Настройка механизма восстановления Auto-Recovery`
В статье рассмаривается настройка и анализ поведения функции auto-recovery и ее влияние на доступность сети
Требования и ограничания
В статье не описываются подробно функции NQA (Network Quality Analysis) — это механизм активного мониторинга, который выполняет контроль достижимости и качества сетевого пути.
Описание функции
Error-down auto-recovery — это механизм автоматического восстановления интерфейса после перевода порта в состояние error-down защитными функциями коммутатора (например, BPDU-protection, storm-suppression, port-security).
С точки зрения сети и доступности (availability) auto-recovery позволяет: - уменьшить время простоя линка без ручного вмешательства инженера; - автоматически вернуть порт в работу после временной/случайной причины блокировки; - снизить операционные затраты при массовых ошибках подключения или кратковременных аномалиях.
Важное ограничение: если первопричина не устранена, порт может переходить в циклы error-down → auto-recovery → error-down. Поэтому интервалы восстановления следует выбирать с учётом природы причины.
Параметры механизма восстановления
Error-down auto-recovery - должен быть включен для выполнения попытки автовосстановления порта и его линка. Для включения механмзма восстановления для соответвующей причины, укажите интервал попытки восстановления в секунда
interval 0— авто-восстановление отключено для данной причины.interval <30-86400>— попытка восстановлия порта автоматически будет предпринята через <30-86400> секунд- для каждой причины устанавливается индивидуальный интервал попытки восстановления
Состяние по умолчанию и поддерживаемые функции
error-down auto-recovery cause transceiver-power-low interval 0
error-down auto-recovery cause link-flap interval 0
error-down auto-recovery cause storm-suppression interval 30
error-down auto-recovery cause port-security interval 0
error-down auto-recovery cause mac-address-flapping interval 0
error-down auto-recovery cause bpdu-protection interval 0
error-down auto-recovery cause auto-defend interval 0
Краткое описание автовосстановления в зависимости от причины
auto-defend
Причина error-down, связанная с механизмом Auto-defend (защитная функция). Обычно используется для автоматической реакции на нежелательные/аномальные события безопасности на порту (например, подозрительное поведение трафика). При срабатывании порт может быть отключён в error-down для предотвращения влияния на сеть.
bpdu-protection
Причина error-down, связанная с защитой BPDU (например, BPDU Guard/Protection). Обычно применяется, чтобы предотвратить петли и некорректное участие порта в STP. Если порт, ожидаемый как edge/клиентский, начинает принимать BPDU, защита может отключить порт.
crc-error
Причина error-down при превышении порогов ошибок CRC. Как правило, указывает на проблемы физического уровня: кабель, коннекторы, SFP/трансивер, помехи, несовместимость.
link-flap
Причина error-down при детектировании частых событий up/down (флаппинг линка). В сетевой эксплуатации это обычно признак нестабильного физического подключения, проблемного удалённого устройства или некорректной автосогласования.
mac-address-flapping
Причина error-down при срабатывании защиты от MAC flapping — когда один и тот же MAC-адрес быстро «переезжает» между портами. Типичные причины: L2-петли, неверная агрегация линков, ошибки в топологии, некорректная работа виртуализации/мостов.
nqa
Причина error-down при срабатывании NQA Track (контроль достижимости/проверки). Если NQA-условие не выполняется, порт может переводиться в error-down в рамках политики отказоустойчивости/защиты.
port-security
Причина error-down, связанная с Port-Security (ограничение MAC-адресов, статусы нарушения). При нарушении политики (например, превышено число MAC, обнаружен неразрешённый MAC) порт может быть отключён в error-down.
storm-suppression
Причина error-down при срабатывании защиты Storm Suppression (шторм широковещательный/мультикаст/unknown-unicast). Обычно применяется, чтобы изолировать порт, который генерирует/пропускает шторм и деградирует сегмент сети.
transceiver-power-low
Причина error-down при обнаружении низкого уровня оптической мощности (transceiver power low). Как правило, указывает на деградацию оптической линии: загрязнение, повреждение волокна, несоответствие модулей, превышение длины, проблемы патчкорда/ODF.
Uni-Directional Link Detection (UDLD)
Также можно включить восстановление error-down, связанное с фукциональностью UDLD. Настройка по умолчанию приведена ниже
udld error-down recover enable
udld error-down recover-time 45
Настройка функции автоматического восстановления
Для выполнения настроек перейдите в режим глобального конфигурирования с помощью команды configure.
Введите команду ниже и выберите одну из причин блокировки порта для последующего автоматического восстановления
SW3(config)# error-down auto-recovery cause ?
auto-defend Auto-defend
bpdu-protection Bpdu-protection
crc-error Crc error
link-flap Link flap
mac-address-flapping Mac address flapping protection function
nqa Nqa Track
port-security Port-security protection function
storm-suppression Storm suppression function
transceiver-power-low Transceiver power low
Пример настройки интервала для причины
Пример: включить auto-recovery для bpdu-protection с интервалом 30 секунд и storm-suppression - 60 секунд
SW2(config)# error-down auto-recovery cause bpdu-protection interval 30
SW2(config)# error-down auto-recovery cause storm-suppression interval 60
Просмотр выполенных настроек
Просмотр настроек выполняется командой show running-config,
Просмотр состояни настройки по умолчанию show running-config include-default
Отображение настроек находится в различных местах вывода, ниже приведен сокращенный вывод команды.
SW2(config)# show running-config
...
hostname SW2
...
!
error-down auto-recovery cause storm-suppression interval 60
!
error-down auto-recovery cause bpdu-protection interval 30
...
Просмотр состояния error-down интерфейсов
Команда просмотра текущего состояния error-down, отсутсвие вывода (пустой вывод) означает "нормальную" работу портов и отсутсвие блокировков.
SW2# show interface error-down
SW2#
Проверка блокировки/восстановления
Проверку выполним на примере блокировки порта функцией STP BPDU Guard при получении кадра BPDU на "восходящий" интерфейс коммутатора (root port)
Включение вывода журнала в активной CLI-сессии
Для отображения журнала событий в реальном времени, включите вывод в текущую сессию CLI
Вывод в консоль
SW3(config)# line console
SW3(config-line)# monitor
SW3(config-line)# exit
или вывод в VTY:
SW3(config)# line vty 1
SW3(config-line)# monitor
SW3(config-line)# exit
Включение защиты BPDU (глобально) и контекст
SW3(config-line)# stp
SW3(config-stp)# stp bpdu-guard enable
SW3(config-stp)# exit
Порт получает BPDU от вышестоящего коммутатора (STP Root Bridge):
SW3(config)# show stp brief
MSTID Port Role STP State Protection Region
0 10ge1/0/5 root forward N/A same
Эмуляция ошибки: случайный перевод root-порта в edge при включённом BPDU guard
SW3(config)# int 10gi 1/0/5
SW3(config-10ge1/0/5)# stp edge-port enable
Анализ событий (начало)
! Сообщение системы о том, что порт будет переведен в состояние link down изза блокировки функцией BPDU guard, сконфигурированной глобально
! Физический интерфейс переведен в DOWN
! Состояние порта на канальному уровне изменилось вслед за выключением порта
! причина выключения - BPDU-Guard
2026/01/08 02:40:56.291 SW3 %01-5-STP-TRAP(t):OID:1.3.6.1.4.1.3087.2.1908.0.6, stp Received BPDU on 10gigaethernet1/0/5 with BPDU Guard enabled, this edged-port will be shutdown!
2026/01/08 02:40:56.300 SW3 %01-5-IFM-LINKDOWN(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.2, Interface vlan4001(0x18000fa1) link down Reason=[member-port-down].
2026/01/08 02:40:56.303 SW3 %01-2-IFM-LINKDOWN(l):The interface status changes. (ifName=[Vlan4010], AdminStatus=[up], OperStatus=[down], Reason=[member-port-down])
2026/01/08 02:40:56.310 SW3 %01-5-IFM-LINKDOWN(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.2, Interface vlan4010(0x18000faa) link down Reason=[member-port-down].
2026/01/08 02:40:56.316 SW3 %01-5-IFM-LINKDOWN(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.2, Interface 10gigaethernet1/0/5(0x8828001) link down Reason=[bpdu-guard].
...
Просмотр состояния порта
SW3(config-10ge1/0/5)# show interface error-down
Interface Change-time Down-reason Descr
10ge1/0/5 2026-01-08 02:40:55 bpdu-guard -
SW3(config-10ge1/0/5)#show int 10gi 1/0/5
Interface 10gigaethernet1/0/5 admin state : up
Line protocol current state : down
The reason for down is bpdu-guard
...
Удаление ошибочно введённой команды
SW3(config-10ge1/0/5)# stp edge-port disable
SW3(config-10ge1/0/5)#
Анализ событий (окончание)
Обратите внимание на разницу во времени событий:
- Блокировка порта — 02:40:56.291
- Восстановление порта — 02:41:27.205
2026/01/08 02:41:27.154 SW3 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[10GigaEthernet1/0/5], AdminStatus=[up], OperStatus=[up], Reason=[link-up])
2026/01/08 02:41:27.166 SW3 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[Vlan4001], AdminStatus=[up], OperStatus=[up], Reason=[link-up])
2026/01/08 02:41:27.176 SW3 %01-5-IFM-LINKUP(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.1, Interface vlan4001(0x18000fa1) link up.
2026/01/08 02:41:27.178 SW3 %01-2-IFM-LINKUP(l):The interface status changes. (ifName=[Vlan4010], AdminStatus=[up], OperStatus=[up], Reason=[link-up])
2026/01/08 02:41:27.189 SW3 %01-5-IFM-LINKUP(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.1, Interface vlan4010(0x18000faa) link up.
2026/01/08 02:41:27.205 SW3 %01-5-IFM-LINKUP(t):OID:1.3.6.1.4.1.3087.1.8012.2.20.1, Interface 10gigaethernet1/0/5(0x8828001) link up.
...
Просмотр состояния интерфейсов после восстановления
SW3(config-10ge1/0/5)# show interface error-down
SW3(config-10ge1/0/5)#
SW3(config-10ge1/0/5)# show interface 10gi 1/0/5
Interface 10gigaethernet1/0/5 admin state : up
Line protocol current state : up
...
Отключение вывода журнала в активной CLI-сессии
Для отображения журнала событий в реальном времени, включите вывод в текущую сессию CLI
Вывод в консоль
SW3(config)# line console
SW3(config-line)# no monitor
SW3(config-line)# exit
или вывод в VTY:
SW3(config)# line vty 1
SW3(config-line)# no monitor
SW3(config-line)# exit
Конфигурация для настройки
Ниже приведен пример возможной полной настройки.
configure
error-down auto-recovery cause transceiver-power-low interval 120
error-down auto-recovery cause link-flap interval 360
error-down auto-recovery cause storm-suppression interval 600
error-down auto-recovery cause port-security interval 600
error-down auto-recovery cause mac-address-flapping interval 120
error-down auto-recovery cause bpdu-protection interval 30
error-down auto-recovery cause auto-defend interval 180
end