Errdisable recovery：自动恢复因端口安全违规而禁用的交换机端口

Errdisable recovery：自动恢复因端口安全违规而禁用的交换机端口

本文将通过一个小型实验，介绍如何使用"Errdisable recovery"功能自动恢复因端口安全违规而禁用的交换机端口。虽然这个技巧可以应用于多种场景，但本文将重点介绍其在端口安全配置中的应用。

在配置端口安全并设置为shutdown violation模式时，管理员需要手动使用"shutdown"和"no shutdown"命令来恢复接口的正常工作状态。今天，我将通过一个实验演示如何使用"errdisable recovery"命令在相同情况下自动恢复接口的功能状态。以下是实验使用的拓扑结构和简单配置。我们有一个交换机和三台PC。连接到PC1的接口将被配置为端口安全的shutdown violation模式，而TEST PC将用于测试目的。

需要注意的是，默认允许的最大物理地址数为1，且默认的违规模式是shutdown。默认情况下，所有原因（包括端口安全违规）的errdisable recovery都是禁用的。

在启用errdisable recovery并减少计时器间隔之前，先提供一个演示作为提醒。我们可以从PC1访问PC2。

交换机SW已经正确注册了PC1的物理地址。

目前一切正常。现在，我们将用TEST替换PC1，观察所做的配置效果。从SW控制台，我们已经可以看到安全违规检测，端口G0/0进入Errdisable模式。

可以看到端口状态为"Secure-shutdown"，并且Last Source Address: vlan发生了变化！

现在，恢复接口状态的唯一方法是将PC1重新连接到G0/0接口，并执行"shutdown"和"no shutdown"命令（这将强制进入Administrative Down模式）。

到目前为止，一切都是手动操作。现在，我们将转向自动errdisable recovery！首先，我们需要为"psecure-violation"情况启用它。

现在我们可以检查一下。300秒是一个很长的时间；让我们将这个间隔减少到30秒。

现在让我们进行测试。SW检测到入侵，端口G0/0进入err-disable模式。

但是30秒后，Autoerrdisable recovery已经恢复了G0/0的功能状态。

然而，只要TEST连接到G0/0，每次这个接口都会返回到Err-disable状态，因为交换机已经将PC1的物理地址注册为唯一的合法地址！

现在，要恢复G0/0的功能状态，管理员只需要将PC1连接到G0/0，无需像之前那样手动干预强制管理状态为"down"。一切都将自动发生。虽然这个技术可以应用于不同的情况，但本文仅展示了其最简单的应用形式！

感谢阅读，下次见！