مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

**th95** · 2010-06-03, 02:37 PM

سلام
دوستان من توی شبکه برای سوییچهای اکسس Port Security گذاشتم به صورت sticky و ماکزیمم یکی

حالا مشکل اینجاست
تو اکثر مواقع وقتی پورت به دلیل این قضیه err-disable میشه (مثلا طرف یه سیستم دیگه رو میزنه به پورت خودش) درست کردن مشکل خیلی بدبختی داره

shut , no shut میزنم نمیشه
clear mac address interface.... میزنم نمیشه
clear port-security .. رو با انواع و اقسام گزینه ها (all ؛ sticky و .. میزنم) نمیشه

برای بعضی ها no switchport port-security و مجددا switchport portsecurity جواب میده البته خیلی مواقه هم کار نمیکنه

تو همه این حالتها چند ثانیه connected میشه و بعد err-disabled

آخرش مجبور میشم کابل شبکه رو فیزیکی از روی سوییچ یا پورت کیستون دربیارم و بعد اون دستورات رو بزنم و بعد دوباره وصلش کنم جالبه که با دراوردن کارت شبکه از سیستم مشکل حل نمیشه و حتما باید از سمت سوییچ دربیاد

سوییچها 2960 هستند ! دوستان چنین مشکلی داشتند ؟؟

موضوعات مشابه:

**aliafzalan** · 2010-06-03, 02:57 PM

سلام
اگر که اول clear mac interface میزنی و بعدش shut و no shut باید مشکل حل بشه.
اگه این کار رو انجام میدی و مشکل داری، شاید با آپدیت IOS مشکلت حل بشه.
در ضمن توی log نگاه کن که فقط به همین دلیل (port security) پورت shutdown شده و یا دلیل دیگه ای هم وجود داشته . . .

**th95** · 2010-06-03, 04:02 PM

مشکل که قطعا فقط همین بوده تو لاگ هم فقط همین رو میندازه
اون ترتیب رو مطمئنم رعایت کردم - حالا باز هم تست میکنم - البته این مشکل رو بچه های دیگه هم داشتند
شاید با IOS حل بشه - شما از چه IOS برای 2960 استفاده میکنید ؟

**aliafzalan** · 2010-06-03, 05:12 PM

شما وقتی از sticky استفاده می کنید اولین MAC که وارد سوئیچ میشه رو ذخیره میکنه، پس وقتی clear MAC کرده و پورت رو shut و no shut میکنید از لحاظ منطقی باید مشکل حل بشه (چون MAC وارد شده به پورت پاک شده و مشکل err-disable هم حل شده) و در غیر این صورت مشکل احتمالاً از IOS هست (البته به نظر من !!)
راستی یه تست دیگه هم انجام بدید: اول shut بعد clear mac interface و در نهایت no shut ، این دیگه باید جواب بده !!!
قبل از اینکه clear MAC و shut & no shut رو بزنید، Terminal Monitor رو فعال کنید ببینید چی نشون میده.
در ضمن نسخه IOS سوئیچ 2960 ما فکر نکنم مشکل شما رو حل کنه، چون ما اینجا Port Security نداریم

.
.
.

c2960-lanbase-mz.122-44.SE2

**mavrick** · 2010-06-03, 05:19 PM

اخرین iosبرای 2960
این Cisco IOS Release 12.2(37)EY

است

توی سایت سیسکو هم برا مشکل شما همون راه دوستمون علی افضلان روگفته

**th95** · 2010-06-03, 06:18 PM

نوشته اصلی توسط mavrick

اخرین iosبرای 2960
این Cisco IOS Release 12.2(37)EY

است

توی سایت سیسکو هم برا مشکل شما همون راه دوستمون علی افضلان روگفته

توی سایت سیسکو به همین مشکل اشاره شده ؟
میشه لینکش رو بذارید ؟

**th95** · 2010-06-03, 06:23 PM

[QUOTE]

نوشته اصلی توسط aliafzalan

شما وقتی از sticky استفاده می کنید اولین MAC که وارد سوئیچ میشه رو ذخیره میکنه، پس وقتی clear MAC کرده و پورت رو shut و no shut میکنید از لحاظ منطقی باید مشکل حل بشه (چون MAC وارد شده به پورت پاک شده و مشکل err-disable هم حل شده)

بله میدونم. منطقا باید مشکل حل بشه ولی نمیشه

راستی یه تست دیگه هم انجام بدید: اول shut بعد clear mac interface و در نهایت no shut ، این دیگه باید جواب بده !!!
قبل از اینکه clear MAC و shut & no shut رو بزنید، Terminal Monitor رو فعال کنید ببینید چی نشون میده.

اصلا من کل port-security رو هم غیر فعال میکنم باز مشکله میمونه. ضمنا mac رو کاملا تحت نظر دارم. وقتی clear میکنم میبینم که میگه دقیقا هیچ mac روی این پورت learn نشده . ضمن اینکه توی لاگ (منظورتون از terminal monitor همینه دیگه درسته) میگه ...err-disabled because of psecure-violation و ...

و اصلا نکته جالب اینجاست که با وجود همه این داستانها چرا وقتی کابل رو از پشت سوییچ درمیارم درست میشه ! مگه دراوردن و دوباره زدن کابل کاری به port-security داره ؟

با تشکر از شما و دوستان دیگه فکر کنم این یه جورایی bug مربوط به IOS ای هستش که من ریختم

راستی علی آقا چرا شما port-security نداری ؟ جابجایی زیاد دارید ؟

**aliafzalan** · 2010-06-03, 08:11 PM

شما این مشکل رو روی همه سوئیچ هاتون دارید؟ IOS همگی مشابه هم هستن؟
IOS یکی از سوئیچ هاتون رو آپدیت کنید ببینید درست میشه یا نه، اگه درست شد لطفاً نتیجه رو بنویسید و اگر هم نه بگید تا راه حل های دیگه رو تست کنیم.
بعید میدونم دراوردن کابل، ارتباطی به port security داشته باشه.
در مورد خط آخر هم، دلیلش اینه که نیازش احساس نمیشه. یعنی راستش رو بخواهید چون امنیتش خیلی پایینه به شخصه ترجیح میدم هیچ وقت ازش استفاده نکنم چون به غیر از دردسر فایده ای نداره!
راستی شما که اینقدر عاشق امنیت هستی روی سوئیچ هاتون dot1x هم اجرا کردید؟

**th95** · 2010-06-03, 08:36 PM

شما این مشکل رو روی همه سوئیچ هاتون دارید؟ IOS همگی مشابه هم هستن؟

بله ! روی همه این مشکل رو داریم و IOS همه هم یکی هستند. باید یه IOS دیگه تست کنم و نتیجه رو بگم

در مورد خط آخر هم، دلیلش اینه که نیازش احساس نمیشه. یعنی راستش رو بخواهید چون امنیتش خیلی پایینه به شخصه ترجیح میدم هیچ وقت ازش استفاده نکنم چون به غیر از دردسر فایده ای نداره!

چرا اینطور فکر میکنید ؟ فکر کنم اولین چیزی که باید توی یه مجموعه برای امنیت لایه 2 گذاشت همینه ! حداقل برای اینکه یه نفر یه لپتاپ نیاره بزنه به یه پورت وصل بشه و ... ! البته من dhcp snooping و IP SOURCE GUARD و ... هم گذاشتم ولی خوب این مشکلش چیه و دردسرش چیه ؟

راستی شما که اینقدر عاشق امنیت هستی روی سوئیچ هاتون dot1x هم اجرا کردید؟

شما هم به ما تیکه بنداز ! عشق و عاشقی کجا بود ! ولی خوب بدم نمیاد از امنیت هم یه چیزایی بدونم
حقیقتش اینه که انقدر من رو از DOT1X ترسوندند و گفتن سخته و اله و بله و CA میخواد و ... یه ذره ترس ورم داشته
البته فقط dynamic vlanning با dot1x
واقعا سخته ؟ دردسر داره ؟ CA میخواد ؟ راستی اصلا شما چه کارهای امنیتی باهاش انجام میدید ؟

**al1p0ur** · 2010-06-03, 08:49 PM

محمد جان ، حالا چرا violation رو توی port-Security گزینه shutdown گذاشتی ؟! که تا یه لپ تاپ به پورت بخوره پورت خاموش بشه و شما رو تو دردسر بندازه .

**aliafzalan** · 2010-06-03, 09:02 PM

فرض کنید من یه کاربر هستم توی شبکه شما! میرم لپ تاپم رو میارم و MAC کارت شبکه رو تغییر میدم و MAC آدرس کارت شبکه کامپیوتر شرکت میزارم، اینطوری میام توی شبکه . . .
راستش رو بخواهید 4 سال پیش یه پروژه داشتیم که چندین سرویس باید توی شبکه اجرا میشد و یکی از اونها port security بود (البته برای یکی از شعب اونجا که 300 تا سیستم داشت و چندین سوئیچ مختلف) جابجایی کاربرها خیلی ازیتمون میکرد، هر روز یا یکی جای میزش تغییر میکرد (و پورت شبکه جابجا می شد) و یا سیستمش عوض می شد و . . . روزی نبود که با shut شدن پورت مواجه نشیم!
راه اندازی dot1x هم خیلی سخت نیست، اگه فرصت کردی و البته سوئیچ تست هم داشتی پیشنهاد میکنم امتحانش کنی. تا اونجایی که یادمه روی سوئیچ باید config مربوطه رو انجام بدی و IAS ویندوز سرور رو نصب کنی. هفته دیگه اگه فرصت شد یه تستی میکنم. شما هم تست کن، OK که شد اگه تونستی مقالش کن، مطمئناً مطلب خوبی برای اولین نسخه مجله Persian Networks میشه

**th95** · 2010-06-03, 09:14 PM

نوشته اصلی توسط al1p0ur

محمد جان ، حالا چرا violation رو توی port-Security گزینه shutdown گذاشتی ؟! که تا یه لپ تاپ به پورت بخوره پورت خاموش بشه و شما رو تو دردسر بندازه .

آخه باید حال کاربر گرفته بشه !

بفهمه که این کار نیازمند اینه که درخواست کتبی بده و ضمنا توبیخ بشه که چرا این کار رو
کرده

ضمنا این قضیه یه جورایی قانونه ! شاید اگه به خودم باشه فقط همون restrict رو بذارم

**th95** · 2010-06-03, 09:18 PM

فرض کنید من یه کاربر هستم توی شبکه شما! میرم لپ تاپم رو میارم و MAC کارت شبکه رو تغییر میدم و MAC آدرس کارت شبکه کامپیوتر شرکت میزارم، اینطوری میام توی شبکه . . .

راست میگید ها !! پس چیکار کنیم ؟

راستش رو بخواهید 4 سال پیش یه پروژه داشتیم که چندین سرویس باید توی شبکه اجرا میشد و یکی از اونها port security بود (البته برای یکی از شعب اونجا که 300 تا سیستم داشت و چندین سوئیچ مختلف) جابجایی کاربرها خیلی ازیتمون میکرد، هر روز یا یکی جای میزش تغییر میکرد (و پورت شبکه جابجا می شد) و یا سیستمش عوض می شد و . . . روزی نبود که با shut شدن پورت مواجه نشیم!

بالاخره چیکار کردید ؟

راه اندازی dot1x هم خیلی سخت نیست، اگه فرصت کردی و البته سوئیچ تست هم داشتی پیشنهاد میکنم امتحانش کنی. تا اونجایی که یادمه روی سوئیچ باید config مربوطه رو انجام بدی و IAS ویندوز سرور رو نصب کنی

راه اندازی چیش سخت نیست ؟ آیا این مشکل ما رو حل میکنه ! من هنوز جواب این سوالم رو نگرفتم که با این dot1x دقیقا توی بحث امنیت چه میشود کرد ؟ یه جا بچه ها پیاده کردند اون هم فقط برای dynamic vlan

**al1p0ur** · 2010-06-03, 09:19 PM

نوشته اصلی توسط mhdganji

آخه باید حال کاربر گرفته بشه !

بفهمه که این کار نیازمند اینه که درخواست کتبی بده و ضمنا توبیخ بشه که چرا این کار رو کرده

خب اینجوری کار و دردسر شما رو بیشتر میکنه که !

در ضمن وقتی لپ تاپ رو بزنه ببینه کار نمیکنه کلی حالش گرفته میشه

اونوقت مجبوره نامه بده که براش پورت رو باز کنی .

**th95** · 2010-06-03, 09:26 PM

نوشته اصلی توسط al1p0ur

خب اینجوری کار و دردسر شما رو بیشتر میکنه که !

در ضمن وقتی لپ تاپ رو بزنه ببینه کار نمیکنه کلی حالش گرفته میشه

اونوقت مجبوره نامه بده که براش پورت رو باز کنی .

حق دارید ولی یه جورایی ما مسوولین شبکه (البته من خودم رو با شما و علی آقا یکی نمیکنم. شما ها کجا و من کجا. من تازه کارایی مثل خودم رو میگم) خیلی به لاگ سرور اعتقاد نداریم. من لاگ سفت و سختی از سوییچهام و سرورهام دارم و تقریبا زدم همه چیز هم لاگ بشه اما تا لازم نشه بهش مراجعه نمیکنم. وقتی حالت shutdown هست خود کاربر باید بیاد بگه و اونوقت دیگه لازم نیست من به لاگ نگاه کنم. همونجا هم این مورد رو ثبت میکنم

موضوع: مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

پیوند

ابزارهای موضوع

نمایش

مشکل در برگرداندن پورت err-disabled به دلیل Psecure Violation

کلمات کلیدی در جستجوها:

مشکل err-disabled

غیر فعال کردن err-disable در سوئیچ

مشکلات port security

err disable در سوییچ سیسکو

فعال کردن لاگ error disable

dot1x

رفع مشکل err disabled در سوئیچ سیسکو

دلیل disable شدن کارت شبکه

dchp disabled رفع مشکل

err-disable state مشکل

port security err-disable

err-disabledمشکل

دستورات رفع اشکال port security

حل مشکل error disable port security switch

حل مشکل port security

پاک کردن error disabl در سسیکو

پاک کردن error disabled در سوئیچ

err dis پورت سوئیچ سیسکو dhcp

درآوردن mac پورت سوئیچ سیسکو

برگرداندن بک اپ سوئیچ 2960

غیر فعال کردن err-disabled در سوئیچ سیسکو

مشکل psecure در سوییچ سیسکو

راه اندازی مجدد پورت خاموش شده در port security

برگرداندن پورت disabled

دراوردن پورت از حالت security در سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش