前几天,上家公司的客户单位的网络运维给我打来电话,请求支援,说他们的网络中增添了新的设备,他也做了相应的端口安全策略,可最终网络怎么都不通,这里我就给大家讲讲端口安全故障现象、故障原因、排障思路以及排障步骤。
常见的端口安全故障有端口不通和端口安全策略不生效两种,下面我就针对这两种现象来剖析下原因,并讲讲我的排障思路和排障方法。
⒈端口不通
故障原因:
⑴配置不正确。
⑵未收到触发报文。
⑶已达到MAX规则上限。
排障思路:
⑴检查端口安全规则配置是否正确。
⑵检查端口安全表项中是否有对应主机MAC表项。
⑶检查MAX规则是否已学满。
排障步骤:
⑴检查端口安全规则配置是否正确。执行show running-config interface interface-name命令,检查端口是否正确配置了相应的安全规则。
Hostname#show running-config interface gigabitethernet0/1
Building Configuration...
interface gigabitethernet0/1
switchport mode trunk
switchport trunk allowed vlan add 2,3,4
switchport trunk pvidvlan 1
port-security enable
port-security permit mac-address 0020.9400.0001 ip-address 10.1.192.1
port-security permit mac-address 0020.9400.0002 vlan-id 3
port-security permit mac-address 0020.9400.0003 vlan-id 4
port-security maximum 10
no spanning-tree enable
loopback-detection enable
如果端口配置的安全规则不正确,请修改配置;如果端口配置正确,请执行步骤2。
⑵检查端口安全表项中是否生成相应主机表项。执行show port-security active-address interface interface-name命令,检查当前端口安全表项。
Hostname#show port-security active-address interface gigabitethernet0/1
Entry Interface MAC address VID IPAddr Derivation Age(Sec)
-------------------------------------------------------------------------------------
1 gi0/1 00:20:94:00:00:01 2 10.1.192.1 MAC+IP 0
2 gi0/1 00:20:94:00:00:02 3 10.1.64.1 MAC+VID 0
3 gi0/1 00:20:94:00:00:03 4 10.1.128.1 MAC+VID 0
Total Mac Addresses for this criterion: 3
对于端口安全的所有规则,都需要根据收到的ARP或第一个IP报文进行判断是否将该主机添加到表项中。执行debug port-security pkt both interface interface-name命令,检查触发报文的收发情况。
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:rx pkt statis update type[0].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:recv pkt from vlan[2],type[0x0806] on interface gigabitethernet0/1.
Oct 6 202216:38:25: %PORTSEC-PKTRX:pkt dst mac[ffff.ffff.ffff].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:pkt src mac[0020.9400.0001].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:pkt src ip[10.1.192.1].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:add detect-mac [0020.9400.0001] OK.
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:rx pkt statis update type[1].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:start match mac rule.
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:start match sticky rule.
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:start match ip rule.
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:match with IP_RULE, action: PERMIT.
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:rx pkt statis update type[3].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:the pkt is legal, flag[0x8].
Oct 6 2022 16:38:25: %PORTSEC-PKTRX:forward the pkt.
Oct 6 2022 16:38:25: %PORTSEC-PKTTX:forward pkt on port[25]
Oct 6 2022 16:38:25: %PORTSEC-PKTTX:tx pkt statis update type[0].
Oct 6 2022 16:38:25: %PORTSEC-PKTTX:tx pkt statis update type[1].
Oct 6 2022 16:38:25: %PORTSEC-PKTTX:tx pkt statis update type[2].
Oct 6 2022 16:38:25: %PORTSEC-PKTTX:forward pkt success.
Oct 6 2022 16:43:56: %PORTSEC-PKTTX:forward pkt success.
如果没有收到触发报文或收到的触发报文中的字段与配置的规则不匹配,请检查终端设备;如果收到的触发报文正确,请执行步骤3。
⑶检查MAX规则是否已达上限。执行show port-security active-address interface interface-name learned命令,检查MAX规则学习到的地址数是否已达上限。
Hostname#show port-security active-address interface gigabitethernet0/1 learned
Entry Interface MAC address VID IPAddr Derivation Age(Sec)
-------------------------------------------------------------------------------------
1 gi0/1 00:20:94:00:00:0B 4 --- FREE 0
2 gi0/1 00:20:94:00:00:10 4 --- FREE 0
3 gi0/1 00:20:94:00:00:0F 4 --- FREE 0
4 gi0/1 00:20:94:00:00:0C 4 --- FREE 0
5 gi0/1 00:20:94:00:00:08 4 --- FREE 0
6 gi0/1 00:20:94:00:00:0E 4 --- FREE 0
7 gi0/1 00:20:94:00:00:07 4 --- FREE 0
8 gi0/1 00:20:94:00:00:0A 4 --- FREE 0
9 gi0/1 00:20:94:00:00:09 4 --- FREE 0
10 gi0/1 00:20:94:00:00:0D 4 --- FREE 0
Total Mac Addresses for this criterion: 10
如果学习到的地址数已达到MAX规则中定义的上限,请修改配置;如果MAX规则主机条目数未学习满,请执行步骤4。
⑷请收集如下信息,联系技术支持中心。
①上述步骤的执行结果。
②设备的配置文件(show running-config)、日志信息(show logging、show logging buffer)。
③debug port-security pkt both interface interface-name信息。
2.端口安全策略不生效
故障原因:
⑴没有使能端口安全。
⑵ 配置了MAC、MAC+VLAN、IP及MAC+IP等规则外还配置了MAX规则。
排障思路:
⑴检查端口安全是否已使能。
⑵检查是否配置了MAX规则。
排障步骤:
⑴检查是否已使能端口安全。执行show running-config interface interface-name命令,检查该端口是否已经使能端口安全。
Hostname#show running-config interface gigabitethernet0/1
Building Configuration...
interface gigabitethernet0/1
switchport mode trunk
switchport trunk allowed vlan add 1,2,3,4
switchport trunk pvidvlan 1
port-security enable
port-security aging static
port-security permit mac-address 0020.9400.0001 ip-address 10.1.192.1
port-security permit mac-address 0020.9400.0002 vlan-id 3
port-security permit mac-address 0020.9400.0003 vlan-id 4
如果未使能端口安全,请使能。如果已使能端口安全,请执行步骤2。
⑵检查端口下是否开启了MAX规则。执行show running-config interface interface-name命令,检查端口是否启用了MAX规则。
Hostname#show running-config interface gigabitethernet0/1
Building Configuration...
interface gigabitethernet0/1
switchport mode trunk
switchport trunk allowed vlan add 2,3,4
switchport trunk pvidvlan 1
port-security enable
port-security permit mac-address 0020.9400.0001 ip-address 10.1.192.1
port-security permit mac-address 0020.9400.0002 vlan-id 3
port-security permit mac-address 0020.9400.0003 vlan-id 4
port-security maximum 10
no spanning-tree enable
loopback-detection enable
如果端口上配置了MAC、MAC+VLAN、IP及MAC+IP等规则外还配置了MAX规则,将会导致端口能学习到除MAC、MAC+VLAN、IP及MAC+IP等规则外的MAC地址。如果由于配置MAX规则导致非法终端接入,请关闭MAX规则。如果规则配置正确,请执行步骤3。
⑶请收集如下信息,联系技术支持中心。
①上述步骤的执行结果。
②设备的配置文件(show running-config)、日志信息(show logging、show logging buffer)。
③debug port-security pkt both interface interface-name信息。
联系客服