接口err-disable，但是无法定位出原因，求指教！

wan1047623653 · ‎02-21-2017

最近总发现WS-C6880-X-LE设备某些端口不定期的出现err-disable，查看err-disable的原因是security-violation，这是由于违反安全策略导致的，但是设备上并没有配置端口安全策略，通过show run | in port-sec 找到这两条命令，
sh run | in port-security
platform rate-limit layer2 port-security pkt 300 burst 10
snmp-server enable traps port-security
第一条是配置了UUFRL技术，但对这个技术不太懂，能否又朋友帮忙解释一下？另外向请教出现这种情况是如何使接口err-disable，违反了什么安全策略？？

one-time · ‎02-21-2017

感谢您的提问！稍后会有小伙伴为您解答的！:)

lxw615117 · ‎02-21-2017

UUFRL 全称是unknown unicast flood rate-limiting, 默认情况下，未知的单播和组播流量会在vlan的各个端口泛洪，这个特性就是为了阻止或者限制这种流量。

lxw615117 · ‎02-21-2017

http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-4SY/config_guide/sup2T/15_4_sy_swcg_2T/unknown_ucast_flood_control.html,这个是官方的链接，可以参考一下！

wan1047623653 · ‎02-21-2017

lxw615117_cisco 发表于 2017-2-22 09:02
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-4SY/config_guide/sup2T/15_4_sy ...

platform rate-limit layer2 port-security pkt 300 burst 10
那这条命令，我可以理解为接口收到的数据包超过300 且超过10次，我就相当于违反了port-security，是吗？
如果是这样，那它默认的执行动作是什么，将接口err-disable吗

lxw615117 · ‎02-22-2017

wan1047623653 发表于 2017-2-22 15:45
platform rate-limit layer2 port-security pkt 300 burst 10
那这条命令，我可以理解为接口收到的数据 ...

你可以使用show error-disable detect 查看是你开启了哪些检测，默认是所有的检测功能都开启，你可以根据需要修改检测项，或者恢复端口状态，port-security就是其中的一项。

huoran1234 · ‎02-22-2017

你可以 sh int status err-disabled 看看是不是由你配置的那条触发的err-disable

wan1047623653 · ‎02-24-2017

lxw615117_cisco 发表于 2017-2-23 09:11
你可以使用show error-disable detect 查看是你开启了哪些检测，默认是所有的检测功能都开启，你可以根据 ...

show error-disable detect 是开启了security-violation。
我是想了解为什么会违反端口安全，设备（WS-C6880-IA）上全局下配置platform rate-limit layer2 port-security pkt 300 burst 10，是不是因为接口突发流量过大造成的

wan1047623653 · ‎02-24-2017

huoran1234 发表于 2017-2-23 14:36
你可以 sh int status err-disabled 看看是不是由你配置的那条触发的err-disable

reason 是安全的问题，我只是不明白违反了什么安全策略，是不是与这条默认的命令有关？