交換機(jī)等網(wǎng)絡(luò)設(shè)備的某些問(wèn)題不僅僅會(huì)影響到某個(gè)端口的工作，而且還會(huì)影響到整臺(tái)交換機(jī)的正常運(yùn)行。如下圖所示，如果IP地址為192.168.0.2的主機(jī)中了病毒，不斷的向所在的廣播域發(fā)送廣播風(fēng)暴或者進(jìn)行多次ARP檢測(cè)，此時(shí)連接這臺(tái)PC的交換機(jī)端口工作指示燈會(huì)不斷的閃爍，表明傳輸?shù)臄?shù)據(jù)量非常的大。如果不對(duì)這種情況進(jìn)行抑制的話，則這個(gè)問(wèn)題會(huì)影響到整臺(tái)交換機(jī)，甚至整個(gè)網(wǎng)絡(luò)，最終導(dǎo)致網(wǎng)絡(luò)性能下降或者癱瘓。

一、利用Error-Disable特性避免問(wèn)題擴(kuò)大

那么是否有有效的機(jī)制能夠?qū)?wèn)題鎖定在最小的范圍之內(nèi)呢，避免問(wèn)題無(wú)限擴(kuò)大涉及到無(wú)辜?在思科系列的交換機(jī)中，就是采用Error-Disable特性來(lái)解決這個(gè)問(wèn)題。通過(guò)error-disable特性，可以實(shí)現(xiàn)在錯(cuò)誤狀態(tài)影響到整臺(tái)交換機(jī)或者其余網(wǎng)絡(luò)之間，讓交換機(jī)及時(shí)的檢測(cè)到特定接口的錯(cuò)誤情況并自動(dòng)將這個(gè)端口設(shè)置為Error-Disable狀態(tài)，禁止任何數(shù)據(jù)的轉(zhuǎn)發(fā)。

如上圖所示，在交換機(jī)的各個(gè)端口網(wǎng)絡(luò)管理員都設(shè)置了嚴(yán)格的端口安全規(guī)定。此時(shí)如果192.168.0.2主機(jī)發(fā)送違規(guī)的數(shù)據(jù)包，違反了端口安全規(guī)定，此時(shí)只要交換機(jī)啟用了Error-Disable特性，那么交換機(jī)就能夠及時(shí)的檢測(cè)到這種情況。并會(huì)在第一時(shí)間將這臺(tái)主機(jī)連接的交換機(jī)端口設(shè)置為Error-Disable狀態(tài)。此時(shí)就好像禁用了這個(gè)接口一樣，交換機(jī)將不會(huì)接受來(lái)自這個(gè)違規(guī)主機(jī)的任何數(shù)據(jù)包，直到這個(gè)接口恢復(fù)為正常為止。通過(guò)這種機(jī)制，可以將網(wǎng)絡(luò)威脅或者故障限制在最小的范圍之內(nèi)，避免影響到其它正常的交換機(jī)端口。

在啟用這個(gè)特性之前，網(wǎng)絡(luò)管理員需要了解交換機(jī)會(huì)自動(dòng)監(jiān)測(cè)哪些錯(cuò)誤。這對(duì)于后續(xù)的維護(hù)與故障排除具有很大的幫助。一般來(lái)說(shuō)，型號(hào)不同，其檢測(cè)的錯(cuò)誤也有所不同。大部分情況下，思科系列的交換機(jī)可以檢測(cè)到如下幾種常見(jiàn)的錯(cuò)誤。如單播擴(kuò)善、風(fēng)暴控制、端口安全違規(guī)、鏈路翻動(dòng)、DHCP限速違規(guī)、BPDU防護(hù)檢測(cè)、ARP檢測(cè)等等多到十多種錯(cuò)誤。不過(guò)由于不同的型號(hào)之間有比較大的差異，為此還需要管理員在選購(gòu)交換機(jī)之前根據(jù)企業(yè)自身的需要進(jìn)行確認(rèn)。 #p#

二、利用自動(dòng)恢復(fù)機(jī)制來(lái)恢復(fù)交換機(jī)端口

當(dāng)檢測(cè)上以上任何一種錯(cuò)誤代碼時(shí)，交換機(jī)就會(huì)將特定的端口設(shè)置為error-diable狀態(tài)。出于這種狀態(tài)的交換機(jī)端口，其工作狀態(tài)就類似于鏈路Down狀態(tài)。當(dāng)然，這種狀態(tài)不能夠一直持續(xù)下去，等到故障解除后需要將這個(gè)狀態(tài)再改回去，讓其能夠正常工作。這就涉及到端口的恢復(fù)問(wèn)題。

其實(shí)我們都知道，不少的網(wǎng)絡(luò)錯(cuò)誤可能是突發(fā)的。如過(guò)多的廣播風(fēng)暴等等，其可能是由于企業(yè)外來(lái)人員的電腦臨時(shí)接到企業(yè)網(wǎng)絡(luò)所造成的。因?yàn)榇蟛糠制髽I(yè)都有比較全面的防火墻與企業(yè)級(jí)別的防病毒軟件。病毒想從企業(yè)外界侵入的話比較困難。所以很多病毒都是從企業(yè)內(nèi)部突破的。當(dāng)外來(lái)人員的電腦離開企業(yè)網(wǎng)絡(luò)之后，這種情況就會(huì)解除。那么此時(shí)交換機(jī)的端口也要能夠自動(dòng)恢復(fù)。如果過(guò)長(zhǎng)的將交換機(jī)端口處于Error-Disable狀態(tài)，會(huì)影響到企業(yè)用戶的正常網(wǎng)絡(luò)通信。為了減少這個(gè)負(fù)面影響，我們就想到交換機(jī)能否有自動(dòng)恢復(fù)的機(jī)制。即每隔一段時(shí)間去檢測(cè)交換機(jī)故障端口，看看故障的原因還是否存在。如果故障已經(jīng)消除了，那么就自動(dòng)恢復(fù)這個(gè)端口。如此的話，當(dāng)終端故障消除后，就不用在手工的對(duì)交換機(jī)的端口進(jìn)行恢復(fù)操作。

值得慶幸的是，思科系列的交換機(jī)正好支持這個(gè)自動(dòng)恢復(fù)的策略。通過(guò)在交換機(jī)中配置合理的時(shí)間間隔，交換機(jī)就能夠自動(dòng)從error-disable故障狀態(tài)恢復(fù)到正常狀態(tài)。不過(guò)其實(shí)現(xiàn)的比我們?cè)O(shè)想的還有一段距離。交換機(jī)的自動(dòng)恢復(fù)策略并不會(huì)實(shí)時(shí)的監(jiān)測(cè)交換機(jī)的故障原因是否解除。而是每隔一段時(shí)間將端口恢復(fù)，而不管連接這個(gè)端口的客戶端問(wèn)題是否解決了。如果恢復(fù)后發(fā)現(xiàn)錯(cuò)誤仍然存在，那么這個(gè)接口就會(huì)馬上再一次進(jìn)入到error-diable狀態(tài)。只有問(wèn)題真正的解決了，這個(gè)端口才能夠正常的工作?？梢?jiàn)自動(dòng)恢復(fù)機(jī)制也有一定的漏洞。因?yàn)槎丝跔顟B(tài)頻繁的轉(zhuǎn)換，會(huì)造成網(wǎng)絡(luò)的時(shí)端時(shí)續(xù)。為此筆者對(duì)思科廠商有一個(gè)建議。最好能夠有一個(gè)機(jī)制能夠?qū)rror-Disable狀態(tài)的端口進(jìn)行偵測(cè)，如果在一段時(shí)間內(nèi)問(wèn)題流量沒(méi)有再出現(xiàn)的話，那么就將這個(gè)端口進(jìn)行恢復(fù)。否則的話，就一直處于Error-Disable狀態(tài)。而不是不管三七二十一，先恢復(fù)再說(shuō)。

不過(guò)到目前為止，這個(gè)自動(dòng)恢復(fù)機(jī)制的效果還是可以的。畢竟等到客戶端問(wèn)題解決了，不需要重新維護(hù)交換機(jī)。如果要啟用這個(gè)特性的話，可以使用如下的命令實(shí)現(xiàn)。

Errdisable recovery interval int1.其中參數(shù)int1就是自動(dòng)恢復(fù)的時(shí)間間隔。最后筆者在此強(qiáng)調(diào)一次，自動(dòng)恢復(fù)機(jī)制并不會(huì)判斷問(wèn)題是否已經(jīng)解決了。也就是說(shuō)，其是被動(dòng)的。等到設(shè)置的間隔時(shí)間到了之后，交換機(jī)會(huì)自動(dòng)恢復(fù)端口，讓其處于工作狀態(tài)。當(dāng)發(fā)現(xiàn)故障原因還依舊時(shí)，再將端口設(shè)置為error-disable狀態(tài)。周而復(fù)始，直到故障原因真正消除為此。這一點(diǎn)網(wǎng)絡(luò)工程師在啟用這個(gè)方案時(shí)需要引起足夠的重視。 #p#

三、利用手工恢復(fù)來(lái)解決復(fù)雜的問(wèn)題

如果故障的原因比較復(fù)雜，不能夠在短時(shí)間內(nèi)解決，那么筆者建議最好采用手工恢復(fù)的措施。等到問(wèn)題原因查明并解決之后，再將端口進(jìn)行手工恢復(fù)。如此雖然可能會(huì)延長(zhǎng)端口當(dāng)機(jī)的時(shí)間，但是卻可以避免交換機(jī)由于端口狀態(tài)頻繁轉(zhuǎn)換而造成的一系列比必要的麻煩。正如上面所說(shuō)的，采用自動(dòng)恢復(fù)策略交換機(jī)并不能夠判斷問(wèn)題是否真正消除了。

如果要使用手工恢復(fù)策略的話，主要需要用到兩個(gè)命令。首先是使用shutdown命令，將出現(xiàn)故障的接口關(guān)閉掉。然后再使用no shutdown命令啟用這個(gè)端口，就可以實(shí)現(xiàn)從error-diable狀態(tài)中恢復(fù)。不過(guò)這里需要注意的是，無(wú)論是手工恢復(fù)還是自動(dòng)恢復(fù)，只要這個(gè)導(dǎo)致交換機(jī)處于Error-Disable狀態(tài)的原因沒(méi)有真正消除，交換機(jī)仍然會(huì)將這個(gè)端口設(shè)置為Error-Disable狀態(tài)。只有真正找到問(wèn)題的根本原因才能夠避免接口重新進(jìn)入到這個(gè)故障狀態(tài)。采用手工恢復(fù)明顯會(huì)延長(zhǎng)故障的時(shí)間。

為了解決這個(gè)問(wèn)題，筆者的建議是可以先查找問(wèn)題的主機(jī)。如有可能在交換機(jī)的同一個(gè)接口上通過(guò)集線器等中間設(shè)備連接了多臺(tái)主機(jī)。此時(shí)可以通過(guò)其他的一些手段先查找故障的主機(jī)。找到之后先將其與企業(yè)的網(wǎng)絡(luò)斷掉，然后恢復(fù)交換機(jī)端口。此時(shí)由于故障主機(jī)已經(jīng)與網(wǎng)絡(luò)斷離，就相當(dāng)于故障原因已經(jīng)解決了。交換機(jī)的端口就可以正常工作。然后再花時(shí)間來(lái)查明故障主機(jī)的原因。等原因查明了再連接到企業(yè)網(wǎng)絡(luò)中。有時(shí)候如果交換機(jī)端口連接了多個(gè)集線器等網(wǎng)絡(luò)設(shè)備，我們可以先一個(gè)個(gè)的斷掉集線器，以判斷是哪一部分出現(xiàn)問(wèn)題。然后將出現(xiàn)問(wèn)題的部分與交換機(jī)之間的連接斷掉，減少對(duì)其他正常部分網(wǎng)絡(luò)的影響。

可見(jiàn)，讓交換機(jī)的端口從eroor-disable狀態(tài)中恢復(fù)過(guò)來(lái)，解決故障的原因是一個(gè)措施。不過(guò)有時(shí)候?yàn)榱藴p少故障的時(shí)候，即使不解決問(wèn)題只要將有問(wèn)題的網(wǎng)絡(luò)部分的隔離也行。

總之，采用error-disable特性能夠避免單個(gè)或者多個(gè)端口所發(fā)生的錯(cuò)誤狀態(tài)影響到其他的交換機(jī)端口或者其他正常的網(wǎng)絡(luò)。為了提高網(wǎng)絡(luò)的穩(wěn)定性，筆者建議在企業(yè)網(wǎng)絡(luò)部署中開啟這個(gè)特性。不過(guò)需要注意的是，這只是一個(gè)被動(dòng)的措施。其只是發(fā)現(xiàn)問(wèn)題，而不會(huì)自動(dòng)的查找原因、解決問(wèn)題。網(wǎng)絡(luò)管理員仍然需要積極的查找問(wèn)題的原因，盡量減少故障的時(shí)間。