Errdisable Port State Recovery
Dans cet article, je vous parlais d’une fonctionnalité de Spanning-Tree: BPDUGuard. Précédemment j’avais également publié une fiche récapitulative concernant la sécurité des ports d’un switch. Ces deux technologies (bpduguard et port-security, parmi beaucoup d’autres) ont pour effet de désactiver un port du switch lorsque reçoit une trame qui ne cadre pas avec la sécurité mise en place…
Un port désactivé par sécurité est placé dans un état particulier: down / dow (err-disabled). Du point de vue du fonctionnement, cela équivaut à un port mis en « shutdown ».
switch# show interfaces FastEthernet0/1 status
Port Name Status Vlan Duplex Speed Type
Fa0/1 err-disabled 100 full 100 100BaseTX
Si on veut réactiver ce port, la méthode la plus basique consiste à effectuer un « shutdown » suivi d’un « no shutdown » sur l’interface en question.
switch(config)# interface fa0/1 switch(config-if)# shutdown switch(config-if)# no shutdown
Pour des raisons pratique, il peut être intéressant d’automatiser la remise en fonction d’un port mis en « errDisable » pour une raison x ou y. C’est là qu’intervient les fonctionnalités « Errdisable Port State Recovery ».
Principe général:
On détermine un interval (de 30 à 86400 secondes), ainsi que les causes d’état « errDisabled » pour lequelles on souhaite tenter une réactivation du port.
Toutes les X secondes (l’interval), le switch réinitialisera l’état des ports qui sont « errDisabled » pour les causes définies (port-security, bpduguard…).
Cela ne résout pas la cause du problème, mais cela permet d’automatiser la remise en fonction de ports de manière automatique.
Configuration:
switch(config)# errdisable recovery interval 1800 switch(config)# errdisable recovery cause psecure-violation switch(config)# errdisable recovery cause bpduguard
On a donc ici configuré un interval de 30 minutes ( 60 secs x 30 ). Toutes les 30 minutes, le switch tentera de réativer les ports placés en état « errDisabled » pour des raisons de port-security ou de bpduguard.
Vérification:
La commande « show errdisable recovery » affiche les paramètres d’interval et de causes prises en charges (indiquées comme enabled) par le mécanisme, ainsi que dans la partie inférieure, les interfaces qui seront réactivées au prochain cycle et le temps restant (dans l’exemple il n’y a pas d’interface à réactiver).