交換機(jī)等網(wǎng)絡(luò)設(shè)備的某些問題不僅僅會影響到某個端口的工作，而且還會影響到整臺交換機(jī)的正常運(yùn)行。如下圖所示，如果IP地址為192.168.0.2的主機(jī)中了病毒，不斷的向所在的廣播域發(fā)送廣播風(fēng)暴或者進(jìn)行多次ARP檢測，此時連接這臺PC的交換機(jī)端口工作指示燈會不斷的閃爍，表明傳輸?shù)臄?shù)據(jù)量非常的大。如果不對這種情況進(jìn)行抑制的話，則這個問題會影響到整臺交換機(jī)，甚至整個網(wǎng)絡(luò)，最終導(dǎo)致網(wǎng)絡(luò)性能下降或者癱瘓。

一、利用Error-Disable特性避免問題擴(kuò)大

那么是否有有效的機(jī)制能夠?qū)栴}鎖定在最小的范圍之內(nèi)呢，避免問題無限擴(kuò)大涉及到無辜?在思科系列的交換機(jī)中，就是采用Error-Disable特性來解決這個問題。通過error-disable特性，可以實(shí)現(xiàn)在錯誤狀態(tài)影響到整臺交換機(jī)或者其余網(wǎng)絡(luò)之間，讓交換機(jī)及時的檢測到特定接口的錯誤情況并自動將這個端口設(shè)置為Error-Disable狀態(tài)，禁止任何數(shù)據(jù)的轉(zhuǎn)發(fā)。

如上圖所示，在交換機(jī)的各個端口網(wǎng)絡(luò)管理員都設(shè)置了嚴(yán)格的端口安全規(guī)定。此時如果192.168.0.2主機(jī)發(fā)送違規(guī)的數(shù)據(jù)包，違反了端口安全規(guī)定，此時只要交換機(jī)啟用了Error-Disable特性，那么交換機(jī)就能夠及時的檢測到這種情況。并會在第一時間將這臺主機(jī)連接的交換機(jī)端口設(shè)置為Error-Disable狀態(tài)。此時就好像禁用了這個接口一樣，交換機(jī)將不會接受來自這個違規(guī)主機(jī)的任何數(shù)據(jù)包，直到這個接口恢復(fù)為正常為止。通過這種機(jī)制，可以將網(wǎng)絡(luò)威脅或者故障限制在最小的范圍之內(nèi)，避免影響到其它正常的交換機(jī)端口。

在啟用這個特性之前，網(wǎng)絡(luò)管理員需要了解交換機(jī)會自動監(jiān)測哪些錯誤。這對于后續(xù)的維護(hù)與故障排除具有很大的幫助。一般來說，型號不同，其檢測的錯誤也有所不同。大部分情況下，思科系列的交換機(jī)可以檢測到如下幾種常見的錯誤。如單播擴(kuò)善、風(fēng)暴控制、端口安全違規(guī)、鏈路翻動、DHCP限速違規(guī)、BPDU防護(hù)檢測、ARP檢測等等多到十多種錯誤。不過由于不同的型號之間有比較大的差異，為此還需要管理員在選購交換機(jī)之前根據(jù)企業(yè)自身的需要進(jìn)行確認(rèn)。 #p#

二、利用自動恢復(fù)機(jī)制來恢復(fù)交換機(jī)端口

當(dāng)檢測上以上任何一種錯誤代碼時，交換機(jī)就會將特定的端口設(shè)置為error-diable狀態(tài)。出于這種狀態(tài)的交換機(jī)端口，其工作狀態(tài)就類似于鏈路Down狀態(tài)。當(dāng)然，這種狀態(tài)不能夠一直持續(xù)下去，等到故障解除后需要將這個狀態(tài)再改回去，讓其能夠正常工作。這就涉及到端口的恢復(fù)問題。

其實(shí)我們都知道，不少的網(wǎng)絡(luò)錯誤可能是突發(fā)的。如過多的廣播風(fēng)暴等等，其可能是由于企業(yè)外來人員的電腦臨時接到企業(yè)網(wǎng)絡(luò)所造成的。因?yàn)榇蟛糠制髽I(yè)都有比較全面的防火墻與企業(yè)級別的防病毒軟件。病毒想從企業(yè)外界侵入的話比較困難。所以很多病毒都是從企業(yè)內(nèi)部突破的。當(dāng)外來人員的電腦離開企業(yè)網(wǎng)絡(luò)之后，這種情況就會解除。那么此時交換機(jī)的端口也要能夠自動恢復(fù)。如果過長的將交換機(jī)端口處于Error-Disable狀態(tài)，會影響到企業(yè)用戶的正常網(wǎng)絡(luò)通信。為了減少這個負(fù)面影響，我們就想到交換機(jī)能否有自動恢復(fù)的機(jī)制。即每隔一段時間去檢測交換機(jī)故障端口，看看故障的原因還是否存在。如果故障已經(jīng)消除了，那么就自動恢復(fù)這個端口。如此的話，當(dāng)終端故障消除后，就不用在手工的對交換機(jī)的端口進(jìn)行恢復(fù)操作。

值得慶幸的是，思科系列的交換機(jī)正好支持這個自動恢復(fù)的策略。通過在交換機(jī)中配置合理的時間間隔，交換機(jī)就能夠自動從error-disable故障狀態(tài)恢復(fù)到正常狀態(tài)。不過其實(shí)現(xiàn)的比我們設(shè)想的還有一段距離。交換機(jī)的自動恢復(fù)策略并不會實(shí)時的監(jiān)測交換機(jī)的故障原因是否解除。而是每隔一段時間將端口恢復(fù)，而不管連接這個端口的客戶端問題是否解決了。如果恢復(fù)后發(fā)現(xiàn)錯誤仍然存在，那么這個接口就會馬上再一次進(jìn)入到error-diable狀態(tài)。只有問題真正的解決了，這個端口才能夠正常的工作。可見自動恢復(fù)機(jī)制也有一定的漏洞。因?yàn)槎丝跔顟B(tài)頻繁的轉(zhuǎn)換，會造成網(wǎng)絡(luò)的時端時續(xù)。為此筆者對思科廠商有一個建議。最好能夠有一個機(jī)制能夠?qū)rror-Disable狀態(tài)的端口進(jìn)行偵測，如果在一段時間內(nèi)問題流量沒有再出現(xiàn)的話，那么就將這個端口進(jìn)行恢復(fù)。否則的話，就一直處于Error-Disable狀態(tài)。而不是不管三七二十一，先恢復(fù)再說。

不過到目前為止，這個自動恢復(fù)機(jī)制的效果還是可以的。畢竟等到客戶端問題解決了，不需要重新維護(hù)交換機(jī)。如果要啟用這個特性的話，可以使用如下的命令實(shí)現(xiàn)。

Errdisable recovery interval int1.其中參數(shù)int1就是自動恢復(fù)的時間間隔。最后筆者在此強(qiáng)調(diào)一次，自動恢復(fù)機(jī)制并不會判斷問題是否已經(jīng)解決了。也就是說，其是被動的。等到設(shè)置的間隔時間到了之后，交換機(jī)會自動恢復(fù)端口，讓其處于工作狀態(tài)。當(dāng)發(fā)現(xiàn)故障原因還依舊時，再將端口設(shè)置為error-disable狀態(tài)。周而復(fù)始，直到故障原因真正消除為此。這一點(diǎn)網(wǎng)絡(luò)工程師在啟用這個方案時需要引起足夠的重視。 #p#

三、利用手工恢復(fù)來解決復(fù)雜的問題

如果故障的原因比較復(fù)雜，不能夠在短時間內(nèi)解決，那么筆者建議最好采用手工恢復(fù)的措施。等到問題原因查明并解決之后，再將端口進(jìn)行手工恢復(fù)。如此雖然可能會延長端口當(dāng)機(jī)的時間，但是卻可以避免交換機(jī)由于端口狀態(tài)頻繁轉(zhuǎn)換而造成的一系列比必要的麻煩。正如上面所說的，采用自動恢復(fù)策略交換機(jī)并不能夠判斷問題是否真正消除了。

如果要使用手工恢復(fù)策略的話，主要需要用到兩個命令。首先是使用shutdown命令，將出現(xiàn)故障的接口關(guān)閉掉。然后再使用no shutdown命令啟用這個端口，就可以實(shí)現(xiàn)從error-diable狀態(tài)中恢復(fù)。不過這里需要注意的是，無論是手工恢復(fù)還是自動恢復(fù)，只要這個導(dǎo)致交換機(jī)處于Error-Disable狀態(tài)的原因沒有真正消除，交換機(jī)仍然會將這個端口設(shè)置為Error-Disable狀態(tài)。只有真正找到問題的根本原因才能夠避免接口重新進(jìn)入到這個故障狀態(tài)。采用手工恢復(fù)明顯會延長故障的時間。

為了解決這個問題，筆者的建議是可以先查找問題的主機(jī)。如有可能在交換機(jī)的同一個接口上通過集線器等中間設(shè)備連接了多臺主機(jī)。此時可以通過其他的一些手段先查找故障的主機(jī)。找到之后先將其與企業(yè)的網(wǎng)絡(luò)斷掉，然后恢復(fù)交換機(jī)端口。此時由于故障主機(jī)已經(jīng)與網(wǎng)絡(luò)斷離，就相當(dāng)于故障原因已經(jīng)解決了。交換機(jī)的端口就可以正常工作。然后再花時間來查明故障主機(jī)的原因。等原因查明了再連接到企業(yè)網(wǎng)絡(luò)中。有時候如果交換機(jī)端口連接了多個集線器等網(wǎng)絡(luò)設(shè)備，我們可以先一個個的斷掉集線器，以判斷是哪一部分出現(xiàn)問題。然后將出現(xiàn)問題的部分與交換機(jī)之間的連接斷掉，減少對其他正常部分網(wǎng)絡(luò)的影響。

可見，讓交換機(jī)的端口從eroor-disable狀態(tài)中恢復(fù)過來，解決故障的原因是一個措施。不過有時候?yàn)榱藴p少故障的時候，即使不解決問題只要將有問題的網(wǎng)絡(luò)部分的隔離也行。

總之，采用error-disable特性能夠避免單個或者多個端口所發(fā)生的錯誤狀態(tài)影響到其他的交換機(jī)端口或者其他正常的網(wǎng)絡(luò)。為了提高網(wǎng)絡(luò)的穩(wěn)定性，筆者建議在企業(yè)網(wǎng)絡(luò)部署中開啟這個特性。不過需要注意的是，這只是一個被動的措施。其只是發(fā)現(xiàn)問題，而不會自動的查找原因、解決問題。網(wǎng)絡(luò)管理員仍然需要積極的查找問題的原因，盡量減少故障的時間。