مدونة NetworkSet مدونة تختص بأمور الشبكات والأجهزة التى تدعمها ذكرت في المدونة وفي أكثر من موضوع كيف يقوم السويتش أحيانا بأغلاق المنفذ لو في حال تم تجاوز البوليسي المعدة على المنفذ ومن بين هذه البوليسي الـ Port Security , UDLD , Storm Control والتى توقف المنفذ مباشرة في حال تجاوز أحدا ماهذه البوليسي لكن لنتعرف اليوم على طريقة تقوم بتفعيل المنفذ بشكل أوتماتيكي وبدون تدخل مدير النظام.
نعلم جميعا أن الـ Port Security أحد الخواص الهامة والضرورية في اي شبكة موجودة على الأرض فهو يمنع تنفيذ أحد أبسط وأشهر الهجمات التى تهدف للسيطرة على الشبكة مثل هجوم الـ Mac Flooding , ونعلم أيضا أن من بين رداة الفعل المخصصة للـ Port Security هو عمل Shutdown للمنفذ في حال تم تجاوز العدد المخصص للماك أدريس والتى تعرف ايضا بأسم Err-disable Port, والحل الذي تعلمناه مسبقا لتفعيل المنفذ مرة آخرى هو بأغلاق المنفذ shutdown وإعادة تفعيله مرة آخرى من خلال no shutdown , لكن مع منهج الـ CCIE سوف نجد طريقة آخرى تدعى Errdisable recovery والتى تقوم بشكل أوتماتيكي بتفعيل المنفذ بعدة فترة زمنية تحدده بنفسك , ومما لاشك فيه أن هذه الخاصية ليست مخصصة للـ Port Security فقط بل للكثير من الخواص الموجودة والتى تقوم بتحويل المنفذ إلى errdisable منها تحدثت عنها مسبقا مثل الـ Storm Control والـ UDLD والـ BPDU Guard ومنها مالم أتحدث عنه وهي موضحة بالمثال القادم :
Cisco's
SW1(config)#errdisable recovery cause ?
all Enable timer to recover from all error causes
arp-inspection Enable timer to recover from arp inspection
bpduguard Enable timer to recover from BPDU Guard error
channel-misconfig Enable timer to recover from channel misconfig error
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
dtp-flap Enable timer to recover from dtp-flap error
gbic-invalid Enable timer to recover from invalid GBIC error
inline-power Enable timer to recover from inline-power error
l2ptguard Enable timer to recover from l2protocol-tunnel error
link-flap Enable timer to recover from link-flap error
loopback Enable timer to recover from loopback error
mac-limit Enable timer to recover from mac limit disable state
pagp-flap Enable timer to recover from pagp-flap error
port-mode-failure Enable timer to recover from port mode change failure
psecure-violation Enable timer to recover from psecure violation error
security-violation Enable timer to recover from 802.1x violation error
sfp-config-mismatch Enable timer to recover from SFP config mismatch error
small-frame Enable timer to recover from small frame error
storm-control Enable timer to recover from storm-control error
udld Enable timer to recover from udld error
vmps Enable timer to recover from vmps shutdown error
all Enable timer to recover from all error causes
arp-inspection Enable timer to recover from arp inspection
bpduguard Enable timer to recover from BPDU Guard error
channel-misconfig Enable timer to recover from channel misconfig error
dhcp-rate-limit Enable timer to recover from dhcp-rate-limit error
dtp-flap Enable timer to recover from dtp-flap error
gbic-invalid Enable timer to recover from invalid GBIC error
inline-power Enable timer to recover from inline-power error
l2ptguard Enable timer to recover from l2protocol-tunnel error
link-flap Enable timer to recover from link-flap error
loopback Enable timer to recover from loopback error
mac-limit Enable timer to recover from mac limit disable state
pagp-flap Enable timer to recover from pagp-flap error
port-mode-failure Enable timer to recover from port mode change failure
psecure-violation Enable timer to recover from psecure violation error
security-violation Enable timer to recover from 802.1x violation error
sfp-config-mismatch Enable timer to recover from SFP config mismatch error
small-frame Enable timer to recover from small frame error
storm-control Enable timer to recover from storm-control error
udld Enable timer to recover from udld error
vmps Enable timer to recover from vmps shutdown error
كما تشاهدون لائحة طويلة يمكنك أن تختار أي خاصية قمت بتفعيلها على السويتش لجعل السويتش يفعل المنفذ بعد فترة زمنية , وسوف نعتمد على مثالنا الأول الخاص بي الـ Port security من أجل توضيح كيفية تفعيل الـ Errdisable recovery وهي موجودة تحت أسم psecure-violation أما الأوامر فسوف تكون على الشكل الآتي :
Cisco's
SW1(config)#errdisable recovery cause psecure-violation
SW1(config)#errdisable recovery interval ؟
timer-interval (sec
SW1(config)#errdisable recovery interval 60
SW1(config)#errdisable recovery interval ؟
timer-interval (sec
SW1(config)#errdisable recovery interval 60
الامر الأول أخترنا السبب هو psecure-violation وبعدها أخترنا الوقت المخصص للأنتظار وهو 60 ثانية , وبكلام آخر لو في حال تم تجاوز البوليسي فأن السويتش سوف ينتظر 60 ثانية وبعدها سوف يقوم بتفعيل المنفذ مرة آخرى ولو تكرر الأمر مرة آخرى سوف يتم إعادة الأنتظار مرة آخرى وهكذا إلى أن يسئم المخرب من محاولة تجاوز الصلاحيات المعطاة له ولو نفذما الأمر Show errdisable recovery سوف نجد النتائج كما موضحة الآن :
Cisco's
SW1# show errdisable recovery
ErrDisable Reason Timer Status
ErrDisable Reason Timer Status
—————– ————–
arp-inspection Disabled
bpduguard Disabled
channel-misconfig Disabled
dhcp-rate-limit Disabled
dtp-flap Disabled
gbic-invalid Disabled
inline-power Disabled
l2ptguard Disabled
link-flap Disabled
mac-limit Disabled
link-monitor-failure Disabled
loopback Disabled
oam-remote-failure Disabled
pagp-flap Disabled
port-mode-failure Disabled
psecure-violation Enabled
security-violation Disabled
sfp-config-mismatch Disabled
storm-control Disabled
udld Disabled
unicast-flood Disabled
vmps Disabled
Timer interval: 60 seconds
Interfaces that will be enabled at the next timeout:
هذا مالدي لكم اليوم اتمنى أن تكون التدوينة مفيدة وان تكونوا قد أستفدتوا منها , وهناك ملاحظة صغيرة وهي خيارات الخاصية تعتمد على موديل ونوع السويتش فهناك سويتشات غير مزودة بكل الخيارات وهناك مزود بالكثير منها وغير مزود بالـ port Security , كما تعلموا سيسكو وسياساتها الخبيثة التجارية,,لاتنسونا من دعواتكم ودمتم بود.
بارك الله فيك ولمشاركتك لنا بهذه المعلومات المفيده
great dear br aimn
so easy explanation u are the best always
مشاركة مفيدة وعملية …للأمانة اول ما شوفت المقالة تذكرت الحادثة فلقد واجهتني هذه المشكلة بشكل عملي من سنتين تقريبا ولم اكن اعلم بها ولكن اول شئ أتذكر فعلته هو أنني شاهدت show interface فوجدت هذه الكلمة errdisable وعملت الطريقة السهلة في الاصلاح shut >>>no shut ورجع الانترفيس وبعدين قرأت علي الخطأ وفهمت القصة ومنها لم تغيب هذه المشكلة عن بالي وللأمانة تعتبر ممكن المرة الوحيدة التي حدثت معي طول فترة عملي 6 سنوات تقريبا يعني من المشاكل النادرة نسبيا وممكن تقوم بتفعيلها بشكل تلقائي لأي خطأ يسبب المشكلة أي بدون تخصيص المشكلة ولكن عيبها أنك لن تعرف السبب لاحقا ….والله اعلم فقط للعلم أنني مع فترة عملي ولازلت أستفيد من المواضيع المشابهة فأستمر أخي الكريم فانت تستفيد من مواضيعك قبل الاخرين ^_*
السلام عليكم
كنت في هذا الصباح ادرس ال BPDU Guard وايضا كيفية ارجاع ال port ليعمل اتوماتيكيا
الذي اعجبني انه تقريبا نفس المتعه في الشرح وجتها منك
شكرا لك استاذ ايمن على الشرح الرائع
DEAR eng/aimn
we are getting your posts by searching in google
so we are asking you to put an option in your articles to be available to download as a pdf or any format
like most forums related to the network field
to be easy use it as references
any time
البوسيفي ==> أهلا أخي , هناك ألتباس على ما أعتقد لديك بشأن هذه المشكلة , فهي لاتحدث لوحده بل تحدث نتيجة بوليسي أنت من يقوم بوضعها وقد أوضحتها في بداية التدوينة وبالأخص البورت سيكيورتي وبالتالي أي تجاوز لهذه البوليسي سوف تحول المنفذ إلى err-disable .
sheno ==> إن شاء الله سوف نحاول أن نخصص هذه الميزة بعد تغيير القالب .
شكرا لباقي الأخوة لمرورهم .
شكرا على الشرح بارك الله فيك
شكرا أخي أيمن علي التوضيح
نعم وكما قلت لك أنها حدثت معي مرة وقديمة ولكن نعم تحدث لوحدها “تقريبا” مثلا
These are the various situations that can cause an interface to go into the err-disable state:
Duplex mismatch
Incorrect configuration of the port channel
Bridge Protocol Data Unit (BPDU) guard violation
UniDirectional Link Detection (UDLD) condition
Late-collision detection
Link-flap detection
Security violation
Port Aggregation Protocol (PAgP) flap
Layer 2 (L2) Tunneling Protocol (L2TP) guard
Dynamic Host Control Protocol (DHCP) snooping rate-limit
البورت سكيورتي أحدها نعم ولكن كما هو واضح أعلاه أنه يوجد أسباب تلقائية
و أزيد سبب أخر وهو خلل في الكابل وهو سبب يحدث هذه المشكلة أحيانا
Great ! bor and thank u so much for all this info#
ما معنى
Host 6cf0.4918.f27f in vlan 1 is flapping between port Gi0/7 and port Gi0/8
Host 0004.75b4.ae6c in vlan 1 is flapping between port Gi0/8 and port Gi0/7
أعانى من هذه المشكلة فى الشبكة بالله عليكم المساعدة
إطرح سؤالك في قسم الأسئلة والأجوبة
thank you very very very very much