ذكرت في المدونة وفي أكثر من موضوع كيف يقوم السويتش أحيانا بأغلاق المنفذ لو في حال تم تجاوز البوليسي المعدة على المنفذ ومن بين هذه البوليسي الـ Port Security , UDLD , Storm Control والتى توقف المنفذ مباشرة في حال تجاوز أحدا ماهذه البوليسي لكن لنتعرف اليوم على طريقة تقوم بتفعيل المنفذ بشكل أوتماتيكي وبدون تدخل مدير النظام.
نعلم جميعا أن الـ Port Security أحد الخواص الهامة والضرورية في اي شبكة موجودة على الأرض فهو يمنع تنفيذ أحد أبسط وأشهر الهجمات التى تهدف للسيطرة على الشبكة مثل هجوم الـ Mac Flooding , ونعلم أيضا أن من بين رداة الفعل المخصصة للـ Port Security هو عمل Shutdown للمنفذ في حال تم تجاوز العدد المخصص للماك أدريس والتى تعرف ايضا بأسم Err-disable Port, والحل الذي تعلمناه مسبقا لتفعيل المنفذ مرة آخرى هو بأغلاق المنفذ shutdown وإعادة تفعيله مرة آخرى من خلال no shutdown , لكن مع منهج الـ CCIE سوف نجد طريقة آخرى تدعى Errdisable recovery والتى تقوم بشكل أوتماتيكي بتفعيل المنفذ بعدة فترة زمنية تحدده بنفسك , ومما لاشك فيه أن هذه الخاصية ليست مخصصة للـ Port Security فقط بل للكثير من الخواص الموجودة والتى تقوم بتحويل المنفذ إلى errdisable منها تحدثت عنها مسبقا مثل الـ Storm Control والـ UDLD والـ BPDU Guard ومنها مالم أتحدث عنه وهي موضحة بالمثال القادم :
Cisco's
SW1(config)#errdisable recovery cause ?
all Enable timer to recover from all error causes
arp-inspection Enable timer to recover from arp inspection
bpduguard Enable timer to recover from BPDU Guard error
channel-misconfig Enable timer to recover from channel misconfig error
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
dtp-flap Enable timer to recover from dtp-flap error
gbic-invalid Enable timer to recover from invalid GBIC error
inline-power Enable timer to recover from inline-power error
l2ptguard Enable timer to recover from l2protocol-tunnel error
link-flap Enable timer to recover from link-flap error
loopback Enable timer to recover from loopback error
mac-limit Enable timer to recover from mac limit disable state
pagp-flap Enable timer to recover from pagp-flap error
port-mode-failure Enable timer to recover from port mode change failure
psecure-violation Enable timer to recover from psecure violation error
security-violation Enable timer to recover from 802.1x violation error
sfp-config-mismatch Enable timer to recover from SFP config mismatch error
small-frame Enable timer to recover from small frame error
storm-control Enable timer to recover from storm-control error
udld Enable timer to recover from udld error
vmps Enable timer to recover from vmps shutdown error
all Enable timer to recover from all error causes
arp-inspection Enable timer to recover from arp inspection
bpduguard Enable timer to recover from BPDU Guard error
channel-misconfig Enable timer to recover from channel misconfig error
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
dtp-flap Enable timer to recover from dtp-flap error
gbic-invalid Enable timer to recover from invalid GBIC error
inline-power Enable timer to recover from inline-power error
l2ptguard Enable timer to recover from l2protocol-tunnel error
link-flap Enable timer to recover from link-flap error
loopback Enable timer to recover from loopback error
mac-limit Enable timer to recover from mac limit disable state
pagp-flap Enable timer to recover from pagp-flap error
port-mode-failure Enable timer to recover from port mode change failure
psecure-violation Enable timer to recover from psecure violation error
security-violation Enable timer to recover from 802.1x violation error
sfp-config-mismatch Enable timer to recover from SFP config mismatch error
small-frame Enable timer to recover from small frame error
storm-control Enable timer to recover from storm-control error
udld Enable timer to recover from udld error
vmps Enable timer to recover from vmps shutdown error
كما تشاهدون لائحة طويلة يمكنك أن تختار أي خاصية قمت بتفعيلها على السويتش لجعل السويتش يفعل المنفذ بعد فترة زمنية , وسوف نعتمد على مثالنا الأول الخاص بي الـ Port security من أجل توضيح كيفية تفعيل الـ Errdisable recovery وهي موجودة تحت أسم psecure-violation أما الأوامر فسوف تكون على الشكل الآتي :
Cisco's
SW1(config)#errdisable recovery cause psecure-violation
SW1(config)#errdisable recovery interval ؟
timer-interval (sec
SW1(config)#errdisable recovery interval 60
SW1(config)#errdisable recovery interval ؟
timer-interval (sec
SW1(config)#errdisable recovery interval 60
الامر الأول أخترنا السبب هو psecure-violation وبعدها أخترنا الوقت المخصص للأنتظار وهو 60 ثانية , وبكلام آخر لو في حال تم تجاوز البوليسي فأن السويتش سوف ينتظر 60 ثانية وبعدها سوف يقوم بتفعيل المنفذ مرة آخرى ولو تكرر الأمر مرة آخرى سوف يتم إعادة الأنتظار مرة آخرى وهكذا إلى أن يسئم المخرب من محاولة تجاوز الصلاحيات المعطاة له ولو نفذما الأمر Show errdisable recovery سوف نجد النتائج كما موضحة الآن :
Cisco's
SW1# show errdisable recovery
ErrDisable Reason Timer Status
ErrDisable Reason Timer Status
—————– ————–
arp-inspection Disabled
bpduguard Disabled
channel-misconfig Disabled
dhcp-rate-limit Disabled
dtp-flap Disabled
gbic-invalid Disabled
inline-power Disabled
l2ptguard Disabled
link-flap Disabled
mac-limit Disabled
link-monitor-failure Disabled
loopback Disabled
oam-remote-failure Disabled
pagp-flap Disabled
port-mode-failure Disabled
psecure-violation Enabled
security-violation Disabled
sfp-config-mismatch Disabled
storm-control Disabled
udld Disabled
unicast-flood Disabled
vmps Disabled
Timer interval: 60 seconds
Interfaces that will be enabled at the next timeout:
هذا مالدي لكم اليوم اتمنى أن تكون التدوينة مفيدة وان تكونوا قد أستفدتوا منها , وهناك ملاحظة صغيرة وهي خيارات الخاصية تعتمد على موديل ونوع السويتش فهناك سويتشات غير مزودة بكل الخيارات وهناك مزود بالكثير منها وغير مزود بالـ port Security , كما تعلموا سيسكو وسياساتها الخبيثة التجارية,,لاتنسونا من دعواتكم ودمتم بود.
