herunter. Mit anderen Worten: Der Port wird automatisch von der Switch-Betriebssystemsoftware deaktiviert, da ein Fehler am Port aufgetreten ist.

Wenn ein Port aufgrund eines Fehlers deaktiviert wird, wird er effektiv heruntergefahren, und es wird kein Datenverkehr über diesen Port gesendet oder empfangen. Die Port-LED leuchtet orange, und wenn Sie den Befehl show interfaces (Schnittstellen anzeigen) ausführen, wird der Portstatus als fehlerhaft deaktiviert angezeigt. Nachfolgend finden Sie ein Beispiel dafür, wie ein deaktivierter Port in der Befehlszeilenschnittstelle (CLI) des Switches aussieht:

cat6k#show interfaces gigabitethernet 4/1 status 

Port    Name       Status       Vlan       Duplex  Speed Type
Gi4/1              err-disabled 100          full   1000 1000BaseSX

Wenn die Schnittstelle aufgrund eines Fehlers deaktiviert wurde, werden Meldungen angezeigt, die in der Konsole und im Syslog ähnlich sind:

%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

Diese Beispielmeldung wird angezeigt, wenn ein Host-Port die Bridge Protocol Data Unit (BPDU) empfängt. Die tatsächliche Meldung hängt vom Grund für die Fehlerbedingung ab.

Die Fehlerdeaktivierungsfunktion dient zwei Zwecken:

• Der Administrator wird informiert, wann und wo ein Portproblem besteht.

• Dadurch wird verhindert, dass durch diesen Port andere Ports auf dem Modul (oder das gesamte Modul) ausfallen können.

  Ein solcher Fehler kann auftreten, wenn ein beschädigter Port ein Monopol auf Puffer oder Port-Fehlermeldungen auf die prozessübergreifende Kommunikation auf der Karte hat, was letztendlich zu schwerwiegenden Netzwerkproblemen führen kann. Die Funktion zum Deaktivieren von Fehlermeldungen hilft, solche Situationen zu vermeiden.

Fehlerursachen

Diese Funktion wurde zuerst implementiert, um spezielle Kollisionssituationen zu bewältigen, in denen der Switch übermäßige oder späte Kollisionen an einem Port erkannte. Übermäßige Kollisionen treten auf, wenn ein Frame verworfen wird, weil der Switch 16 Kollisionen in einer Reihe erkennt. Späte Kollisionen treten auf, weil jedes Gerät im Kabel nicht erkannte, dass das Kabel in Gebrauch war. Mögliche Ursachen für diese Fehlerarten sind:

• Ein Kabel, das nicht spezifiziert ist (entweder zu lang, der falsche Typ oder defekt)

• Eine fehlerhafte Netzwerkkarte (NIC) (mit physischen Problemen oder Treiberproblemen)

• Eine falsche Port-Duplexkonfiguration

  Eine Port-Duplexfehlkonfiguration ist eine häufige Fehlerursache, da Geschwindigkeits- und Duplexvorgänge nicht ordnungsgemäß zwischen zwei direkt verbundenen Geräten (z. B. einer Netzwerkkarte, die mit einem Switch verbunden wird) ausgehandelt werden können. Nur bei Halbduplex-Verbindungen kann es in einem LAN je zu Kollisionen kommen. Aufgrund der CSMA-Architektur (Carrier Sense Multiple Access) von Ethernet sind Kollisionen bei Halbduplex normal, solange die Kollisionen einen kleinen Prozentsatz des Datenverkehrs nicht übersteigen.

Es gibt verschiedene Gründe, warum die Schnittstelle errdisable aufruft. Mögliche Gründe:

• Duplexkonflikt

• Port-Channel-Fehlkonfiguration

• BPDU Guard-Verletzung

• UniDirectional Link Detection (UDLD)-Bedingung

• Erkennung von späten Kollisionen

• Erkennung von Verbindungslaschen

• Sicherheitsverletzung

• PAgP-Klappe (Port Aggregation Protocol)

• Layer 2 Tunneling Protocol (L2TP) Guard

• Durchsatzbegrenzer für DHCP-Snooping

• Falsches GBIC-/SFP-Modul oder Kabel

• Address Resolution Protocol (ARP)-Inspektion

• Inline-Stromversorgung

Hinweis: Die Fehlerdeaktivierungserkennung ist aus all diesen Gründen standardmäßig aktiviert. Um die Fehlererkennung zu deaktivieren, verwenden Sie den Befehl no errdisable detect reason. Der Befehl show errdisable detect zeigt den Erkennungsstatus error-disable an.

Ermitteln Sie, ob die Ports den Status Errdisabled (Nicht deaktiviert) aufweisen.

Wenn Sie den Befehl show interfaces ausführen, können Sie feststellen, ob der Port aufgrund eines Fehlers deaktiviert wurde.

Ein Beispiel für einen aktiven Port:

cat6k#show interfaces gigabitethernet 4/1 status 

!--- Refer to show interfaces status for more information on the command.

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      connected    100          full   1000 1000BaseSX

Das folgende Beispiel zeigt denselben Port im deaktivierten Fehlerzustand:

cat6k#show interfaces gigabitethernet 4/1 status 

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

Hinweis: Wenn ein Port aufgrund eines Fehlers deaktiviert ist, leuchtet die LED auf der Vorderseite, die mit dem Port verbunden ist, orange.

Bestimmen Sie den Grund für den Status "Errdisabled" (Konsolenmeldungen, Syslog und den Befehl Show Errdisable Recovery).

Wenn der Switch einen Port in den Status "error-disabled" versetzt, sendet er eine Meldung an die Konsole, in der er beschreibt, warum er den Port deaktiviert hat. Das Beispiel in diesem Abschnitt enthält zwei Beispielnachrichten, die den Grund für die Port-Deaktivierung zeigen:

• Eine Deaktivierung ist die PortFast BPDU Guard-Funktion.

• Die andere Deaktivierung ist auf ein EtherChannel-Konfigurationsproblem zurückzuführen.

Hinweis: Sie können diese Meldungen auch im Syslog sehen, wenn Sie den Befehl show logging ausführen.

Hier einige Beispielmeldungen:

%SPANTREE-SP-2-BLOCK_BPDUGUARD: Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1

Wenn Sie errdisable recovery aktiviert haben, können Sie den Grund für den errdisable-Status ermitteln, wenn Sie den Befehl show errdisable recovery ausführen. Hier ein Beispiel:

cat6k#show errdisable recovery
ErrDisable Reason    Timer Status
-----------------    --------------
udld                 Enabled
bpduguard            Enabled
security-violatio    Enabled
channel-misconfig    Enabled
pagp-flap            Enabled
dtp-flap             Enabled
link-flap            Enabled
l2ptguard            Enabled
psecure-violation    Enabled
gbic-invalid         Enabled
dhcp-rate-limit      Enabled
mac-limit            Enabled
unicast-flood        Enabled
arp-inspection       Enabled

Timer interval: 300 seconds

Interfaces that can be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          273

Port aus dem deaktivierten Zustand wiederherstellen

In diesem Abschnitt finden Sie Beispiele dafür, wie Sie einen deaktivierten Port auf Fehler stoßen können und wie Sie diesen beheben können. Außerdem werden einige weitere Gründe erläutert, warum ein Port auf Fehler deaktiviert werden kann. Um einen Port aus dem errdisable-Status wiederherzustellen, identifizieren und beheben Sie zunächst das root-Problem, und aktivieren Sie dann den Port erneut. Wenn Sie den Port erneut aktivieren, bevor Sie das Root-Problem beheben, werden die Ports aufgrund eines Fehlers wieder deaktiviert.

Korrigieren des Grundproblems

Nachdem Sie festgestellt haben, warum die Ports deaktiviert waren, beheben Sie das Problem. Die Lösung hängt davon ab, was das Problem ausgelöst hat. Es gibt zahlreiche Dinge, die das Herunterfahren auslösen können. In diesem Abschnitt werden einige der häufigsten und auffälligsten Ursachen beschrieben:

• EtherChannel-Fehlkonfiguration

  Damit der EtherChannel funktioniert, müssen die beteiligten Ports über einheitliche Konfigurationen verfügen. Die Ports müssen über dasselbe VLAN, denselben Trunk-Modus, dieselbe Geschwindigkeit, denselben Duplex usw. verfügen. Die meisten Konfigurationsunterschiede innerhalb eines Switches werden abgefangen und gemeldet, wenn Sie den Kanal erstellen. Wenn ein Switch für den EtherChannel und der andere Switch nicht für den EtherChannel konfiguriert ist, können die kanalisierten Ports auf der für den EtherChannel konfigurierten Seite durch den Spanning-Tree-Prozess deaktiviert werden. Der Ein-Modus des EtherChannels sendet keine PAgP-Pakete, um mit der anderen Seite vor dem Channeling zu verhandeln. Er geht lediglich davon aus, dass die andere Seite Channeling durchführt. Außerdem wird in diesem Beispiel der EtherChannel für den anderen Switch nicht aktiviert, sondern diese Ports bleiben als einzelne, nicht kanalisierte Ports erhalten. Wenn Sie den anderen Switch für eine Minute in diesem Zustand belassen, glaubt das Spanning Tree Protocol (STP) auf dem Switch, auf dem der EtherChannel aktiviert ist, dass eine Schleife vorhanden ist. Dadurch werden die Channeling-Ports in den deaktivierten Zustand versetzt.

  In diesem Beispiel wurde eine Schleife erkannt und die Ports deaktiviert. Die Ausgabe des Befehls show etherchannel summary gibt an, dass die Anzahl der verwendeten Kanalgruppen 0 ist. Wenn Sie sich einen der betroffenen Ports ansehen, sehen Sie, dass der Status fehlerhaft ist:

  %SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration of Gi4/1
  
  cat6k#show etherchannel summary
  
  Flags:  D - down        P - in port-channel
          I - stand-alone s - suspended
          H - Hot-standby (LACP only)
          R - Layer3      S - Layer2
          U - in use      f - failed to allocate aggregator
  
          u - unsuitable for bundling
  Number of channel-groups in use: 0
  Number of aggregators:           0
  
  Group  Port-channel  Protocol    Ports
  ------+-------------+-----------+-----------------------------------------------

  Der EtherChannel wurde deaktiviert, weil die Ports auf diesem Switch in errdisable gesetzt wurden.

  cat6k#show interfaces gigabitethernet 4/1 status
  
  Port    Name               Status       Vlan       Duplex  Speed Type
  Gi4/1                      err-disabled 100          full   1000 1000BaseSX

  Um das Problem zu identifizieren, sehen Sie sich die Fehlermeldung an. Die Meldung zeigt an, dass der EtherChannel auf eine Spanning-Tree-Schleife gestoßen ist. Wie in diesem Abschnitt erläutert wird, kann dieses Problem auftreten, wenn ein Gerät (in diesem Fall der Switch) den EtherChannel manuell im Ein-Modus aktiviert hat (im Gegensatz zu erwünscht) und das andere verbundene Gerät (in diesem Fall der andere Switch) den EtherChannel überhaupt nicht aktiviert hat. Eine Möglichkeit, die Situation zu beheben, besteht darin, den Channel-Modus auf beiden Seiten der Verbindung auf "erwünscht" zu setzen und dann die Ports wieder zu aktivieren. Jede Seite bildet dann nur dann einen Kanal, wenn beide Seiten mit dem Kanal übereinstimmen. Wenn sie sich nicht auf einen Kanal einigen, funktionieren beide Seiten weiterhin als normale Ports.

  cat6k(config)#interface gigabitethernet 4/1
  cat6k(config-if)#channel-group 3 mode desirable non-silent
  

• Duplexkonflikt

Duplex-Diskrepanzen treten häufig auf, weil Geschwindigkeit und Duplex nicht richtig autonom ausgehandelt werden können. Im Gegensatz zu einem Halbduplex-Gerät, das warten muss, bis keine anderen Geräte im gleichen LAN-Segment senden, sendet ein Vollduplex-Gerät unabhängig von anderen Geräten, wann immer das Gerät etwas zu senden hat. Tritt diese Übertragung während der Übertragung der Halbduplexeinrichtung auf, so betrachtet die Halbduplexeinrichtung dies entweder als Kollision (während der Steckplatzzeit) oder als späte Kollision (nach der Steckplatzzeit). Da die Vollduplex-Seite nie mit Kollisionen rechnet, wird auf dieser Seite nie klar, dass das verworfene Paket erneut übertragen werden muss. Bei Halbduplex ist eine niedrige Prozentrate der Kollisionen normal, bei Vollduplex jedoch nicht. Ein Switch-Port, der viele späte Kollisionen empfängt, weist in der Regel auf ein Duplexungleichgewicht hin. Stellen Sie sicher, dass die Anschlüsse auf beiden Seiten des Kabels auf dieselbe Geschwindigkeit und denselben Duplexmodus eingestellt sind. Der Befehl show interfaces interface_number teilt Ihnen die Geschwindigkeit und die Duplexeinstellungen für Catalyst Switch-Ports mit. Spätere Versionen des Cisco Discovery Protocol (CDP) können Sie vor einer Duplexungleichheit warnen, bevor der Port in den Status "error-disabled" versetzt wird.

Darüber hinaus gibt es Einstellungen auf einer Netzwerkkarte, z. B. Autopolaritätsfunktionen, die das Problem verursachen können. Wenn Sie sich nicht sicher sind, deaktivieren Sie diese Einstellungen. Wenn Sie mehrere NICs von einem Anbieter besitzen und die NICs alle scheinbar das gleiche Problem aufweisen, suchen Sie auf der Hersteller-Website nach den Versionshinweisen, und stellen Sie sicher, dass Sie über die neuesten Treiber verfügen.

Weitere Ursachen für späte Kollisionen sind:

• Eine fehlerhafte Netzwerkkarte (mit physischen Problemen, nicht nur mit Konfigurationsproblemen)
• Ein fehlerhaftes Kabel
• Ein zu langes Kabelsegment
• BPDU-Port Guard

Ein Port, der PortFast verwendet, darf nur mit einer Endstation (z. B. einer Workstation oder einem Server) verbunden sein und nicht mit Geräten, die Spanning-Tree-BPDUs generieren, z. B. Switches oder Bridges und Router, die eine Bridge bilden. Wenn der Switch eine Spanning-Tree-BPDU auf einem Port empfängt, auf dem Spanning Tree PortFast und Spanning Tree BPDU Guard aktiviert sind, versetzt der Switch den Port in den deaktivierten Modus, um potenzielle Schleifen zu vermeiden. PortFast geht davon aus, dass ein Port an einem Switch keine physische Schleife generieren kann. PortFast überspringt daher die anfänglichen Spanning Tree-Prüfungen für diesen Port, wodurch das Timeout der Endstationen beim Start vermieden wird. Der Netzwerkadministrator muss PortFast sorgfältig implementieren. Bei Ports mit aktivierter PortFast-Funktion sorgt BPDU Guard dafür, dass das LAN schleifenfrei bleibt.

Dieses Beispiel zeigt, wie diese Funktion aktiviert wird. Dieses Beispiel wurde gewählt, da die Erstellung einer Fehlerdeaktivierungssituation in diesem Fall einfach ist:

cat6k(config-if)#spanning-tree bpduguard enable

!--- Refer to spanning-tree bpduguard for more information on the command.

In diesem Beispiel wird ein Catalyst 6509-Switch mit einem anderen Switch (einem 6509) verbunden. Der 6500 sendet BPDUs alle 2 Sekunden (unter Verwendung der Standard-Spanning-Tree-Einstellungen). Wenn Sie PortFast auf dem 6509-Switch-Port aktivieren, sucht die Funktion BPDU Guard nach BPDUs, die auf diesem Port eingehen. Wenn ein BPDU in den Port eintritt, d. h. wenn ein Gerät, das kein Endgerät ist, an diesem Port erkannt wird, wird dieser Port durch die BPDU Guard-Funktion deaktiviert, um die Möglichkeit eines Spanning-Tree-Loops zu vermeiden.

cat6k(config-if)#spanning-tree portfast enable

!--- Refer to spanning-tree portfast (interface configuration mode) for more information on the command.


Warning: Spantree port fast start can only be enabled on ports connected
to a single host.  Connecting hubs, concentrators, switches, bridges, etc. to
a fast start port can cause temporary spanning tree loops.

%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state.

In dieser Nachricht gibt der Switch an, dass er eine BPDU an einem PortFast-aktivierten Port erhalten hat, sodass der Switch den Port Gi4/1 herunterfährt.

cat6k#show interfaces gigabitethernet 4/1 status

Port    Name               Status       Vlan       Duplex  Speed Type
Gi4/1                      err-disabled 100          full   1000 1000BaseSX

Sie müssen die PortFast-Funktion deaktivieren, da es sich bei diesem Port um einen Port mit einer falschen Verbindung handelt. Die Verbindung ist falsch, da PortFast aktiviert ist und der Switch eine Verbindung mit einem anderen Switch herstellt. Beachten Sie, dass PortFast nur für Ports verwendet wird, die mit Endgeräten verbunden sind.

cat6k(config-if)#spanning-tree portfast disable

• UDLD

  Das UDLD-Protokoll ermöglicht Geräten, die über Glasfaser- oder Kupfer-Ethernet-Kabel verbunden sind (z. B. Kabel der Kategorie 5), die physische Konfiguration der Kabel zu überwachen und zu erkennen, wenn eine unidirektionale Verbindung besteht. Wenn eine unidirektionale Verbindung erkannt wird, fährt UDLD den betroffenen Port herunter und benachrichtigt den Benutzer. Unidirektionale Verbindungen können eine Vielzahl von Problemen verursachen, darunter Spanning-Tree-Topologieschleifen.

  Hinweis: UDLD tauscht Protokollpakete zwischen benachbarten Geräten aus. Beide Geräte an der Verbindung müssen UDLD unterstützen und UDLD auf den jeweiligen Ports aktiviert haben. Wenn UDLD nur an einem Port einer Verbindung aktiviert ist, kann das mit UDLD konfigurierte Ende auch in den errdisable-Status versetzt werden.

  Jeder Switch-Port, der für UDLD konfiguriert ist, sendet UDLD-Protokollpakete, die das Port-Gerät (oder die Port-ID) und die benachbarten Geräte (oder Port-IDs) enthalten, die von UDLD an diesem Port erkannt werden. Die benachbarten Ports müssen ihre eigene Geräte- oder Port-ID (Echo) in den Paketen sehen, die von der anderen Seite empfangen werden. Wenn der Port in den eingehenden UDLD-Paketen für einen bestimmten Zeitraum keine eigene Geräte- oder Port-ID sieht, wird die Verbindung als unidirektional angesehen. Aus diesem Grund ist der entsprechende Port deaktiviert, und auf der Konsole wird eine Meldung ausgegeben, die dieser ähnelt:

  PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in err-disable state.

  Weitere Informationen zu UDLD-Betrieb, -Konfiguration und -Befehlen finden Sie im Dokument "Catalyst 6500 Configuration Guide".

• Fehler bei Verbindungsklappe

  Link-Flap bedeutet, dass die Schnittstelle kontinuierlich auf- und abwärts geht. Die Schnittstelle wird in den Status "errdisabled" versetzt, wenn sie mehr als fünfmal in 10 Sekunden flattert. Die häufigste Ursache für Link-Flap ist ein Layer-1-Problem, z. B. ein fehlerhaftes Kabel, eine Duplexunstimmigkeit oder eine fehlerhafte Gigabit Interface Converter (GBIC)-Karte. Sehen Sie sich die Konsolenmeldungen oder die Meldungen an, die an den Syslog-Server gesendet wurden und die den Grund für das Herunterfahren des Ports angeben.

  %PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/1 in err-disable state

  Führen Sie diesen Befehl aus, um die Klappenwerte anzuzeigen:

  cat6k#show errdisable flap-values
  
  !--- Refer to show errdisable flap-values for more information on the command.
  
  ErrDisable Reason    Flaps    Time (sec)
  -----------------    ------   ----------
  pagp-flap              3       30
  dtp-flap               3       30
  link-flap              5       10

• Loopback-Fehler

  Ein Loopback-Fehler tritt auf, wenn das Keepalive-Paket in eine Loopback-Schleife an den Port zurückgeleitet wird, der den Keepalive gesendet hat. Der Switch sendet standardmäßig Keepalives über alle Schnittstellen. Ein Gerät kann die Pakete über eine Schleife zurück an die Quellschnittstelle leiten. Dies geschieht normalerweise, weil im Netzwerk eine logische Schleife vorhanden ist, die vom Spanning Tree nicht blockiert wurde. Die Quellschnittstelle empfängt das Keepalive-Paket, das sie gesendet hat, und der Switch deaktiviert die Schnittstelle (errdisable). Diese Nachricht tritt auf, weil das Keepalive-Paket in eine Schleife zurück zu dem Port geschleift wird, der das Keepalive gesendet hat:

  %PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in err-disable state

  Keepalives werden standardmäßig für alle Schnittstellen der auf Cisco IOS Software, Version 12.1EA, basierenden Software gesendet. In Version 12.2SE der Cisco IOS Software und höher werden Keepalives nicht standardmäßig an Glasfaser- und Uplink-Schnittstellen gesendet.

  Als Problemumgehung wird empfohlen, Keepalives zu deaktivieren und ein Upgrade auf Cisco IOS Software, Version 12.2SE oder höher, durchzuführen.

• Verletzung der Port-Sicherheit

  Sie können die Port-Sicherheit mit dynamisch abgefragten und statischen MAC-Adressen verwenden, um den eingehenden Datenverkehr eines Ports zu beschränken. Um den Datenverkehr zu beschränken, können Sie die MAC-Adressen begrenzen, die Datenverkehr an den Port senden dürfen. Führen Sie den folgenden Befehl aus, um den Switch-Port so zu konfigurieren, dass er bei einem Sicherheitsverstoß durch einen Fehler deaktiviert wird:

  cat6k(config-if)#switchport port-security violation shutdown
  

  Eine Sicherheitsverletzung tritt in einem der beiden folgenden Fälle auf:

  • Wenn die maximale Anzahl an sicheren MAC-Adressen an einem sicheren Port erreicht wird und die Quell-MAC-Adresse des eingehenden Datenverkehrs sich von einer der identifizierten sicheren MAC-Adressen unterscheidet.

    In diesem Fall wendet die Port-Sicherheit den konfigurierten Verletzungsmodus an.

  • Wenn Datenverkehr mit einer sicheren MAC-Adresse, die auf einem sicheren Port konfiguriert oder abgefragt wird, versucht, auf einen anderen sicheren Port im gleichen VLAN zuzugreifen.

    In diesem Fall wendet die Port-Sicherheit den Modus zur Verletzung des Herunterfahrens an.

• L2pt-Guard

  Wenn die Layer-2-PDUs in den Tunnel oder Access Port am Eingangs-Edge-Switch eintreten, überschreibt der Switch die ursprüngliche PDU-Ziel-MAC-Adresse mit einer bekannten proprietären Multicast-Adresse von Cisco (01-00-0c-cd-cd-d0). Wenn 802.1Q-Tunneling aktiviert ist, werden Pakete ebenfalls doppelt getaggt. Das äußere Tag ist das Metro-Tag, das innere Tag das VLAN-Tag. Die Core-Switches ignorieren die inneren Tags und leiten das Paket an alle Trunk-Ports im gleichen Metro-VLAN weiter. Die ausgehenden Edge-Switches stellen die korrekten Layer-2-Protokoll- und MAC-Adressinformationen wieder her und leiten die Pakete an alle Tunnel- oder Access-Ports im gleichen Metro-VLAN weiter. Daher bleiben die Layer-2-PDUs intakt und werden über die Service-Provider-Infrastruktur auf die andere Seite des Netzwerks übertragen.

  Switch(config)#interface gigabitethernet 0/7
  Switch(config-if)#l2protocol-tunnel {cdp | vtp | stp}
  

  Die Schnittstelle wechselt in den Status "errdisabled". Wenn eine gekapselte PDU (mit der proprietären MAC-Zieladresse) von einem Tunnel-Port oder Access-Port mit aktiviertem Layer-2-Tunneling empfangen wird, wird der Tunnel-Port abgeschaltet, um Schleifen zu vermeiden. Der Port wird auch deaktiviert, wenn ein konfigurierter Shutdown-Schwellenwert für das Protokoll erreicht wird. Sie können den Port manuell wieder aktivieren (Herunterfahren, keine Befehlssequenz zum Herunterfahren) oder, wenn die Wiederherstellung "errdisable" aktiviert ist, den Vorgang nach einem festgelegten Zeitintervall wiederholen.

  Um die Schnittstelle aus dem errdisable-Status wiederherzustellen, aktivieren Sie den Port mit dem Befehl errdisable recovery Cause l2ptguard erneut. Dieser Befehl wird verwendet, um den Wiederherstellungsmechanismus anhand eines Layer-2-Fehlers mit maximaler Rate zu konfigurieren, sodass die Schnittstelle aus dem deaktivierten Zustand gebracht werden kann und es möglich ist, es erneut zu versuchen. Sie können auch das Zeitintervall festlegen. Die Wiederherstellungsfunktion "Errdisable" ist standardmäßig deaktiviert. Wenn sie aktiviert ist, beträgt das Standardzeitintervall 300 Sekunden.

• Falsches SFP-Kabel

  Ports wechseln in den deaktivierten Zustand mit der Fehlermeldung %PHY-4-SFP_NOT_SUPPORTED, wenn Sie Catalyst Switches der Serie 3560 und Catalyst Switches der Serie 3750 verbinden und ein SFP-Interconnect-Kabel verwenden.

  Das Cisco Catalyst 3560 SFP-Interconnect-Kabel (CAB-SFP-50CM=) ermöglicht eine kostengünstige Punkt-zu-Punkt-Gigabit-Ethernet-Verbindung zwischen den Catalyst Switches der Serie 3560. Das 50 cm lange Kabel ist eine Alternative zu den SFP-Transceivern, um Catalyst Switches der Serie 3560 über ihre SFP-Ports über kurze Distanzen zu verbinden. Alle Cisco Catalyst Switches der Serie 3560 unterstützen das SFP-Interconnect-Kabel.

  Wenn ein Catalyst Switch der Serie 3560 mit einem Catalyst Switch der Serie 3750 oder einem anderen Catalyst Switch-Modell verbunden ist, können Sie das CAB-SFP-50CM=-Kabel nicht verwenden. Anstelle eines CAB-SFP-50CM= Kabels können Sie beide Switches mit einem Kupferkabel mit SFP (GLC-T) auf beiden Geräten verbinden.

• 802.1X-Sicherheitsverletzung

  DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8, New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode
  %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in err-disable state

  Diese Nachricht gibt an, dass der Port an der angegebenen Schnittstelle im Einzelhost-Modus konfiguriert ist. Jeder neue Host, der auf der Schnittstelle erkannt wird, wird als Sicherheitsverletzung behandelt. Der Port wurde aufgrund eines Fehlers deaktiviert.

• Stellen Sie sicher, dass nur ein Host mit dem Port verbunden ist. Wenn Sie eine Verbindung zu einem IP-Telefon und einem Host dahinter herstellen müssen, konfigurieren Sie den Multidomain Authentication Mode auf diesem Switch-Port.

• Der MDA-Modus (Multidomain Authentication) ermöglicht die unabhängige Authentifizierung eines IP-Telefons und eines einzelnen Hosts hinter dem IP-Telefon. Hierzu stehen 802.1X, MAC Authentication Bypass (MAB) oder (nur für den Host) eine webbasierte Authentifizierung zur Verfügung. In dieser Anwendung bezieht sich Multidomain auf zwei Domänen - Daten und Sprache - und pro Port sind nur zwei MAC-Adressen zulässig. Der Switch kann den Host im Daten-VLAN und das IP-Telefon im Sprach-VLAN platzieren, obwohl sie sich scheinbar auf demselben Switch-Port befinden. Die Daten-VLAN-Zuordnung kann anhand der anbieterspezifischen Attribute (VSAs) erfolgen, die der AAA-Server im Rahmen der Authentifizierung übermittelt.

• Weitere Informationen finden Sie im Dokument IEEE 802.1X Multidomain Authentication.

• Erneutes Aktivieren der Erneut deaktivierten Ports

Nach der Behebung des Root-Problems sind die Ports weiterhin deaktiviert, wenn Sie errdisable recovery auf dem Switch nicht konfiguriert haben. In diesem Fall müssen Sie die Ports manuell erneut aktivieren. Geben Sie den Befehl shutdown und anschließend den Befehl no shutdown interface mode auf der zugehörigen Schnittstelle ein, um die Ports manuell erneut zu aktivieren.

Mit dem Befehl errdisable recovery können Sie die Art von Fehlern auswählen, die die Ports nach einer bestimmten Zeit automatisch wieder aktivieren. Der Befehl show errdisable recovery zeigt den standardmäßigen Wiederherstellungszustand error-disable für alle möglichen Bedingungen an.

cat6k#show errdisable recovery 
Recovery Status                       Timer Status
---------------                       ------------
udld                                    Disabled
bpduguard                               Disabled
security-violation                      Disabled
channel-misconfig                       Disabled
vmps                                    Disabled
pagp-flap                               Disabled
dtp-flap                                Disabled
link-flap                               Disabled
l2ptguard                               Disabled
psecure-violation                       Disabled
gbic-invalid                            Disabled
dhcp-rate-limit                         Disabled
mac-limit                               Disabled
unicast-flood                           Disabled
storm-control                           Disabled
arp-inspection                          Disabled
loopback                                Disabled
link-monitor-failure                    Disabled
oam-remote-failure critical-event       Disabled
oam-remote-failure dying-gasp           Disabled
oam-remote-failure link-fault           Disabled
dot1ad-incomp-etype                     Not supported
dot1ad-incomp-tunnel                    Not supported
mvrp                                    Not supported
transceiver-incomp                      Not supported
VSL transceiver-incomp                  Not supported
packet-buffer                           Not supported
FEX Licensing module removed            Not supported
inline-power                            Not supported

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

cat6k# 

Um die Wiederherstellung "errdisable" zu aktivieren und die Bedingungen "errdisable" auszuwählen, geben Sie den folgenden Befehl ein:

cat6k#configure terminal
cat6k(config)#errdisable recovery cause ?
  all                   Enable timer to recover from all causes
  arp-inspection        Enable timer to recover from arp inspection error
                        disable state
  bpduguard             Enable timer to recover from BPDU Guard error disable
                        state
  channel-misconfig     Enable timer to recover from channel misconfig disable
                        state
  dhcp-rate-limit       Enable timer to recover from dhcp-rate-limit error
                        disable state
  dtp-flap              Enable timer to recover from dtp-flap error disable
                        state
  gbic-invalid          Enable timer to recover from invalid GBIC error disable
                        state
  l2ptguard             Enable timer to recover from l2protocol-tunnel error
                        disable state
  link-flap             Enable timer to recover from link-flap error disable
                        state
  link-monitor-failure  Enable timer to recover from link monitoring failure
  loopback              Enable timer to recover from loopback disable state
  mac-limit             Enable timer to recover from mac limit disable state
  oam-remote-failure    Enable timer to recover from remote failure detected by
                        OAM
  pagp-flap             Enable timer to recover from pagp-flap error disable
                        state
  psecure-violation     Enable timer to recover from psecure violation disable
                        state
  security-violation    Enable timer to recover from 802.1x violation disable
                        state
  storm-control         Enable timer to recover from storm-control error
                        disable state
  udld                  Enable timer to recover from udld error disable state
  unicast-flood         Enable timer to recover from unicast flood disable
                        state
  vmps                  Enable timer to recover from vmps shutdown error
                        disable state

Dieses Beispiel zeigt, wie die Wiederherstellungsbedingung errdisable des BPDU Guard aktiviert wird:

cat6k(config)#errdisable recovery cause bpduguard
cat6k(config)#end 

• Eine nette Funktion dieses Befehls ist, dass der Befehl, wenn Sie die Wiederherstellung "errdisable" aktivieren, allgemeine Gründe dafür auflistet, dass die Ports in den Status "error disable" versetzt wurden. Beachten Sie in diesem Beispiel, dass die Funktion BPDU Guard der Grund für das Herunterfahren von Port 2/4 war:

cat6k#show errdisable recovery 
Recovery Status                       Timer Status
---------------                       ------------
udld                                    Disabled
bpduguard Enabled
security-violation                      Disabled
channel-misconfig                       Disabled
vmps                                    Disabled
pagp-flap                               Disabled
dtp-flap                                Disabled
link-flap                               Disabled
l2ptguard                               Disabled
psecure-violation                       Disabled
gbic-invalid                            Disabled
dhcp-rate-limit                         Disabled
mac-limit                               Disabled
unicast-flood                           Disabled
storm-control                           Disabled
arp-inspection                          Disabled
loopback                                Disabled
link-monitor-failure                    Disabled
oam-remote-failure critical-event       Disabled
oam-remote-failure dying-gasp           Disabled
oam-remote-failure link-fault           Disabled
dot1ad-incomp-etype                     Not supported
dot1ad-incomp-tunnel                    Not supported
mvrp                                    Not supported
transceiver-incomp                      Not supported
VSL transceiver-incomp                  Not supported
packet-buffer                           Not supported
FEX Licensing module removed            Not supported
inline-power                            Not supported

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface      Errdisable reason      Time left(sec)
---------    ---------------------    --------------
  Fa2/4                bpduguard          290

• Wenn eine der errdisable-Wiederherstellungsbedingungen aktiviert ist, werden die Ports mit dieser Bedingung nach 300 Sekunden erneut aktiviert. Sie können diesen Standardwert von 300 Sekunden auch ändern, wenn Sie den folgenden Befehl ausführen: errdisable recovery interval <timer_interval_in_seconds> unter Global Configuration.

• In diesem Beispiel wird das Wiederherstellungsintervall errdisable von 300 auf 400 Sekunden geändert:

cat6k#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
cat6k(config)#errdisable recovery interval 400 
cat6k(config)#end
cat6k#show errdisable recovery 
Recovery Status                       Timer Status
---------------                       ------------
udld                                    Disabled
bpduguard                               Disabled
security-violation                      Disabled
channel-misconfig                       Disabled
vmps                                    Disabled
pagp-flap                               Disabled
dtp-flap                                Disabled
link-flap                               Disabled
l2ptguard                               Disabled
psecure-violation                       Disabled
gbic-invalid                            Disabled
dhcp-rate-limit                         Disabled
mac-limit                               Disabled
unicast-flood                           Disabled
storm-control                           Disabled
arp-inspection                          Disabled
loopback                                Disabled
link-monitor-failure                    Disabled
oam-remote-failure critical-event       Disabled
oam-remote-failure dying-gasp           Disabled
oam-remote-failure link-fault           Disabled
dot1ad-incomp-etype                     Not supported
dot1ad-incomp-tunnel                    Not supported
mvrp                                    Not supported
transceiver-incomp                      Not supported
VSL transceiver-incomp                  Not supported
packet-buffer                           Not supported
FEX Licensing module removed            Not supported
inline-power                            Not supported

Timer interval: 400 seconds

Interfaces that will be enabled at the next timeout:

cat6k#

Überprüfung

• show version: Zeigt die Version der Software an, die auf dem Switch verwendet wird.

• show interfaces interface interface interface_number status: Zeigt den aktuellen Status des Switch-Ports an.

• show errdisable detect: Zeigt die aktuellen Einstellungen der Funktion "errdisable timeout" an und, wenn einer der Ports derzeit aufgrund eines Fehlers deaktiviert ist, den Grund, warum sie aufgrund eines Fehlers deaktiviert sind.

Fehlerbehebung

• show interfaces status err-disabled (Schnittstellenstatus err-disabled): Zeigt an, welche lokalen Ports in den errdisable-Status involviert sind.

• show etherchannel summary: Zeigt den aktuellen Status des EtherChannels an.

• show errdisable recovery: Zeigt den Zeitraum an, nach dem die Schnittstellen für errdisable-Bedingungen aktiviert sind.

• show errdisable detect: Zeigt den Grund für den errdisable-Status an.

Zugehörige Informationen

• Fehlerbehebung bei Hardware und Problemen mit Catalyst 6500/6000 Switches
• Kenntnis der Erweiterung von Spanning Tree PortFast BPDU Guard
• Grundlegendes zur Erkennung von EtherChannel-Inkonsistenzen
• Fehlerbehebung bei Switch-Port- und Schnittstellenproblemen