Aujourd’hui, je vais partager avec vous un petit laboratoire qui illustre une astuce appelée « Errdisable recovery ». Bien que cette astuce puisse être utilisée dans plusieurs cas, je vais me limiter à son utilisation dans le cadre de la sécurité des ports (port security).
Comme vous le savez, lors de la configuration de la sécurité des ports en mode violation shutdown, l’administrateur doit intervenir manuellement pour rétablir l’état fonctionnel de l’interface en utilisant les commandes "shutdown" et "no shutdown" ! : Administrative Down.
Aujourd’hui, je vais vous montrer à travers un petit laboratoire comment restaurer automatiquement l’état fonctionnel de l’interface dans la même situation grâce à la commande errdisable recovery.
Voici la topologie utilisée avec une configuration simple. Nous avons un switch et trois PC. L’interface connectée à PC1 sera configurée avec la sécurité des ports en mode violation shutdown, et le PC TEST sera utilisé à des fins de test.
Il est important de noter que le nombre maximum d'adresses physiques autorisé par défaut est de 01 et que la violation shutdown est le mode de violation par défaut.
Comme vous pouvez le constater, la récupération des erreurs d'auto-désactivation (Auto errdisable recovery) est désactivée par défaut pour toutes les causes, y compris les violations de sécurité portuaire (psecure-violation).
Avant de l’activer et de réduire l'intervalle de minuterie, il est utile de faire une démonstration à titre de rappel. Nous pouvons atteindre PC2 à partir de PC1.
Le switch SW a correctement enregistré l'adresse physique de PC1.
Pour l'instant, tout va bien.
Nous allons maintenant remplacer PC1 par TEST pour observer l'effet de la configuration réalisée. À partir de la console de SW, nous constatons déjà une détection de violation de sécurité, et le port G0/0 passe en mode Errdisable.
Vous pouvez constater que le statut du port est "Secure-shutdown" et que Last Source Addess :vlan est differente !
Maintenant, le seul moyen de restaurer l’état de l’interface est de reconnecter PC1 à l’interface G0/0 en exécutant les commandes « shutdown » puis « no shutdown » (ce qui force le mode Administrative Down).
Jusqu’à présent, tout était manuel. Nous passons maintenant à l’auto errdisable recovery ! Tout d’abord, nous devons l’activer pour le cas « psecure-violation ».
On peut maintenant le vérifier.
300 seconds c’est beaucoup, réduisons cet intervalle à 30 s
Passons maintenant au test. SW a détecté une intrusion et le port G0/0 est passé en mode err-disable.
Mais après 30 secondes, Auto errdisable recovery a restauré l’état fonctionnel de G0/0.
Mais tant que TEST est attaché à G0/0, cette interface retourne chaque fois à l’état Err-disable, car le commutateur a enregistré l’adresse physique de PC1 comme étant la seule légitime !
Maintenant, pour restaurer l’état fonctionnel de G0/0, l’administrateur n’a qu’à connecter PC1 à G0/0, SANS intervenir manuellement pour forcer l'état administratif à "down" comme dans le cas précédent. Tout se fera automatiquement. Bien que cette technique puisse être utilisée dans différentes circonstances, je vous ai seulement présenté son application dans sa forme la plus simple !
Merci et à bientôt!