Reativando uma porta de switch CISCO em err-disabled por violação de segurança (port security violation)

O curso CCNA Routing & Switching apresenta alguns recursos básicos de segurança em redes. Um desses recursos é a segurança de porta (port security) em switches, que possibilita restringir o tráfego de entrada nas portas do dispositivo com base no endereço MAC dos hosts.
Na configuração da segurança de porta, os endereços MAC que serão permitidos podem ser aprendidos de forma dinâmica ou estática. Além disso, pode-se definir quantos endereços MACs serão permitidos e qual ação será disparada quando ocorrer uma violação de segurança. A violação de segurança ocorre quando um MAC não permitido tenta acesso pela porta na qual foi aplicada a restrição. Existe 3 modos de violação:

  • Proteger (Protect)
  • Restringir (Restrict)
  • Desabilitar (Shutdown)

O modo de violação desabilitar (shutdown) faz com que a porta do switch seja desabilitada e entre no modo err-disabled, ou seja, ela deixa de encaminhar tráfego. Com o uso do comando show interface fastEthernet 0/1 ou show interfaces fasEthernet 0/1 status pode-se verificar a situação da porta.

SW-LAB_A#show interface fastEthernet 0/1
FastEthernet0/1 is down, line protocol is down (err-disabled)
<-- saída de comando omitida -->
SW-LAB_A#

ou

SW-LAB_A#show interfaces fastEthernet 0/1 status

 Port  Name   Status       Vlan   Duplex  Speed Type
 Fa0/1        err-disabled 1      a-full  a-100 10/100BaseTX
SW-LAB_A#

Observe que na saída do primeiro comando a porta está em estado down e err-disabled. Uma vez desabilitada pela violação de segurança, a porta não será reativada até a intervenção do administrador da rede. Para reativar a porta, deve-se emitir o comando shutdown seguido do comando no shutdown no modo de configuração de interface.
Há como fazer com que a porta seja automaticamente ativada depois da violação de segurança, sem intervenção manual do administrador da rede. O comando global errdisable recovery cause psecure-violation habilita a recuperação de violação e fará com que a porta seja reativada depois de 300 segundos da ocorrência da violação.

Para este exemplo foi utilizado o Switch Cisco WS-C2960-48TT-L, no entanto outros modelos também suportam o recurso de segurança de porta e a recuperação de violação.