Errdisable Port State Recovery

Dans cet article, je vous parlais d’une fonctionnalité de Spanning-Tree: BPDUGuard. Précédemment j’avais également publié une fiche récapitulative concernant la sécurité des ports d’un switch. Ces deux technologies (bpduguard et port-security, parmi beaucoup d’autres) ont pour effet de désactiver un port du switch lorsque reçoit une trame qui ne cadre pas avec la sécurité mise en place…

Un port désactivé par sécurité est placé dans un état particulier: down / dow (err-disabled). Du point de vue du fonctionnement, cela équivaut à un port mis en « shutdown ».

switch# show interfaces FastEthernet0/1 status 

Port    Name     Status       Vlan       Duplex  Speed Type
Fa0/1            err-disabled   100       full     100  100BaseTX

Si on veut réactiver ce port, la méthode la plus basique consiste à effectuer un « shutdown » suivi d’un « no shutdown » sur l’interface en question.

switch(config)# interface fa0/1 
switch(config-if)# shutdown
switch(config-if)# no shutdown

Pour des raisons pratique, il peut être intéressant d’automatiser la remise en fonction d’un port mis en « errDisable » pour une raison x ou y. C’est là qu’intervient les fonctionnalités « Errdisable Port State Recovery ».

Principe général:

On détermine un interval (de 30 à 86400 secondes), ainsi que les causes d’état « errDisabled » pour lequelles on souhaite tenter une réactivation du port.

Toutes les X secondes (l’interval), le switch réinitialisera l’état des ports qui sont « errDisabled » pour les causes définies (port-security, bpduguard…).

Cela ne résout pas la cause du problème, mais cela permet d’automatiser la remise en fonction de ports de manière automatique.

Configuration:

switch(config)# errdisable recovery interval 1800
switch(config)# errdisable recovery cause psecure-violation
switch(config)# errdisable recovery cause bpduguard

On a donc ici configuré un interval de 30 minutes ( 60 secs x 30 ). Toutes les 30 minutes, le switch tentera de réativer les ports placés en état « errDisabled » pour des raisons de port-security ou de bpduguard.

Vérification:

errdisable

La commande « show errdisable recovery » affiche les paramètres d’interval et de causes prises en charges (indiquées comme enabled) par le mécanisme, ainsi que dans la partie inférieure, les interfaces qui seront réactivées au prochain cycle et le temps restant (dans l’exemple il n’y a pas d’interface à réactiver).