取消
显示结果 
搜索替代 
您的意思是: 
cancel
9196
查看次数
0
有帮助
8
回复

接口err-disable,但是无法定位出原因,求指教!

wan1047623653
Spotlight
Spotlight
最近总发现WS-C6880-X-LE设备某些端口不定期的出现err-disable,查看err-disable的原因是security-violation,这是由于违反安全策略导致的,但是设备上并没有配置端口安全策略,通过show run | in port-sec 找到这两条命令,
sh run | in port-security
platform rate-limit layer2 port-security pkt 300 burst 10
snmp-server enable traps port-security
第一条是配置了UUFRL技术,但对这个技术不太懂,能否又朋友帮忙解释一下? 另外向请教出现这种情况是如何使接口err-disable,违反了什么安全策略??
8 条回复8

one-time
Level 13
Level 13
感谢您的提问!稍后会有小伙伴为您解答的!:)

lxw615117
Level 1
Level 1
UUFRL 全称是unknown unicast flood rate-limiting, 默认情况下,未知的单播和组播流量会在vlan的各个端口泛洪,这个特性就是为了阻止或者限制这种流量。

lxw615117
Level 1
Level 1

wan1047623653
Spotlight
Spotlight
lxw615117_cisco 发表于 2017-2-22 09:02
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/15-4SY/config_guide/sup2T/15_4_sy ...

platform rate-limit layer2 port-security pkt 300 burst 10
那这条命令,我可以理解为接口收到的数据包超过300 且超过10次,我就相当于违反了port-security,是吗?
如果是这样,那它默认的执行动作是什么,将接口err-disable吗

lxw615117
Level 1
Level 1
wan1047623653 发表于 2017-2-22 15:45
platform rate-limit layer2 port-security pkt 300 burst 10
那这条命令,我可以理解为接口收到的数据 ...

你可以使用show error-disable detect 查看是你开启了哪些检测,默认是所有的检测功能都开启,你可以根据需要修改检测项,或者恢复端口状态,port-security就是其中的一项。

huoran1234
Spotlight
Spotlight
你可以 sh int status err-disabled 看看是不是由你配置的那条触发的err-disable

wan1047623653
Spotlight
Spotlight
lxw615117_cisco 发表于 2017-2-23 09:11
你可以使用show error-disable detect 查看是你开启了哪些检测,默认是所有的检测功能都开启,你可以根据 ...

show error-disable detect 是开启了security-violation。
我是想了解为什么会违反端口安全,设备(WS-C6880-IA)上全局下配置platform rate-limit layer2 port-security pkt 300 burst 10,是不是因为接口突发流量过大造成的

wan1047623653
Spotlight
Spotlight
huoran1234 发表于 2017-2-23 14:36
你可以 sh int status err-disabled 看看是不是由你配置的那条触发的err-disable

reason 是 安全的问题,我只是不明白违反了什么安全策略,是不是与这条默认的命令有关?
快捷链接