Ciao a tutti
ho delle interfaccie configurate su uno switch 2950 con il port-security
ecco un esempio:
interface FastEthernet0/6
description *****
switchport access vlan 97
switchport mode access
switchport port-security
switchport port-security maximum 4
switchport port-security mac-address ****.****.****
switchport port-security mac-address ****.****.****
dunque succede che, se si collega alla stesso frutto che fa capo a questa interfaccia, una macchina con un mac-address "non autorizzato"
invece che non far navigare il mac "non autorizzato" manda tutta l'interfaccia in "errdisable"
come mai? è molto strano anche perche non è settato
"switchport port-security violation protect"
questa cosa mi da molte noie perche..... ogni volta per rimettere su l'interfaccia devo levare i mac-address, metterla in shutdown..... e poi di nuovo in up..........
consigli?
grazie a tutti
interfaccia che va in errdisable
Moderatore: Federico.Lagni
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Non hai specificato nient´altro e lui di default la mette in shut:
http://articles.techrepublic.com.com/51 ... 23047.html
http://articles.techrepublic.com.com/51 ... 23047.html
Manipolatore di bit.
-
marcofan76
- n00b
- Messaggi: 14
- Iscritto il: dom 26 nov , 2006 12:15 pm
- Località: Cagliari
ma quindi dici che manca questo comando?
"switchport port-security violation protect"
perche anche con questa istruzione la manda in errdisable....
per questo vi ho scritto, perche è molto strano.....e come se di default fosse settato con switchport port-security violation shutdown........ ma cosi non è!!
dimmi......una curiosità mettiamo che fosse settato lo
"switchport port-security violation shutdown"
dovrebbe mandare l'interfaccia in Shutdown giusto? e non in "errdisable" o sbaglio?
ci sono altre vie per configurare "errdisable".......
"switchport port-security violation protect"
perche anche con questa istruzione la manda in errdisable....
per questo vi ho scritto, perche è molto strano.....e come se di default fosse settato con switchport port-security violation shutdown........ ma cosi non è!!
dimmi......una curiosità mettiamo che fosse settato lo
"switchport port-security violation shutdown"
dovrebbe mandare l'interfaccia in Shutdown giusto? e non in "errdisable" o sbaglio?
ci sono altre vie per configurare "errdisable".......
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Posta il risultato di questo:
Codice: Seleziona tutto
Switch# show port-security interface fa0/18Manipolatore di bit.
-
marcofan76
- n00b
- Messaggi: 14
- Iscritto il: dom 26 nov , 2006 12:15 pm
- Località: Cagliari
Grazie Andrea.... ho trovato uno switch "extra" per poter testare liberamente....senza usare quelli in produzione..... 
ho risolto!!!!! appunto grazie al tuo consiglio con il comando
"switchport port-security violation protect"
l'interfaccia non va piu in errdisable!!!
mi aveva tratto in inganno il comando
"switchport port-security violation shutdown"
ero convinto che SOLTANTO con quel comando l'interfaccia venisse buttata giu.......
per dovere di cronaca posto gli output
questo senza "switchport port-security violation protect"
Switch#show port-security interface fa0/5
Port Security : Enabled
Port status : SecureUp
Violation mode : Shutdown (eccolo di default)(ignoravo questo appunto)
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Aging time : 0 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation count : 1
questo con "switchport port-security violation protect"
Switch#show port-security interface fa0/5
Port Security : Enabled
Port status : SecureUp
Violation mode : Protect (cosi non naviga il mac non autorizzato)
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Aging time : 0 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation count : 1
un ultima curiosità....... se nel interfaccia X si collega un mac "autorizzato" solo sull interfaccia Y e quest'ultima (la Y)non ha il violation protect....... vengono buttate giu tutte e due le int?
GRAZIE Andrea!!!!
Ciao a tutti
ho risolto!!!!! appunto grazie al tuo consiglio con il comando
"switchport port-security violation protect"
l'interfaccia non va piu in errdisable!!!
mi aveva tratto in inganno il comando
"switchport port-security violation shutdown"
ero convinto che SOLTANTO con quel comando l'interfaccia venisse buttata giu.......
per dovere di cronaca posto gli output
questo senza "switchport port-security violation protect"
Switch#show port-security interface fa0/5
Port Security : Enabled
Port status : SecureUp
Violation mode : Shutdown (eccolo di default)(ignoravo questo appunto)
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Aging time : 0 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation count : 1
questo con "switchport port-security violation protect"
Switch#show port-security interface fa0/5
Port Security : Enabled
Port status : SecureUp
Violation mode : Protect (cosi non naviga il mac non autorizzato)
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 1
Sticky MAC Addresses : 0
Aging time : 0 mins
Aging type : Absolute
SecureStatic address aging : Disabled
Security Violation count : 1
un ultima curiosità....... se nel interfaccia X si collega un mac "autorizzato" solo sull interfaccia Y e quest'ultima (la Y)non ha il violation protect....... vengono buttate giu tutte e due le int?
GRAZIE Andrea!!!!
Ciao a tutti
-
andrewp
- Messianic Network master
- Messaggi: 2199
- Iscritto il: lun 13 giu , 2005 7:32 pm
- Località: Roma
Ottimo
Se ho interpretato bene, il comando é per-interface, quindi se la fa0/5 e fa0/6 sono configurate rispettivamente come protect e shutdown; collegando un MAC "buono" sulla 0/5 ed uno no sulla 0/6 ovviamente va in shut solo quest´ultima.
marcofan76 ha scritto: un ultima curiosità....... se nel interfaccia X si collega un mac "autorizzato" solo sull interfaccia Y e quest'ultima (la Y)non ha il violation protect....... vengono buttate giu tutte e due le int?
Se ho interpretato bene, il comando é per-interface, quindi se la fa0/5 e fa0/6 sono configurate rispettivamente come protect e shutdown; collegando un MAC "buono" sulla 0/5 ed uno no sulla 0/6 ovviamente va in shut solo quest´ultima.
Manipolatore di bit.
-
marcofan76
- n00b
- Messaggi: 14
- Iscritto il: dom 26 nov , 2006 12:15 pm
- Località: Cagliari
Andrea.Pezzotti ha scritto:Ottimo
marcofan76 ha scritto: un ultima curiosità....... se nel interfaccia X si collega un mac "autorizzato" solo sull interfaccia Y e quest'ultima (la Y)non ha il violation protect....... vengono buttate giu tutte e due le int?
Se ho interpretato bene, il comando é per-interface, quindi se la fa0/5 e fa0/6 sono configurate rispettivamente come protect e shutdown; collegando un MAC "buono" sulla 0/5 ed uno no sulla 0/6 ovviamente va in shut solo quest´ultima.
si forse non mi sono spiegato decentemente....
tralsciando il discorso del violation protect (non era attivo)
dunque è successo che agganciando dei mac........nell interfaccia 0/1(che erano registrati su un altra int0/2)..........lo switch abbia mandato in errdisable entrambe le interfaccie....... ti è mai capitato? è normale?
