حل نشدن خطای error disable
دوستان سلام
یه موضوعی هست که به اون برخورد کردم اشتراک میذارم که هم خودم به نتیجه برسم و هم شاید نکته داشته باشه بقیه هم بتونن استفاده کنن.
در محل کار من قبلا یک سیستم متصل به شبکه در واحد کاری دیگه(مثلا حسابداری)داشته کار میکرده.واحد کاری بنده(مثلا IT) هم متفاوته.رنج آی پی این دو واحد جداست و حتی سوئیچ های متفاوتی هم دارن.
روی تموم پورت های سوئیچ ها پورت سکیوریتی + mac address sticky + aging time 360اعمال شده.
یه سیستم جدید در محل کار من به شبکه متصل میشه تا تنظیمات مربوطه انجام بشه و بعد تحویل کاربر واحد حسابداری بشه پس در مرحله اول سیستم جدید رنج ip شبکه بنده یعنی IT رو گرفته.
بعد از آماده شدن سیستم کاربر واحد حسابداری سیستم رو تحویل میگیره و میبره به واحد خودش میزنه به همون پریز شبکه ای که سیستم قبلیش به اون وصل بوده.
1. خودش در ساعات اولیه میگه شبکش قطعه یعنی علامت ضربدر روی آیکن شبکش مشاهده شده اما من توی سوئیچ وضعیت اتصال پورت سوئیچ ایشون رو connected میبینم.
2. سیستمش رو که ping میکنم ping ش رو ندارم.اما ping رو با اسم کامپیوتر داخلیش میگیرم توی خروجیش همچنان ip رنج شبکه ما(IT) رو نشون میده هر چند time out میزنه.
3.بعد از چند دقیقه وضعبت پورت ایشون به error disable تغییر پیدا میکنه.Shut down و no shut روی پورت زدم جواب نداد مجبور شدم پورت سکیوریتی رو برداشتم بعد shut و no shut زدم شبکش وصل شد.
4.اما به محض اینکه پورت سکیوریتی(دقیقا با تنظیمات بالا)رو مجدد روش اعمال کردم شبکش قطع شد. و دست آخر نتونستم پورت سکیوریتی رو روش اعمال کنم چون قطع میشد.
5. اما با اینکه شبکش وصل شده ping اسم کامپیوترش رو که میگیرم همچنان time out میده و البته ip رو باز هم در رنج شبکه ما.
البته یاا time out میزد یا host unrechable.
اینکه فردا برم و پورت سکیوریتی رو روش فعال کنم و جواب بگیرم یا نه و شبکش قطع نشه و ip رنجش شبکه خودشون رو گرفته باشه نمیدونم ولی اگرم جواب بده اصلا مناسب نیس که من بخوام برای همه سیستم های جدید بذارم یه مدت بگذره و بعد پورت سکیوریتی اعمال کنم و لازمه همون موقع انجام بدم.
بنظرتون مشکل از کجاس؟
البته یه نکته نمیدونم ربط داشته باشه یا نه ولی فکر کنم تیک ipv6 اشتباها روی تنظیمات کارت شبکه خورده باشه و فعال باشن.
ممنون
2 پاسخ
ممكنه ايراد از پورت سوييچ باشه ميزان تايم پينگ سيستم رو بررسي كنيد / پورت سيستم روي سوييچ رو تغيير بدين /
سلام خدمت شما دوست عزیز
مشکلي داريد که بيان مي کنيد، مشکل خيلي جالبي هست و متأسفانه اين نکته در مورد Port Security توي آموزش ها، کتابهاي مرجع، دوره هاي CCNA و CCNP بيان نميشه و صرفا با تجربه به دست مياد.
ببینید وقتي شما mac-address sticky رو زیر يک اينترفيس مي زنيد، به محض دريافت اولین پکت يه خط به صورت زیر به کانفیگ هاي زیر اينترفیستون اضافه ميشه:
switchport port-security mac-address sticky 000b.f601.6d4e
که کلمه اخر mac address سیستم متصل هست و به عنوان مثال اینجا اوردم. تا اينجاشو که مي دونستید، نکته از اينجا شروع مي شه... وقتی شما اين سیستم رو جدا می کنيد و مي برید به یه سوييچ دیگه متصل مي کنيد که port security فعال شده روش، خط بالا روي سوييچ جديد هم ايجاد میشه و اين خط روي دو تا از سوييچ هاتون قرار مي گیره
و مشکل همينجاست...
*** mac address شناخته شده توسط مکانیزم sticky در سطح دامنه ارتباطات لايه دوييتون (شامل تجهيز لايه سه اي که interface vlanهاتون رو روش تعريف کرديد) نباید تکرار بشه ***
شما باید زحمت بکشید و کامند زیر رو روي سوييچ اول بزنید:
no switchport port-security mac-address sticky 000b.f601.6d4e
حواستون باشه که کامند رو کامل بزنید، و mac address سيستم جابه جا شده رو هم انتهای کامند بیارید.
وقتي که اين خط برداشته بشه، انترفيس سوييچ جديد که سيستم جابه جا شده بهش متصل شده، دیگه error disable نميگیره
یه کم عجیبه ولي مکانیزم کارکرد port security به اين گونه هست.