Rcupration de l'tat de port Errdisable sur les plates-formes

Cisco IOS

Contenu
Introduction
Conditions pralables
Conditions requises
Composants utiliss
Conventions
Informations gnrales
Plates-formes qui utilisent errdisable
Errdisable
Fonction d'errdisable
Causes d'errdisable
Dterminer si les ports sont dans l'tat errdisabled
Dterminer la raison de l'tat errdisabled (messages de console, syslog et la commande show errdisable recovery)
Rcuprer un port de l'tat errdisabled
Informations connexes

Introduction
Ce document dfinit l'tat errdisabled, dcrit comment rcuprer de cet tat et fournit des exemples de rcupration d'errdisable. Ce document
utilise les termes errdisable et error disable de faon interchangeable. Les clients contactent souvent l'assistance technique Cisco quand ils
remarquent qu'un ou plusieurs de leurs ports de commutateur ont t dsactivs pour erreur, ce qui signifie que les ports ont un tat errdisabled.
Ces clients veulent savoir pourquoi la dsactivation pour erreur s'est produite et comment ils peuvent restaurer les ports l'tat normal.

Remarque: L'tat de port err-disabled s'affiche dans la sortie de la commande show interfaces interface_number status.

Conditions pralables
Conditions requises

Aucune spcification dtermine n'est requise pour ce document.

Composants utiliss

Pour crer les exemples fournis dans ce document, vous avez besoin de deux commutateurs de la gamme Cisco Catalyst 4500/6500 (ou
quivalent) dans un environnement de laboratoire avec des configurations par dfaut. Les commutateurs doivent excuter le logiciel Cisco IOS
et chaque commutateur doit avoir deux ports qui sont compatibles avec EtherChannel et PortFast.

Les informations contenues dans ce document ont t cres partir des priphriques d'un environnement de laboratoire spcifique. Tous les
priphriques utiliss dans ce document ont dmarr avec une configuration efface (par dfaut). Si votre rseau est oprationnel, assurez-vous
que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilises dans ce document, reportez-vous Conventions relatives aux conseils techniques Cisco.

Informations gnrales
Plates-formes qui utilisent errdisable

La fonctionnalit errdisable est prise en charge sur les commutateurs Catalyst suivants :

Commutateurs Catalyst qui excutent le logiciel Cisco IOS :

 2900XL / 3500XL
2940 / 2950 / 2960 / 2970
3550 / 3560 / 3560-E / 3750 / 3750-E
4000 / 4500
6000 / 6500
Commutateurs Catalyst qui excutent le logiciel Catalyst OS (CatOS) :

2948G
4500 / 4000
5500 / 5000
6500 / 6000

La faon dont errdisable est implmente varie suivant les plates-formes logicielles. Ce document se concentre spcifiquement sur errdisable
pour les commutateurs qui excutent le logiciel Cisco IOS.

Errdisable
Fonction d'errdisable
Si la configuration montre un port activer, mais que le logiciel sur le commutateur dtecte une situation d'erreur sur le port, le logiciel arrte ce
port. En d'autres termes, le port est automatiquement dsactiv par le logiciel de systme d'exploitation du commutateur en raison d'une
condition d'erreur qui est produite sur le port.

Quand un port est dsactiv par erreur, il est arrt de faon effective et aucun trafic n'est envoy ou reu sur le ce port. Le voyant du port
devient orange et, quand vous mettez la commande show interfaces, l'tat du port indique err-disabled. Voici un exemple de ce quoi
ressemble un port dsactiv pour erreur partir de l'interface de ligne de commande (CLI) du commutateur :

cat6knative#show interfaces gigabitethernet 4/1 status

Port Name Status Vlan Duplex Speed Type

Gi4/1 err-disabled 100 full 1000 1000BaseSX

Ou, si l'interface a t dsactive en raison d'une condition d'erreur, vous pouvez voir des messages semblables aux suivants dans la console et le
syslog :

%SPANTREE-SP-2-BLOCK_BPDUGUARD:
Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.
%PM-SP-4-ERR_DISABLE:
bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

Cet exemple de message s'affiche quand un port hte reoit BDPU (Bridge Protocol Data Unit). Le message rel dpend de la raison de la
condition d'erreur.

La fonctionnalit error disable sert atteindre deux objectifs :

Elle permet l'administrateur de savoir quand et o il y a un problme de port.

Elle limine la possibilit que ce port puisse entraner la dfaillance d'autres ports sur le module (ou de tout le module).

Une telle panne peut se produire quand un port dfectueux monopolise les mmoires tampons ou que les messages d'erreur de port
monopolisent les communications entre processus sur la carte, ce qui peut finalement entraner de graves problmes rseau. La
fonctionnalit error disable permet d'empcher ces situations.

Causes d'errdisable

Cette fonctionnalit a t d'abord implmente pour traiter des situations de collision spciales dans lesquelles le commutateur dtectait des
collisions excessives ou tardives. Des collisions excessives se produisent quand une trame est supprime parce que le commutateur rencontre
16 collisions dans une ligne. Des collisions tardives se produisent une fois que chaque priphrique sur le rseau a identifi que le rseau tait en
cours d'utilisation. Les causes possibles de ces types d'erreurs sont notamment les suivantes :

Un cble qui ne respecte pas les spcifications (trop long, de type inappropri ou dfectueux)
Une carte d'interface rseau (NIC) dfectueuse (avec des problmes physiques ou des problmes de pilote)
Une configuration incorrecte de port en duplex

Une configuration incorrecte de port en duplex est une cause courante des erreurs en raison d'une mauvaise ngociation de la vitesse et du
duplex entre deux priphriques directement connects (par exemple, une NIC qui se connecte un commutateur). Seules les connexions
en semi-duplex devraient avoir des collisions dans un LAN. En raison de la nature CSMA (Carrier Sense Multiple Access) d'Ethernet, les
collisions sont normales pour le semi-duplex, tant que les collisions ne dpassent pas un petit pourcentage du trafic.

Il y a diverses raisons du passage de l'interface dans l'tat errdisable. La raison peut tre l'une des suivantes :
 Non-correspondance de mode duplex
Configuration incorrecte du canal de port
Violation de la protection BPDU
Condition UDLD (UniDirectional Link Detection)
Dtection de collisions tardives
Dtection d'affolement de liaison
Violation de la scurit
Affolement du protocole d'agrgation de ports (PAgP)
Protection du protocole L2TP (Layer 2 Tunneling Protocol)
Limite du taux de surveillance DHCP
Module ou cble GBIC/SFP (Small Form-Factor Pluggable) incorrect
Inspection du protocole de rsolution d'adresse (ARP)
Alimentation

Remarque: La dtection d'error disable est active par dfaut pour toutes ces raisons. Afin de dsactiver la dtection d'error disable, utilisez la
commande no errdisable detect cause. La commande show errdisable detect affiche l'tat de dtection d'error disable.

Dterminer si les ports sont dans l'tat errdisabled

Vous pouvez dterminer si votre port a t dsactiv pour erreur si vous mettez la commande show interfaces.

Voici un exemple d'un port actif :

cat6knative#show interfaces gigabitethernet 4/1 status

!--- Refer to show interfaces status for more information on the command.

Port Name Status Vlan Duplex Speed Type

Gi4/1 Connected 100 full 1000 1000BaseSX

Voici un exemple du mme port dans l'tat err-disabled :

cat6knative#show interfaces gigabitethernet 4/1 status

!--- Refer to show interfaces status for more information on the command.

Port Name Status Vlan Duplex Speed Type

Gi4/1 err-disabled 100 full 1000 1000BaseSX

Remarque: Quand un port est dsactiv pour erreur, le voyant sur le panneau avant qui est associ au port est teint.

Dterminer la raison de l'tat errdisabled (messages de console, syslog et la commande show errdisable recovery)

Quand le commutateur met un port dans l'tat error-disabled, il envoie un message la console qui dcrit pourquoi il a dsactiv le port.
L'exemple de cette section fournit deux exemples de messages qui montrent la raison de la dsactivation de port :

Une dsactivation est due la fonctionnalit de protection des BPDU PortFast.

L'autre dsactivation est due un problme de configuration d'EtherChannel.

Remarque: Vous pouvez galement voir ces messages dans le syslog si vous mettez la commande show log.

Voici les exemples de messages :

%SPANTREE-SP-2-BLOCK_BPDUGUARD:
Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.

%PM-SP-4-ERR_DISABLE:
bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state

%SPANTREE-2-CHNMISCFG: STP loop - channel 11/1-2 is disabled in vlan 1

Si vous avez activ errdisable recovery, vous pouvez dterminer la raison de l'tat errdisable si vous mettez la commande show errdisable
recovery. Voici un exemple :

cat6knative#show errdisable recovery

ErrDisable Reason Timer Status
----------------- --------------
udld Enabled
bpduguard Enabled
security-violatio Enabled
 channel-misconfig Enabled
pagp-flap Enabled
dtp-flap Enabled
link-flap Enabled
l2ptguard Enabled
psecure-violation Enabled
gbic-invalid Enabled
dhcp-rate-limit Enabled
mac-limit Enabled
unicast-flood Enabled
arp-inspection Enabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface Errdisable reason Time left(sec)

--------- --------------------- --------------
Fa2/4 bpduguard 273

Rcuprer un port de l'tat errdisabled

Cette section fournit des exemples de la faon dont vous pouvez trouver un port dsactiv pour erreur et de la faon d'y remdier, ainsi qu'une
brve discussion de quelques raisons supplmentaires pour lesquelles un port peut devenir dsactiv pour erreur. Afin de rcuprer un port de
l'tat errdisable, commencez par identifier et corriger le problme racine, puis ractivez le port. Si vous ractivez le port avant de corriger le
problme racine, les ports sont simplement nouveau dsactivs.

Corriger le problme racine

Aprs avoir dcouvert pourquoi les ports ont t dsactivs, corrigez le problme racine. La correction dpend du problme dclenchant. Il y a de
nombreuses choses qui peuvent dclencher l'arrt. Cette section dcrit certaines des causes les plus apparentes et les plus courantes :

Configuration incorrecte d'EtherChannel

Pour qu'EtherChannel fonctionne, les ports qui sont impliqus doivent avoir des configurations cohrentes. Les ports doivent avoir le
mme VLAN, le mme mode de liaison agre, la mme vitesse, le mme duplex, etc. La plupart des diffrences de configuration dans un
commutateur sont dtectes et signales quand vous crez le canal. Si un commutateur est configur pour EtherChannel et que l'autre
commutateur n'est pas configur pour EtherChannel, le processus de spanning tree peut arrter les ports avec canal du ct qui est
configur pour EtherChannel. Le mode on d'EtherChannel n'envoie pas de paquets PAgP ngocier avec l'autre ct avant la
tunnellisation ; il suppose simplement que l'autre ct effectue la tunnellisation. En outre, cet exemple n'active pas EtherChannel pour
l'autre commutateur, mais laisse ces ports comme des ports individuels sans canal. Si vous laissez l'autre commutateur dans cet tat
pendant une minute environ, le protocole Spanning Tree (STP) sur le commutateur o EtherChannel est activ pense qu'il y a une boucle.
Cela met les ports de tunnellisation dans l'tat errdisabled.

En cet exemple, une boucle a t dtecte et les ports ont t dsactivs. La sortie de la commande show etherchannel summary montre
que l'option Number of channel-groups in use a la valeur 0. Quand vous regardez l'un des ports impliqus, vous pouvez voir que l'tat est
err-disabled :

%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration

of Gi4/1

cat6knative#show etherchannel summary

!--- Refer to show etherchannel for more information on the command.

Flags: D - down P - in port-channel

I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use f - failed to allocate aggregator

u - unsuitable for bundling

Number of channel-groups in use: 0
Number of aggregators: 0

Group Port-channel Protocol Ports

------+-------------+-----------+-----------------------------------------------

EtherChannel a t arrt parce que les ports ont t placs dans l'tat errdisable sur ce commutateur.

cat6knative#show interfaces gigabitethernet 4/1 status

Port Name Status Vlan Duplex Speed Type

Gi4/1 err-disabled 100 full 1000 1000BaseSX
Pour dterminer l'origine du problme, regardez le message d'erreur. Le message indique qu'EtherChannel a rencontr une boucle de
spanning tree. Comme l'explique cette section, ce problme peut se poser quand un priphrique (le commutateur, dans le cas prsent) a
EtherChannel activ manuellement l'aide du mode on (par opposition dsirable) et l'autre priphrique connect (l'autre commutateur,
dans le cas prsent) n'a pas EtherChannel activ du tout. Une faon de corriger la situation est de dfinir le mode du canal sur desirable des
deux cts de la connexion, puis de ractiver les ports. Ensuite, chaque ct forme un canal seulement si les deux cts acceptent de crer
un canal. S'ils n'acceptent pas de crer un canal, les deux cts continuent fonctionner comme des ports normaux.

cat6knative(config-terminal)#interface gigabitethernet 4/1

cat6knative(config-if)#channel-group 3 mode desirable non-silent

Non-correspondance de mode duplex

Les non-correspondances de mode duplex sont courantes en raison d'une mauvaise ngociation automatique de la vitesse et du mode
duplex. la diffrence d'un priphrique en mode semi-duplex, qui doit attendre jusqu' ce qu'il n'y ait aucun autre priphrique qui
transmette sur le mme segment LAN, un priphrique en mode duplex intgral transmet chaque fois que le priphrique a quelque chose
envoyer, indpendamment des autres priphriques. Si cette transmission se produit tandis que le priphrique en mode semi-duplex
transmet, le priphrique en mode semi-duplex considre cela comme une collision (pendant l'intervalle de temps) ou comme une collision
tardive (aprs l'intervalle de temps). Puisque le ct duplex intgral n'attend jamais de collisions, ce ct ne se rend jamais compte qu'il
doit retransmettre ce paquet supprim. Un faible pourcentage de collisions est normal avec le mode semi-duplex mais n'est pas normal
avec le mode duplex intgral. Un port de commutateur qui reoit beaucoup de collisions tardives indique habituellement un problme de
non-correspondance de mode duplex. Assurez-vous que les ports des deux cts du cble sont dfinis la mme vitesse et au mme
duplex. La commande show interfaces interface_number vous indique la vitesse et le duplex pour les ports de commutateur Catalyst. Les
versions ultrieures de Cisco Discovery Protocol (CDP) peuvent vous avertir au sujet d'une non-correspondance de mode duplex avant que
le port soit mis dans l'tat error-disabled.

En outre, il y a des paramtres sur une NIC, tels que des fonctionnalits de polarit automatique, qui peuvent provoquer le problme. En
cas de doute, dsactivez ces paramtres. Si vous avez plusieurs NIC d'un constructeur et que les NIC ont toutes le mme problme,
consultez le site Web du constructeur pour vrifier dans les notes de publication que vous disposez des pilotes les plus rcents.

D'autres causes de collisions tardives sont notamment les suivantes :

Une NIC dfectueuse (avec des problmes physiques, et pas simplement des problmes de configuration)
Un cble dfectueux
Un segment de cble qui est trop long
Protection de port des BPDU

Un port qui utilise PortFast doit seulement se connecter une station d'extrmit (telle qu'un poste de travail ou un serveur) et pas des
priphriques qui produisent des BPDU de spanning tree, tels que des commutateurs, ou des passerelles et des routeurs qui assurent le
pontage. Si le commutateur reoit une BPDU de spanning tree sur un port sur lequel la protection de PortFast pour le spanning tree et des
BPDU pour le spanning tree est active, il met le port en mode errdisabled afin d'assurer la protection contre les boucles potentielles.
PortFast suppose qu'un port sur un commutateur ne peut pas produire une boucle physique. Par consquent, il ignore les contrles de
spanning-tree initiaux pour ce port, ce qui vite l'expiration des stations d'extrmit au dmarrage. L'administrateur rseau doit
soigneusement implmenter PortFast. Sur les ports sur lesquels PortFast est activ, la protection des BPDU permet de garantir que le LAN
reste sans boucles.

Cet exemple montre comment activer cette fonctionnalit. Cet exemple a t choisi parce que la cration d'une situation error-disable est
facile dans ce cas :

cat6knative(config-if)#spanning-tree bpduguard enable

!--- Refer to spanning-tree bpduguard for more information on the command.

Dans cet exemple, un commutateur Catalyst 6509 est connect un autre commutateur (un 6509). Le commutateur 6500 envoie des BPDU
toutes les 2 secondes ( l'aide des paramtres de spanning tree par dfaut). Quand vous activez PortFast sur le port de commutateur 6509,
la fonctionnalit de protection des BPDU observe les BPDU qui entrent sur ce port. Quand une BPDU entre dans le port, ce qui signifie
qu'un priphrique qui n'est pas un priphrique d'extrmit est dtect sur ce port, la fonctionnalit de protection des BPDU dsactive le
port afin d'viter la possibilit d'une boucle de spanning tree.

cat6knative(config-if)#spanning-tree portfast enable

!--- Refer to spanning-tree portfast (interface configuration mode)

!--- for more information on the command.

Warning: Spantree port fast start should only be enabled on ports connected
to a single host. Connecting hubs, concentrators, switches, bridges, etc. to
a fast start port can cause temporary spanning tree loops.

%PM-SP-4-ERR_DISABLE: bpduguard error detected on Gi4/1, putting Gi4/1 in

err-disable state.
Dans ce message, le commutateur indique qu'il a reu une BPDU sur un port ayant PortFast activ, et donc le commutateur a arrt le
port Gi4/1.

cat6knative#show interfaces gigabitethernet 4/1 status

Port Name Status Vlan Duplex Speed Type

Gi4/1 err-disabled 100 full 1000 1000BaseSX

Vous devez dsactiver la fonctionnalit PortFast parce que ce port est un port avec une connexion incorrecte. La connexion est incorrecte
car PortFast est activ, et le commutateur se connecte un autre commutateur. Rappelez-vous que PortFast est destin tre utilis
seulement sur les ports qui se connectent des stations d'extrmit.

cat6knative(config-if)#spanning-tree portfast disable

UDLD

Le protocole UDLD permet aux priphriques qui sont connects via des cbles Ethernet fibre optique ou en cuivre (par exemple, le
cblage de catgorie 5) pour surveiller la configuration physique des cbles et dtecter quand il y a une liaison unidirectionnelle. Quand
une liaison unidirectionnelle est dtecte, UDLD arrte le port affect et alerte l'utilisateur. Les liaisons unidirectionnelles peuvent poser
un certain nombre de problmes, notamment des boucles de topologie Spanning Tree.

Remarque: UDLD fonctionne en permutant des paquets de protocole entre des priphriques voisins. Les deux priphriques sur la liaison
doivent prendre en charge UDLD et avoir UDLD activ sur les ports respectifs. Si vous avez UDLD activ sur seulement un port d'une
liaison, il peut galement laisser l'extrmit configure avec UDLD pour passez dans l'tat errdisable.

Chaque port de commutateur qui est configur pour UDLD envoie les paquets du protocole UDLD qui contiennent le priphrique de port
(ou l'ID de port) et le priphrique voisin (ou les ID de port) qui sont vus par UDLD sur ce port. Les ports voisins doivent voir leur propre
priphrique ou ID de port (cho) dans les paquets qui sont reus en provenance de l'autre ct. Si le port ne voit pas son propre
priphrique ou ID de port dans les paquets UDLD entrants pendant une dure spcifique, la liaison est considre comme
unidirectionnelle. Par consquent, le port respectif est dsactiv et un message semblable celui-ci est imprim sur la console :

PM-SP-4-ERR_DISABLE: udld error detected on Gi4/1, putting Gi4/1 in

err-disable state.

Pour plus d'informations sur le fonctionnement, la configuration et les commandes d'UDLD, rfrez-vous au document Configuration
d'UDLD (UniDirectional Link Detection).
Erreur d'affolement de liaison

L'affolement de liaison signifie que l'interface est continuellement active et dsactive. L'interface est mise dans l'tat errdisabled si elle
s'affole plus de cinq fois en 10 secondes. La cause courante d'un affolement de liaison est un problme de couche 1 tel qu'un mauvais
dfectueux, une non-correspondance de mode duplex ou une carte GBIC (Gigabit Interface Converter) dfectueuse. Regardez les messages
sur la console ou les messages qui ont t envoys au serveur syslog et qui indiquent la raison de l'arrt du port.

%PM-4-ERR_DISABLE: link-flap error detected on Gi4/1, putting Gi4/

1 in err-disable state

mettez la commande suivante afin d'afficher les valeurs d'affolement :

cat6knative#show errdisable flap-values

!--- Refer to show errdisable flap-values for more information on the command.

ErrDisable Reason Flaps Time (sec)

----------------- ------ ----------
pagp-flap 3 30
dtp-flap 3 30
link-flap 5 10

Erreur de bouclage

Une erreur de bouclage se produit quand le paquet keepalive fait une boucle vers le port qui a envoy le keepalive. Le commutateur envoie
des keepalives toutes les interfaces par dfaut. Un priphrique envoie en boucle les paquets l'interface source, ce qui se produit
habituellement parce qu'il y a dans le rseau une boucle logique que le spanning tree n'a pas bloque. L'interface source reoit le paquet
keepalive qu'il a envoy, et le commutateur dsactive l'interface (errdisable). Le message suivant survient parce que le paquet keepalive
fait une boucle vers le port qui a envoy le keepalive :

%PM-4-ERR_DISABLE: loopback error detected on Gi4/1, putting Gi4/1 in

err-disable state
Les keepalives sont envoys sur toutes les interfaces par dfaut dans le logiciel Cisco IOS Version 12.1EA. Dans le logiciel Cisco IOS
Version 12.2SE et ultrieures, les keepalives ne sont pas envoys par dfaut sur les interfaces fibres et avec liaisons ascendantes. Pour
plus d'informations, rfrez-vous au bogue Cisco portant l'ID CSCea46385 (clients enregistrs uniquement).

La solution de contournement suggre est de dsactiver les keepalives et d'effectuer une mise niveau vers le logiciel Cisco IOS
Version 12.2SE ou ultrieures.

Violation de la scurit de port

Vous pouvez utiliser la scurit de port avec des adresses MAC apprises dynamiquement et statiques pour restreindre le trafic entrant d'un
port. Pour restreindre le trafic, vous pouvez limiter les adresses MAC qui sont autorises envoyer du trafic dans le port. Afin de
configurer le port de commutateur en error disable s'il y a une violation de la scurit, mettez la commande suivante :

cat6knative(config-if)#switchport port-security violation shutdown

Une violation de la scurit se produit dans l'une de ces deux situations :

Quand le nombre maximal d'adresses MAC scurises est atteint sur un port scuris et que l'adresse MAC source du trafic entrant
diffre de toutes les adresses MAC scurises identifies

Dans ce cas, la scurit de port applique le mode de violation configur.

Si du trafic avec une adresse MAC scurise qui est configure ou apprises sur un port scuris essaye d'accder un autre port
scuris dans le mme VLAN

Dans ce cas, la scurit de port applique le mode de violation shutdown.

Pour plus d'informations sur la scurit de port, rfrez-vous Configuration de la scurit de port.

Protection L2TP

Quand les PDU de couche 2 entrent dans le tunnel ou accdent au port sur le commutateur de priphrie entrant, le commutateur remplace
l'adresse MAC de destination des PDU du client par une adresse de multidiffusion propritaire Cisco connue (01-00-0c-cd-cd-d0). Si la
transmission tunnel 802.1Q est active, les paquets sont galement doublement marqus. La balise externe est la balise mtro du client et la
balise interne est la balise VLAN du client. Les commutateurs principaux ignorent les balises internes et transfrent le paquet tous les
ports de liaison agre du mme VLAN mtro. Les commutateurs de priphrie du ct sortant restaurent le protocole de couche 2 et les
informations d'adresse MAC appropris, et transfrent les paquets tous les ports de tunnel ou d'accs du mme VLAN mtro. Par
consquent, les PDU de couche 2 sont gardes intactes et remises travers l'infrastructure du fournisseur de services l'autre ct du
rseau client.

Switch(config)#interface gigabitethernet 0/7

l2protocol-tunnel {cdp | vtp | stp}

L'interface passe dans l'tat errdisabled. Si une PDU encapsule (avec l'adresse MAC de destination propritaire) est reue en provenance
d'un port de tunnel ou d'un port d'accs avec la transmission tunnel de couche 2 active, le port de tunnel est arrt pour empcher les
boucles. Le port s'arrte galement quand un seuil d'arrt configur pour le protocole est atteint. Vous pouvez ractiver manuellement le
port (en mettant une squence de commandes shutdown, no shutdown), ou si errdisable recovery est active, l'opration est retente
aprs un intervalle de temps indiqu.

L'interface peut tre rcupre de l'tat errdisable en ractivant le port l'aide de la commande errdisable recovery cause l2ptguard.
Cette commande est utilise pour configurer le mcanisme de rcupration sur une erreur de dbit maximal de couche 2 de sorte que
l'interface puisse tre sortie de l'tat disabled et autorise faire une nouvelle tentative. Vous pouvez galement dfinir un dlai.
Errdisable recovery est dsactive par dfaut ; lorsqu'elle est active, le dlai par dfaut est de 300 secondes.
Cble SFP incorrect

Les ports passent dans l'tat errdisable avec le message d'erreur %PHY-4-SFP_NOT_SUPPORTED quand vous connectez des
commutateurs Catalyst 3560 et Catalyst 3750 l'aide d'un cble d'interconnexion SFP.

Le cble d'interconnexion SFP Cisco Catalyst 3560 (CAB-SFP-50CM=) fournit une connexion Gigabit Ethernet point point faible cot
entre des commutateurs de la gamme Catalyst 3560. Le cble de 50 centimtres (cm) est une alternative l'utilisation d'metteurs-
rcepteurs SFP lors de l'interconnexion de commutateurs de la gamme Catalyst 3560 via leurs ports SFP sur une courte distance. Tous les
commutateurs de la gamme Cisco Catalyst 3560 prennent en charge le cble d'interconnexion SFP.

Quand un commutateur Catalyst 3560 est connect un commutateur Catalyst 3750 ou tout autre type de modle de commutateur
Catalyst, vous ne pouvez pas utiliser le cble CAB-SFP-50CM=. Vous pouvez connecter les deux commutateurs en utilisant un cble
cuivre avec SFP (GLC-T) sur les deux priphriques au lieu d'un cble CAB-SFP-50CM=.
Violation de la scurit 802.1X

DOT1X-SP-5-SECURITY_VIOLATION: Security violation on interface GigabitEthernet4/8,

New MAC address 0080.ad00.c2e4 is seen on the interface in Single host mode
 %PM-SP-4-ERR_DISABLE: security-violation error detected on Gi4/8, putting Gi4/8 in
err-disable state

Ce message indique que le port sur l'interface spcifie est configur en mode hte simple. Tout nouvel hte qui est dtect sur l'interface
est trait comme une violation de la scurit. Le port a t dsactiv pour erreur.

Assurez-vous qu'un seul hte est connect au port. Si vous devez vous connecter un tlphone IP et un hte derrire lui, configurez le
mode Multidomain Authentication sur ce port de commutateur.

Le mode Multidomain Authentication (MDA) permet un tlphone IP et un hte unique derrire le tlphone IP d'tre authentifi
indpendamment, avec 802.1X, le bypass d'authentification MAC (MAB) ou (pour l'hte seulement) l'authentification base sur le Web.
Dans cette application, Multidomain se rfre deux domaines des donnes et Voix et on permet seulement deux adresses MAC par
port. Le commutateur peut placer l'hte dans le VLAN donnes et le tlphone IP dans le VLAN voix, bien qu'ils semblent tre sur le
mme port de commutateur. L'affectation du VLAN donnes peut tre obtenue partir des attributs spcifiques au constructeur (VSA)
reus du serveur AAA dans l'authentification.

Pour plus d'informations, rfrez-vous la section Mode Multidomain Authentication de Configuration de l'authentification base sur le
port 802.1X.

Ractiver les ports errdisabled

Une fois le problme racine corrig, les ports sont encore dsactivs si vous n'avez pas configur errdisable recovery sur le commutateur. Dans
ce cas, vous devez ractiver les ports manuellement. mettez la commande shutdown puis la commande de mode interface no shutdown sur
l'interface associe afin de ractiver manuellement les ports.

La commande errdisable recovery vous permet de choisir le type d'erreurs qui ractivent automatiquement les ports aprs un dlai spcifi. La
commande show errdisable recovery montre l'tat errdisable recovery par dfaut pour toutes les conditions possibles.

cat6knative#show errdisable recovery

ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Disabled
security-violatio Disabled
channel-misconfig Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
arp-inspection Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Remarque: L'intervalle de dlai d'attente est de 300 secondes et, par dfaut, la fonctionnalit de dlai d'attente est dsactive.

Pour activer errdisable recovery et choisir les conditions errdisable, mettez la commande suivante :

cat6knative#errdisable recovery cause ?

all Enable timer to recover from all causes
arp-inspection Enable timer to recover from arp inspection error disable
state
bpduguard Enable timer to recover from BPDU Guard error disable
state
channel-misconfig Enable timer to recover from channel misconfig disable
state
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
disable state
dtp-flap Enable timer to recover from dtp-flap error disable state
gbic-invalid Enable timer to recover from invalid GBIC error disable
state
l2ptguard Enable timer to recover from l2protocol-tunnel error
disable state
link-flap Enable timer to recover from link-flap error disable
state
mac-limit Enable timer to recover from mac limit disable state
pagp-flap Enable timer to recover from pagp-flap error disable
state
psecure-violation Enable timer to recover from psecure violation disable
state
 security-violation Enable timer to recover from 802.1x violation disable
state
udld Enable timer to recover from udld error disable state
unicast-flood Enable timer to recover from unicast flood disable state

Cet exemple montre comment activer la condition errdisable recovery de la protection des BPDU :

cat6knative(Config)#errdisable recovery cause bpduguard

Une fonctionnalit intressante de cette commande est que, si vous activez errdisable recovery, la commande rpertorie les raisons gnrales pour
lesquelles les ports ont t mis dans l'tat errdisable. Dans cet exemple, notez que la fonctionnalit de protection des BPDU tait la raison de
l'arrt du port 2/4 :

cat6knative#show errdisable recovery

ErrDisable Reason Timer Status
----------------- --------------
udld Disabled
bpduguard Enabled
security-violatio Disabled
channel-misconfig Disabled
pagp-flap Disabled
dtp-flap Disabled
link-flap Disabled
l2ptguard Disabled
psecure-violation Disabled
gbic-invalid Disabled
dhcp-rate-limit Disabled
mac-limit Disabled
unicast-flood Disabled
arp-inspection Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Interface Errdisable reason Time left(sec)

--------- --------------------- --------------
Fa2/4 bpduguard 290

Si l'une des conditions d'errdisable recovery est active, les ports avec cette condition sont ractivs aprs 300 secondes. Vous pouvez galement
changer cette valeur par dfaut de 300 secondes si vous mettez la commande suivante :

cat6knative(Config)#errdisable recovery interval timer_interval_in_seconds

Cet exemple modifie le dlai d'errdisable recovery de 300 400 secondes :

cat6knative(Config)#errdisable recovery interval 400

Vrifiez

show version Affiche la version du logiciel qui est utilis sur le commutateur.
affichez l'tat d' interface_number d'interface d' interfaces Affiche l'tat actuel du port de commutateur.
show errdisable detect Affiche les configurations actuelles de la caractristique errdisable de dlai d'attente et, si les ports l'uns des
sont actuellement erreur dsactive, de la raison pour laquelle ils sont erreur dsactive.

Dpannez

errer-handicaps de show interfaces status Affiche quels ports locaux sont impliqus dans l'tat errdisabled.
rsum de show etherchannel Affiche l'tat actuel de l'EtherChannel.
show errdisable recovery Affiche le dlai prvu aprs quoi les interfaces sont activs pour des conditions errdisable.
show errdisable detect Affiche la raison pour l'tat errdisable.

Pour plus d'informations sur de dpannage des problmes de ports de commutateur, rfrez-vous Dpannage des problmes lis au port de
commutateur et l'interface.

Informations connexes
Notes techniques de dpannage
 1992-2010 Cisco Systems Inc. Tous droits rservs.

Date du fichier PDF gnr: 19 octobre 2014

http://www.cisco.com/cisco/web/support/CA/fr/109/1096/1096522_errdisable_recovery.html