صادق شعبانی
کارشناس ارشد سیسکو

آموزش راه اندازی Auto Recovery و Error Disable در سویچ سیسکو

در سری سناریو های سیسکو امروز می خواهیم Auto Recovery و Error Disable را پیکربندی کنیم . ابتدا سناریو را تشریح می کنیم و روش حل مسئله را باز می کنیم و با هم این سناریو را انجام می دهیم : در این lab قصد داریم در خصوص وضعیت error-disable و ریکاوری و خارج کردن یک پورت از این وضعیت صحبت کنیم. عوامل متعددی باعث می شود یک پورت به وضعیت error-disable برود که چند مورد آن در زیر لیست شده اند :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. در port security در حالتی که violation آن shutdown باشد ، در صورتی که یک مک غیر مجاز روی پورت سوئیچ شنیده شود.
  2. در udld در زمانی که پورت در حالت aggressive کانفیگ شود ، پس از تشخیص یک طرفه شدن پورت ، پورت به این وضعیت وارد می شود.
  3. در فیچر bpdu guard که در کنار فیچر portfast استفاده می شود ، اگر روی یک پورت portfast ، پورت bpdu بگیرد ، به این وضعیت وارد می شود.

البته موارد دیگری هم هستند که در lab مربوطه در خصوص آنها صحبت خواهد شد و اسامی آن در این lab به موارد فوق اضافه خواهد شد.در ویدیوی آموزشی portsecurity در مورد auto recovery error disable ( این فیلم آموزشی ) صحبت کردیم اما اینجا می خواهیم در خصوص ریکاوری پورت در حالت هایی که از طریق bpdu guard و portsecurity به این وضعیت وارد شده اند صحبت خواهیم کرد.

1

می خواهیم در سناریو فوق ، portsecurity را برای سوئیچ IOU4 و فیچر BPDU GUARD را در سوئیچ IOU3 پیاده سازی کنیم .

  • کانفیگ PORT SECURITY در سوئیچ IOU4
IOU4(config)#INTerface ETHernet 1/0
IOU4(config-if)#SWItchport MODE ACCess 
IOU4(config-if)#SWItchport PORT-security 
IOU4(config-if)#SWItchport PORT-security MAX 1
IOU4(config-if)#SWItchport PORT-security VIOlation SHUtdown 
IOU4(config-if)#SWItchport PORT-security MAC-address STIcky

از کامند DEBUG استفاده می کنیم :

IOU4#DEBug PORT-security 
All Port Security debugging is on
IOU4#

توجه شود که تمام کلاینت ها در واقع روتر هایی هستند که SYMBOL آنها عوض شده اند.چون قدم به قدم کانفیگ ها را در هر LAB انجام می دهیم باید چند کانفیگ جداگانه که برای این LAB لازم است هم انجام دهیم.

1.سوئیچ IOU1 باید روت باشد.

IOU1(config)#SPANning-tree VLAN 1 ROOT PRimary 
IOU1(config)#
IOU1#
IOU1#SHOW SPANning-tree 

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    24577
             Address     aabb.cc00.0500
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

2.لازم است کلاینت ها ( روتر های IOU5 و IOU7 و و IOU9) دارای IP باشند.

IOU5(config)#INTErface EThernet 1/0
IOU5(config-if)#IP ADDress 192.168.1.2 255.255.255.0
IOU5(config-if)#NO SHUTdown 


IOU7(config)#INTerface ETHernet 1/0
IOU7(config-if)#IP ADDress 192.168.1.4 255.255.255.0
IOU7(config-if)#NO SHUtdown

IOU9(config)#INTerface ETHernet 1/0
IOU9(config-if)#IP ADDress 192.168.1.40 255.255.255.0
IOU9(config-if)#NO SHUtdown

حالا یکبار از PC3 (IOU7) کلاینت PC1 را PING می گیریم تا از ارتباط آنها مطمئن شویم :

IOU7#PING 192.168.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 46/71/98 ms
IOU7#


  • نمایش جدول مک سوئیچ IOU4
IOU4#SHOW MAC ADdress-table 
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    aabb.cc00.0401    DYNAMIC     Et0/1
   1    aabb.cc00.0701    STATIC      Et1/0 
Total Mac Addresses for this criterion: 2


می بینیم که روی 2 پورت ، 2 تا آدرس مک یاد گرفته است .

  • نمایش وضعیت PORTSECURITY
نمایش وضعیت PORTSECURITY
Secure Port  MaxSecureAddr  CurrentAddr  SecurityViolation  Security Action
                (Count)       (Count)          (Count)
---------------------------------------------------------------------------
      Et1/0              1            1                  0         Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port)     : 0
Max Addresses limit in System (excluding one mac per port) : 4096

همچنین

IOU4#SHOW RUN
!         
interface Ethernet1/0
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky aabb.cc00.0701

می بینیم که روی پورت ETH1.0 یک آدرس مک یاد گرفته است.حالا سراغ کانفیگ BPDU GUARD روی سوئیچ IOU3 می رویم :

IOU3(config)#INTerface RANGe ETHernet 1/0-1

IOU3(config-if-range)#SPAnning-tree PORTFAst 
%Warning: portfast should only be enabled on ports connected to a single
 host. Connecting hubs, concentrators, switches, bridges, etc... to this
 interface  when portfast is enabled, can cause temporary bridging loops.
 Use with CAUTION

%Portfast will be configured in 2 interfaces due to the range command 
 but will only have effect when the interfaces are in a non-trunking mode.

IOU3(config-if-range)#SPanning-tree BPDuGuard ENAble

همچنین از کامند زیر هم می توانستیم استفاده کنیم :

IOU3(config)#INTerface RANGe ETHernet 1/0-1 
IOU3(config-if-range)#SWItchport HOSt 
switchport mode will be set to access
spanning-tree portfast will be enabled
channel group will be disabled

IOU3(config-if-range)#

فقط همیشه سعی کنید پورت های متصل به کلاینت را ACCESS کانفیگ کنید ، حال این کانفیگ چه از طریق خود کامند SWItchport HOSt باشد و یا بصورت دستی ( همانطور که در PORTSECURITY کانفیگ کردیم ) باشد.از کامند DEBUG استفاده می کنیم :

IOU3#DEBug SPANning-tree EVents 
Spanning Tree event debugging is on
IOU3#

حالا همه چیز برای تست سناریو آماده است.

  • وارد کردن پورتها به وضعیت ERROR-DISABLE
  1. اتصال پورت ETH1.0 از سوئیچ IOU3 را از کلاینت قطع و به یک سوئیچ دیگر IOU8 متصل می کنیم .
  2. اتصال پورت ETH1.0 از PC3 (IOU7) قطع و به یک PC دیگر (IOU9 ) متصل می کنیم.

به LOG هایی که داده شد دقت کنید :

  • در سوئیچ IOU3
*Dec 22 15:07:18.583: %SPANTREE-2-BLOCK_BPDUGUARD: Received BPDU on port Ethernet1/0 with BPDU Guard enabled. Disabling port.
IOU3#
*Dec 22 15:07:18.583: %PM-4-ERR_DISABLE: bpduguard error detected on Et1/0, putting Et1/0 in err-disable state
IOU3#
*Dec 22 15:07:19.591: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to down
IOU3#
*Dec 22 15:07:20.591: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to down
IOU3#

  • در سوئیچ IOU4
IOU4#
*Dec 22 15:14:29.199: PSECURE: unix_psecure_input: swidb = Ethernet1/0 mac_addr = aabb.cc00.0701 vlanid = 1
*Dec 22 15:14:29.199: PSECURE: psecure_addr_add_reg: Adding aabb.cc00.0701 as dynamic on port Et1/0 for vlan 1
*Dec 22 15:14:29.199: PSECURE: psecure_add_addr_internal: mac-address aabb.cc00.0701 is already configured on this interface.
IOU4#
*Dec 22 15:14:39.863: PSECURE: unix_psecure_input: swidb = Ethernet1/0 mac_addr = aabb.cc00.0901 vlanid = 1
*Dec 22 15:14:39.863: PSECURE: psecure_addr_add_reg: Adding aabb.cc00.0901 as dynamic on port Et1/0 for vlan 1
*Dec 22 15:14:39.863: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 15:14:39.863: PSECURE: psecure_should_be_sticky: Address is sticky on port Ethernet1/0 for vlan 1
*Dec 22 15:14:39.863: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 15:14:39.863: PSECURE: psecure_add_addr_internal: Violation/duplicate detected upon receiving aabb.cc00.0901 on vlan 1: port_num_addrs 1 port_max_addrs 1 vlan_addr_ct 1: vlan_addr_max 65535 total_addrs 0: max_total_addrs 4096 
*Dec 22 15:14:39.863: PSECURE: psecure_add_addr_internal: Security violation occurred,bring down the interface
*Dec 22 15:14:39.863: %PM-4-ERR_DISABLE: psecure-violation error detected on Et1/0, putting Et1/0 in err-disable state
*Dec 22 15:14:39.879: PSECURE: psecure_port_modechange
*Dec 22 15:14:39.879: PSECURE: psecure_linkchange: Et1/0  hwidb=0xABE982F8
*Dec 22 15:14:39.879: PSECURE: psecure_linkchange: Link is going down
*Dec 22 15:14:39.879: PSECURE: psecure_linkdown_init_internal: Et1/0 hwidb = 0xABE982F8
*Dec 22 15:14:39.879: PSECURE: psecure_deactivate_port_security: Deactivating port-security feature
*Dec 22 15:14:39.879: PSECURE: port_deactivate: port status is 2
*Dec 22 15:14:39.879: PSECURE: psecure_clear_ha_table: called
*Dec 22 15:14:39.879: PSECURE: psecure_clear_ha_table: delete aabb.cc00.0701 vlan 1
*Dec 22 15:14:39.879: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 15:14:39.879: PSECURE: psecure_platform_disable_port_security: deleting all addresses on vlan 1
*Dec 22 15:14:39.879: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0901 on port Ethernet1/0.
IOU4#
*Dec 22 15:14:39.879: PSECURE: psecure_send_snmp_trap:Sending trap, for mac_addr:aabb.cc00.0901 and vlan 1

*Dec 22 15:14:39.879: PSECURE: psecure_update_trap_count: Security violation, TrapCount:2
*Dec 22 15:14:40.939: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to down
IOU4#
*Dec 22 15:14:41.883: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to down
IOU4#

به این قسمت بیشتر دقت کنید :

*Dec 22 15:14:39.879: PSECURE: psecure_platform_disable_port_security: deleting all addresses on vlan 1
*Dec 22 15:14:39.879: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0901 on port Ethernet1/0.
IOU4#
*Dec 22 15:14:39.879: PSECURE: psecure_send_snmp_trap:Sending trap, for mac_addr:aabb.cc00.0901 and vlan 1

*Dec 22 15:14:39.879: PSECURE: psecure_update_trap_count: Security violation, TrapCount:2
*Dec 22 15:14:40.939: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to down
IOU4#
*Dec 22

همانطور که دیدید صحبت از PSECURE VIOLATION و DOWN شدن یک پورت است ، حالا از طریق کامند زیر بررسی میکنیم کدام پورت ها و چرا به وضعیت ERROR-DIS رفته اند.

2
  • در سوئیچ IOU3
IOU3#SHOW INTerfaces STATUS ERR-disabled 

Port      Name               Status       Reason
Et1/0                            err-disabled bpduguard
IOU3#

همانطور که پیداست این پورت به خاطر BPDU GUARD به وضعیت err-disabled رفته است.

  • در سوئیچ IOU4
IOU4#SHOW INTERfaces STATUS ERR-disabled 

Port      Name               Status       Reason
Et1/0                            err-disabled psecure-violation
IOU4#

خب ، اینجا صحبت از psecure-violation است ، یعنی violation از PORTSECURITY

  • روش نخست بازگردانی پورت به حالت نرمال

یکی از روش ها معمول برای اینکه پورتی که به وضعیت err-disabled رفته است این است که یکبار آن پورت را خاموش و سپس NO SHUT کنیم ، مثل کانفیگ زیر

IOU4(config)#INTerface ETHernet 1/0
IOU4(config-if)#SHUTDOWN
IOU4(config-if)#NO SHUTDOWN

اما لازمه ی این کار نیازمند حضور فیزیکی ادمین است .

  • روش دوم : auto recovery error disable

میتوانیم کانفیگی انجام دهیم که یک پورت بعد از زمانی حدود 5 دقیقه از این وضعیت خارج و به حالت نرمال باز گردد واگر عامل error disable دیگر وجود نداشته باشد در همین وضعیت بماند.بیائید یک کار جالب انجام دهیم.برای هر دو سوئیچ این مورد را کانفیگ کنیم ولی برای سوئیچ IOU4 عامل ERROR-DIS را حذف نکنیم تا ببینیم چه اتفاقی می افتد! می خواهیم سناریو به صورت زیر شود :

3

همانطور که می بینید ارتباط عامل ERROR-DIS در سمت چپ ، با سوئیچ IOU3 قطع شده اما در سمت راست همچنان این ارتباط وجود دارد.ابتدا سراغ قسمت سمت چپ می رویم که عامل ERROR-DIS قطع شده است :

  • کانفیگ auto recovery error disable برای BPDU GUARD
IOU3(config)#ERrdisable RECovery CAuse BPDuguard    
IOU3(config)#

اول یک توضیح کلی بدهم ، با کامند زیر

IOU3(config)#
IOU3(config)#ERRdisable REcovery CAUse ?                 
  all                   Enable timer to recover from all causes
  arp-inspection        Enable timer to recover from arp inspection error
                        disable state
  bpduguard             Enable timer to recover from BPDU Guard error disable
                        state
  channel-misconfig     Enable timer to recover from channel misconfig disable
                        state
  dhcp-rate-limit       Enable timer to recover from dhcp-rate-limit error
                        disable state
  dtp-flap              Enable timer to recover from dtp-flap error disable
                        state
  gbic-invalid          Enable timer to recover from invalid GBIC error disable
                        state
  l2ptguard             Enable timer to recover from l2protocol-tunnel error
                        disable state
  link-flap             Enable timer to recover from link-flap error disable
                        state
  link-monitor-failure  Enable timer to recover from link monitoring failure
  loopback              Enable timer to recover from loopback disable state
  mac-limit             Enable timer to recover from mac limit disable state
  oam-remote-failure    Enable timer to recover from remote failure detected by
                        OAM
  pagp-flap             Enable timer to recover from pagp-flap error disable
                        state
  psecure-violation     Enable timer to recover from psecure violation disable
                        state
  security-violation    Enable timer to recover from 802.1x violation disable
                        state
  storm-control         Enable timer to recover from storm-control error
                        disable state
  udld                  Enable timer to recover from udld error disable state
  unicast-flood         Enable timer to recover from unicast flood disable
                        state
  vmps                  Enable timer to recover from vmps shutdown error
                        disable state
          
IOU3(config)#ERRdisable REcovery CAUse 
% Incomplete command.

IOU3(config)#

می توانیم قابلیت auto recovery را برای عواملی که باعث رفتن یک پورت به وضعیت ERRdisable می شود فعال کنیم ، مثلا" من می خواهم این قابلیت را در سوئیچ IOU3 فقط برای BPDU GUARD باشد :

IOU3(config)#ERrdisable RECovery CAuse BPDuguard

زمانی که شما این قابلیت را فعال می کنید ، پس از زمانی معادل 5 دقیقه این پورت به وضعیت عادی بر می گردد که این زمان قابل تغییر است :

IOU3(config)#ERrdisable REcovery INTerval ?
  <30-86400>  timer-interval(sec)

همانطور که می بینید مقدار تایمر زمانی بین 30 تا 86400 که مقدار دیفالت آن 300 ثانیه که همان 5 دقیقه است ، می باشد.خب برگردیم به کانفیگ auto recovery ، وقتی ما این قابلیت را فعال می کنیم ، تایمر شروع به کاهش می کند ، به خروجی کامند زیر نگاه کنید :

IOU3#SHOW ERrdisable RECovery 
Recovery Status                       Timer Status
---------------                       ------------
bpduguard                               Enabled

          
Timer interval: 300 seconds
          
Interfaces that will be enabled at the next timeout:
          
Interface          Errdisable reason          Time left(sec)
---------          -----------------          --------------
      Et1/0                               bpduguard           71
          
IOU3# 

همانطور که در بخش نخست پیداست قابلیت Recovery تنها برای bpduguard فعال شده است.در قسمت پایین (Time left(sec هم مدت زمانی که تا پایان زمان ریکاوری مانده است را نمایش می دهد.اما توجه کنید این قابلیت برای فیچر های زیر ( در اینجا بسته به IOU ) ساپورت می شود :

IOU3#SHOW ERrdisable REcovery 
Recovery Status                       Timer Status
---------------                       ------------
udld                                    Disabled
bpduguard                               Disabled
security-violation                      Disabled
channel-misconfig                       Disabled
vmps                                    Disabled
pagp-flap                               Disabled
dtp-flap                                Disabled
link-flap                               Disabled
l2ptguard                               Disabled
psecure-violation                       Enabled
gbic-invalid                            Disabled
dhcp-rate-limit                         Disabled
mac-limit                               Disabled
unicast-flood                           Disabled
storm-control                           Disabled
arp-inspection                          Disabled
loopback                                Disabled
link-monitor-failure                    Disabled
oam-remote-failure critical-event       Disabled
oam-remote-failure dying-gasp           Disabled
oam-remote-failure link-fault           Disabled
dot1ad-incomp-etype                     Not supported
dot1ad-incomp-tunnel                    Not supported
mvrp                                    Not supported
transceiver-incomp                      Not supported
inline-power                            Not supported

اما زمانی که پورتی که به وضعیت ERROR-DIS رفته و زمان تایمر هم 0 شود ما LOG زیر را خواهیم داشت :

IOU3#
*Dec 22 15:57:11.007: %PM-4-ERR_RECOVER: Attempting to recover from bpduguard err-disable state on Et1/0
IOU3#
*Dec 22 15:57:11.007: set portid: VLAN0001 Et1/0: new port id 8021
*Dec 22 15:57:11.007: STP: VLAN0001 Et1/0 ->jump to forwarding from blocking
IOU3#
*Dec 22 15:57:13.011: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up
*Dec 22 15:57:14.099: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to up
IOU3#
IOU3#


اگر وضعیت ERROR-DIS را چک کنیم :

IOU3#SHOW INTerfaces STatUS ERR-disabled 

IOU3#

خب دیدیم که این پورت بعد از زمان دیفالت 5 دقیقه به وضعیت نرمال خود برگشته است و این بخاطرقطع ارتباط ERROR-DIS است.در ادامه ما این قابلیت را در زمانی که ارتباط عامل ERROR-DIS همچنان وجود دارد را بررسی می کنیم.

  • کانفیگ auto recovery error disable برای PORT SECURITY

با این توضیح که قبلا" روی پورت ETH1/0 یک مک که مجاز بود یاد گرفته شد و روی این پورت یک مک غیر مجاز شنیده می شود ( IOU7 ) و ارتباط سوئیچ IOU4 با عامل ERROR-DIS ( یعنی IOU9 ) قطع نشده است.

3
IOU4#SHOW INTerfaces STATUS ERR-disabled 

Port      Name               Status       Reason
Et1/0                            err-disabled psecure-violation
IOU4#

  • کانفیگ auto recovery
IOU4(config)#ERrdisable REcovery CAuse PSecure-violation 
IOU4(config)#

منظور از PSecure-violation همان قابلبت PORT-SECURITY است که در نتیجه violation ی SHUTDOWN به وضعیت مربوطه رفته است.

  • VERIFICATION این قابلیت
IOU4#SHOW ERRdisable REcovery 
Recovery Status                       Timer Status
---------------                       ------------

psecure-violation                       Enabled

Timer interval: 300 seconds
          
Interfaces that will be enabled at the next timeout:
          
Interface          Errdisable reason          Time left(sec)
---------          -----------------          --------------
      Et1/0                       psecure-violation           98
          
IOU4#
IOU4#

LOG که پس از اتمام زمان تایمر می دهد

23: PSECURE: is_dynamic_port: intf down getting cfg port mode
*Dec 22 16:07:25.923: PSECURE: is_dynamic_port: is dynmaic port 0
*Dec 22 16:07:25.923: PSECURE: psecure_activate_port_security: Activating port-security feature
*Dec 22 16:07:25.923: PSECURE: psecure_activate_port_security: port_activate: status is 1
*Dec 22 16:07:25.923: PSECURE: is_dynamic_port: intf down getting cfg port mode
*Dec 22 16:07:25.923: PSECURE: is_dynamic_port: is dynmaic port 0
*Dec 22 16:07:25.923: PSECURE: psecure_clear_ha_table: called
*Dec 22 16:07:25.923: PSECURE: psecure_activate_port_security: Deleting all dynamic addresses from h/w tables.
*Dec 22 16:07:25.923: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 16:07:25.923: PSECURE: psecure_platform_delete_all_addrs: deleting all addresses on vlan 1
*Dec 22 16:07:25.923: PSECURE: psecure_find_addr: skipping Et1/0 while searching <1,aabb.cc00.0701>
*Dec 22 16:07:25.923: PSECURE: psecure_move_addrs_host_access: Adding entry to HA table from port-security sub block
*Dec 22 16:07:25.923: PSECURE: psecure_activate_port_security: After enabling port status 0
*Dec 22 16:07:25.923: PSECURE: psecure_activate_port_security: Send bulk sync msg for syncing psec table
*Dec 22 16:07:25.923: PSECURE: psecure_move_addrs_host_access: Address <1,aabb.cc00.0701> already exists on interface Ethernet1/0.
*Dec 22 16:07:25.923: PSECURE: psecure_process_message: Processing VP linkup on Ethernet1/0 for Vlan = 1
*Dec 22 16:07:26.303: PSECURE: unix_psecure_input: swidb = Ethernet1/0 mac_addr = aabb.cc00.0901 vlanid = 1
*Dec 22 16:07:26.303: PSECURE: psecure_addr_add_reg: Adding aabb.cc00.0901 as dynamic on port Et1/0 for vlan 1
*Dec 22 16:07:26.303: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 16:07:26.303: PSECURE: psecure_should_be_sticky: Address is sticky on port Ethernet1/0 for vlan 1
*Dec 22 16:07:26.303: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 16:07:26.303: PSECURE: psecure_add_addr_internal: Violation/duplicate detected upon receiving aabb.cc00.0901 on vlan 1: port_num_addrs 1 port_max_addrs 1 vlan_addr_ct 1: vlan_addr_max 65535 total_addrs 0: max_total_addrs 4096 
*Dec 22 16:07:26.303: PSECURE: psecure_add_addr_internal: Security violation occurred,bring down the interface
*Dec 22 16:07:26.303: %PM-4-ERR_DISABLE: psecure-violation error detected on Et1/0, putting Et1/0 in err-disable state
*Dec 22 16:07:26.303: PSECURE: psecure_port_modechange
*Dec 22 16:07:26.303: PSECURE: psecure_linkchange: Et1/0  hwidb=0xABE982F8
*Dec 22 16:07:26.303: PSECURE: psecure_linkchange: Link is going down
*Dec 22 16:07:26.303: PSECURE: psecure_linkdown_init_internal: Et1/0 hwidb = 0xABE982F8
*Dec 22 16:07:26.303: PSECURE: psecure_deactivate_port_security: Deactivating port-security feature
*Dec 22 16:07:26.303: PSECURE: port_deactivate: port status is 2
*Dec 22 16:07:26.303: PSECURE: psecure_clear_ha_table: called
*Dec 22 16:07:26.303: PSECURE: psecure_clear_ha_table: delete aabb.cc00.0701 vlan 1
*Dec 22 16:07:26.303: PSECURE: psecure_is_trunk_port: Et1/0 is not a trunk port
*Dec 22 16:07:26.303: PSECURE: psecure_platform_disable_port_security: deleting all addresses on vlan 1
*Dec 22 16:07:26.303: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0901 on port Ethernet1/0.
IOU4#
*Dec 22 16:07:26.303: PSECURE: psecure_send_snmp_trap:Sending trap, for mac_addr:aabb.cc00.0901 and vlan 1

*Dec 22 16:07:26.303: PSECURE: psecure_update_trap_count: Security violation, TrapCount:9
IOU4#
*Dec 22 16:08:05.639: PSECURE: psecure_process_timer called
IOU4#

به این خط دقت کنید :

*Dec 22 16:07:26.303: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address aabb.cc00.0901 on port Ethernet1/0.
IOU4#

می گوید بوسیله مک آدرس aabb.cc00.0901 که روی پورت ETH1/0 شنیده شد Security violation اتفاق افتاد ، در خروجی کامند زیر می بینیم که روی پورت ETH1/0 چه مک ای را یادگرفته است

IOU4#SHOW RUNning-config 
Building configuration...

Current configuration : 1704 bytes
!
interface Ethernet1/0
 switchport mode access
 switchport port-security
 switchport port-security mac-address sticky
 switchport port-security mac-address sticky aabb.cc00.0701 

و همچنین در خروجی کامند زیر مک اینترفیس مربوطه را می بینیم :

IOU9#SHOW INTERfaces ETH1/0
Ethernet1/0 is up, line protocol is up 
  Hardware is AmdP2, address is aabb.cc00.0901 (bia aabb.cc00.0901)

و نهایتا" چون قرار ما برا این بود که در روی هر پورت تنها یک مک یاد گرفته شود ، با شنیده شدن مک دوم و VIOLATION ی SHUTDOWN پورت به وضعیت ERROR-DIS می رود.

  • جمع بندی

نمایش اینترفیس هایی که در وضعیت ERROR DISABLE قرار گرفته اند :

IOU4#SHOW INTERfaces STATUS ERR-disabled 

کانفیگ قابلیت AUTO RECOVERY برای BPDU GUARD

IOU3(config)#ERrdisable RECovery CAuse BPDuguard 

کانفیگ قابلیت AUTO RECOVERY برای PORT SECURITY

IOU4(config)#ERrdisable REcovery CAuse PSecure-violation 

نمایش وضعیت ERrdisable RECovery

IOU3#SHOW ERrdisable RECovery 

صادق شعبانی
صادق شعبانی

کارشناس ارشد سیسکو

صادق شعبانی ( هکر قانونمند ، مهندس مایکروسافت ، کارشناس ارشد سیسکو ) : انسانی که کنار میکشه هیچوقت پیروز نمیشه و انسانی که پیروز میشه هیچوقت کنار نمی کشه.

نظرات