در این مطلب قصد داریم به آموزش برسی مشکل err-disabled در سوئیچ سیسکو بپردازیم. مشکل err-disabled در سوئیچ های سیسکو به معنی این است که یکی از پورت های سوئیچ به دلیل انجام یکی از عملیات های امنیتی یا خطای دیگری غیرفعال شده است. این ممکن است به دلیل اتصال یک دستگاه غیرمجاز، اتصال یک دستگاه با مشکلات یا همچنین اشکال در تنظیمات سوئیچ باشد.
برای رفع مشکل err-disabled در سوئیچ های سیسکو، می توانید اقدامات زیر را انجام دهید:
- بررسی وضعیت پورت ها: با استفاده از دستور show interfaces status در حالت privileged mode و بررسی وضعیت پورت ها می توانید مشکل را شناسایی کنید.
- بررسی لاگ ها: با استفاده از دستور show logging یا show logging | include err-disabled می توانید لاگ ها را بررسی کرده و علت خطای err-disabled را پیدا کنید.
- رفع مشکل: برای رفع مشکل err-disabled، می توانید اقداماتی مانند ریست پورت، تغییر تنظیمات یا اتصال دستگاه های مشکوک را انجام دهید.
- پیکربندی امنیتی: برای جلوگیری از تکرار این مشکل، می توانید تنظیمات امنیتی مناسبی را بر روی سوئیچ اعمال کنید مانند اعمال ACL، تعیین VLAN های امن و …
با انجام این اقدامات، می توانید مشکل err-disabled در سوئیچ های سیسکو را رفع کرده و از ادامه به کار بدون مشکل لذت ببرید.
برسی مشکل err-disabled در سوئیچ های سیسکو
اگر تجربه کار با catalyst های سیسکو را دارید حتما برایتان پیش آمده كه بعضی از پورت های سوئیچ شما ناگهانی و زیر بار خاموش شود. امکان دارد تصور كنید كه آن پورت دچار مشکل شده و یا به اصطلاح سوخته می باشد. اما همیشه اینطور نیست.گاهی اوقات خود سوئیچ يک یا چند پورت را برای حفاظت بیشتر به حالت disable می برد. به این تکنولوژی err-disabled گفته می شود.
لیست سوئیچ های كه از err-disabled پشتیبانی می كنند به شرح زیر است:
- CatOS:
- 2948G
- 4000 – 4500
- 5000 – 5500
- 6000 – 6500
- IOS:
- 2900XL – 3500XL
- 2940 – 2950 – 2960 – 2970
- 3550 – 3560 – 3560-E – 3750 – 3750-E
- 4000 – 4500
- 6000 – 6500
این پیش آمد می تواند یکی از دلیل های زیر را داشته باشد كه هر يک را توضیح داده و نحوه برطرف کردن آن را خواهیم گفت. اما ابتدا باید به نحوه کشف این خطا بپردازیم. ساده ترین راه آن مشاهده خاموش بودن پورت می باشد. اما در صورتی كه وارد سوئیچ شویم با show گرفتن از آن اینترفیس خاص این خطا را مشاهده می كنیم:
show interface Gigabitethernet 0/23 statusPort Name Status Vlan Duplex Speed TypeGi0/23 err-disabled 100 full 1000 1000BaseSX
و راه دیگر آن مشاهده لاگ آن در syslog یا console روتر است كه خطایی مشابه این به شما می دهد:
%SPANTREE-SP-2-BLOCK_BPDUGUARD:Received BPDU on port GigabitEthernet4/1 with BPDU Guard enabled. Disabling port.%PM-SP-4-ERR_DISABLE:bpduguard error detected on Gi4/1, putting Gi4/1 in err-disable state
در ابتدا امکان err-disabled برای جلوگیری از collision های خاص طراحی شد اما بعدا به موارد دیگر هم تعمیم داده شد. كه دلیلهای collision امکان دارد زیاد بودن طول کابل یا عدم کیفیت کابل یا یکی نبودن duplex دو طرف باشد. این روزها شرکتهای تولید کابل آلیاژ پائین تری از مس در کابل ها استفاده می كنند.
معمولا در صورتی كه سوئیچ شما زیر يک دکل بلند نصب باشد و یا در صورتی كه از PoE های غیر مرغوب استفاده می كنید حتما دچار چنین مشکلی خواهید شد. err-disabled به صورت پیش فرض بر روی همه سوئیج ها فعال است كه می توان با دستور زیر آن را غیر فعال کرد:
no errdisable cause all
و اما راه حل آن:
برای حل این مشکل پس از پیدا کردن دلیل, باید آن را مرتقع سازیم سپس با یکبار غیر فعال و دوباره فعال کردن آن پورت مشکل حل میگردد. كه راه بر طرف کردن هر يک از مشکلات به صورت کامل توضیح داده شده است:
در ابتدا err-disabled را در وضعیت recovery قرار میدهیم:
errdisable recovery cause all
که دستور فوق میتواند به جای کلمه all هر يک از علل مورد نیاز وارد شود.
پس از اجرای دستور زیر لیست همه اینترفیس ها به علاوه دلیل disable شدن هر یک, به ما نشان داده می شود:
show errdisable recovery ErrDisable Reason Timer Status—————– ————–udld Enabledbpduguard Enabledsecurity-violatio Enabledchannel-misconfig Enabledpagp-flap Enableddtp-flap Enabledlink-flap Enabledl2ptguard Enabledpsecure-violation Enabledgbic-invalid Enableddhcp-rate-limit Enabledmac-limit Enabledunicast-flood Enabledarp-inspection Enabled Timer interval: 300 seconds Interfaces that will be enabled at the next timeout: Interface Errdisable reason Time left(sec)——— ——————— ————–Fa2/4 bpduguard 273
عدم رعایت duplex
هر دو اینترفیس 2 دستگاه كه به یکدیگر متصل می گردند باید بر روی يک duplex یکسان تنظیم شوند. البته در اکثر تجهیزات duplex به صورت اتوماتيک ست شده كه هر حالتی كه طرف مقابل باشد خود را تطبیق خواهد داد. امااین خطا زمانی صورت می گیرد كه دو طرف نتوانند بر روی يک duplex به توافق برسند.
همانطور كه میدانید collision متعلق به شبکه های half duplex است و در صورتی كه يک طرف half duplex کار كند و طرف دیگر full duplex و به دلیل اینکه شبکه full duplex تمهیداتی برای جلوگیری از collision نمی بیند شاهد collision در این میان خواهیم بود.
البته در شبکه های half duplex ما شاهد درصد کمی collision خواهیم بود كه این طبیعی و نا گریز است اما در صورتی كه درصد آن بالا رود آنگاه err-disabled وارد عمل خواهد شد. بر خی از علل collision میتواند کارت شبکه غیر مرغوب, کابل بی کیفیت و یا کابل با طول بلند باشد.
عدم تنظیمات صحیح etherchannel
برای تنظیم etherchannel بین 2 سوئیچ حتما میبایست هر دو یا چند پورت درون يک vlan, دارای يک وضعیت trunk مشابه, دارای speed یکسان, دارای duplex یکسان و در کل دارای تنظیمات یکسان باشند. كه در غیر اینصورت يک خطا به این شکل در console ظاهر می شود. كه این خطا به دلیل تنظیم نکردن یکی از سوئیچ ها به عنوان etherchannle رخ داده است پسSTP باعث block کردن ترافيک از یکی از پورتها می شود.
%SPANTREE-2-CHNL_MISCFG: Detected loop due to etherchannel misconfiguration of Gi4/1
BPDU port gaurd
حتما به این نکته توجه کرده اید كه چراغ سوئیچ های سیسکو بر عکس همه سوئیچ ها مدتی پس از اتصال کابل نارنجی رنگ و پورت غیر قابل استفاده و بعد از حدود 30 ثانیه سبز شده و میتوان از آن بهره مند شد. دلیل این اتفاق جلوگیری از پیش آمد loop در شبکه است. یعنی قبل از up شدن پورت, سوئیچ آن پورت را توسط پروتکل spanning-tree protocol چک می كند. حال ما میتوانیم با فعال کردن قابلیت portfast switching این کار spanning-tree را غیر فعال کرده در نتیجه پورت سریعتر UP شود.
اما در این حالت پورت حتما باید به دستگاههای نهایی نظیر کامپیوتر متصل گردد و نباید به دستگاهایی مثل سوئیچ یا بریج وصل شود زیرا در این حالت پورت با پروتکل spanning-tree كنترل نمیگردد اما برای حفاظت BPDU port guard روی آن فعال است كه BPDU port gaurd در صورت مشاهده loop در این پورت, پورت را به حالت eer-disabled می برد.
برای رفع خطای err-disabled كه به این دلیل بوجود آمده می باشد. شما باید portfast switching را غیر فعال کرده و یکبار اینترفیس را shut و no shut كنید.
interface fastethernet 2/5spanning-tree portfast disableshutdownno shutdown
Loopback error
هر سوئیچ دائما يک سری packet به عنوان keepalive به همه پورتها ( به استثنای پورتهای فیبر و Uplink) می فرستد. كه سوئیچ این کار را برای تشخیص وجود دستگاهی در آن اینترفیس انجام می دهد. حال در صورتی كه این keepalive packet ها به خود سوئیچ برگردد به هر دلیلی, سوئیچ آن پورت را به حالت err-disabled می برد.
L2pt guard
وقتی بخواهیم بین 2 شبکه بزرگ كه از طریق يک روتر به هم متصلند, يک ارتباط لایه 2 داشته باشیم باید يک تانل لایه 2 میان این دو شبکه بر قرار كنیم. ما در شبکه خود يک tag بر روی پکت ها توسط پروتکل 802.1q می زنیم. اما برای ارسال آن به يک شبکه دیگر باید يک tag دیگر علاوه بر اولی بر روی پکت ها بخورد. كه این tag دوم توسط تانل لایه 2 صورت می گیرد. این تانل لایه 2 به صورت اتوماتيک MAC Address مقصد را به 01-00- 0c-cd-cd-d0 عوض می كند.
حالا در صورتی كه در شبکه مقصد از هر اینترفیس دیگری يک پکت با این مقصد وارد شود, آن پورت به حالت err-disabled می رود.
UDLD
Unidirectional link detection قابلیتی است كه در سوئیچ های بالای سری 6500 سیسکو قرار دارد. کار این پروتکل تشخیص این است كه ایا میان 2 سوئیچ به هم متصل دستگاه دیگری قرار دارد یا خیر. همینطور این پروتکل در صورت عوض شدن جای tx و rx وارد عمل شده و اینترفیس را به حالت err-disabled می برد. در صورتی كه دو دستگاه كه به یکدیگر متصلند تنها يک طرف UDLD را فعال کرده باشد پورت به حالت err-disabled می رود. پس وقتی دستگاهی مابین این دو سوئیچ قرار گیرد چون از UDLD پشتیبانی نمی كند هر دو سوئیچ آن پورت را به حالت err-disabled می برند.
Link-flap error
وقتی كه يک اینترفیس به صورت مداوم قطع و وصل شود اصطلاحا به آن Link-flap error می گویند. اما وقتی این رویداد بیشتر از 5 بار در 10 ثانیه اتفاق بیفتد سوئیچ آن پورت را به حالت err-disabled می برد. كه دلیل این اتفاق می تواند اتصالات ضعیف, جنس بد کابل, یا عدم کیفیت GBIC باشد.
Port security violation
در سوئیچ های سیسکو امکانی به اسم port security وجود دارد. با این قابلیت می توان مشخص کرد كه چه MAC Address هایی به يک اینترفیس اجازه ارسال ترافيک دارند. حال در صورتی كه به يک پورت MAC Addressi به غیر MAC اجازه داده شده وارد شود, سوئیچ این پورت را به حالت err-disabled می برد و همینطور در صورتی كه يک MAC Address مجاز به پورت دیگری از سوئیچ كه در همان VLAN پورت اول است متصل شود. باز هم به حالت err-disabled می رود.
802.1x Security Violation
زمانی كه از پروتکل 802.1x برای احراز هویت MAC address بر روی سوئیچ های سیسکو استفاده می كنیم در صورتی كه يک پورت خاص در حالت single-host تعریف شده باشد و سوئیچ دو MAC Address روی آن پورت مشاهده كند, آن پورت را به حالت err-disabled می برد. كه برای حل این مشکل مثلا وقتی كه آن اینترفیس به يک IP Phone یا Access Point متصل است می توانیم آن اینترفیس را در حالت Multidomain Authentication قرار دهیم.
پس از حل کردن هر کدام از مشکلات فوق با يک بار Shutdown و no Shutdown کردن آن پورت, پورت به حالت عادی بر میگردد. ما هم می توانیم با فعال کردن errdisable recovery و مشخص کردن مدت زمان معین كه به صورت پیش فرض 300 ثانیه است به صورت اتوماتيک پورت ها را از حالت err-disabled خارج كنیم.
Incorrect SFP cable
زمانی كه قصد اتصال 2 سوئیچ 3560 یا يک سوئیچ 3560 با يک 3750 را داریم در صورتی كه از کابل CAB-SFP-50CM استفاده كنیم كه يک تکه فیبر 50 سانتی متری با کانکتور SFP است اینترفیس های ما به حالت err-disabled می رود. از این کابل به دلیل کاهش هزینه ها به کار می روند كه کابل مسی را می توان جایگزین آن کرد.