IT 끄적이는 물고기

📌 IP SLA, Track

참고자료

- https://www.cisco.com/c/en/us/support/docs/smb/switches/cisco-550x-series-stackable-managed-switches/smb5797-configure-ip-sla-tracking-for-ipv4-static-routes-on-an-sg550.html

• 물리 링크는 살아 있는데 Peer 장비와 통신이 안되는 경우 icmp 패킷을 보내 강제적으로 물리 링크 Down
• 상대방 장비로 라우팅 되어있는 상태일 때 링크를 Down 시켜 이중화 장비로 라우팅 전환

참고 해당 IP SLA 작업이 설정중이거나 인터페이스에 설정이 안되더라도 상태는 UP으로 표시됩니다.

상태 체크시 응답 코드 내용 (Latest operation return code)

• SLA Operation State - 작업이 즉시 시작됨을 의미하는 Scheduled 또는 생성되었지만 활성화되지 않았음을 의미하는 Pending입니다.
• Timeout value - ICMP 에코 응답 메시지 또는 ICMP 오류 메시지를 기다리는 간격 시간을 지정합니다.
• Return Code - 작업이 완료된 후 다음에 따라 작업 Return Code가 설정됩니다.
• ICMP Echo reply has been received - 반송 코드가 OK로 설정되었습니다.
• ICMP Error reply has been received - 반환 코드가 오류로 설정되었습니다.
• No any ICMP reply has been received - 반환 코드가 오류로 설정되었습니다.
• Configured Source IP address or Source interface is not accessible - 반환 코드가 오류로 설정되었습니다.
• Tracker - 작업 결과를 추적합니다.
• Delay - IP SLA 작업 결과 추적 개체의 상태가 Y에서 X로 변경되어야 함을 나타내는 경우 추적 개체는 다음 작업을 수행합니다.

IP SLA 설정

• ip sla <Number>
• icmp-echo <체크 IP> <체크할 IP, 인터페이스>
• frequency <icmp 체크 수=seconds>
• ip sla schedule <sla number> life forever start-time now
  • 해당 sla 스케쥴이 즉시 동작합니다.

ip sla 1
 icmp-echo 192.168.1.2 source-interface Ethernet 0/1
 frequency 5
 ip sla schedule 1 life forever start-time now

ip sla 2
 icmp-echo 192.168.1.2 source-ip 192.168.2.100 next-hop-ip 192.168.2.1
 frequency 5
 ip sla schedule 2 life forever start-time now

Track 설정

• track <track number> ip sla <sla number> reachability
• delay down <seconds>

track 1 ip sla 1 reachability
 delay down 5

📌 AAA(Authentication, Authorization, and Accounting)

참고자료

- https://www.cisco.com/c/ko_kr/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/10384-security.html

• AAA 활성화
  • 해당 명령이 활성화 될 때까지 다른 모든 AAA 관련 명령은 비활성화 상태

aaa new-model

• 외부 AAA 서버 설정 (Radius, TACACS+)
  • key는 대소문자 구분

tacacs-server host <AAA 서버의 IP address> <key>
radius-server host <AAA 서버의 IP address> <key>

• Authentication 구성 (인증)
  • 첫번째 Radius 서버로 인증됩니다. Radius 서버가 응답하지 않으면 장비에 로컬 데이터베이스가 사용됩니다. 로컬 인증의 경우 사용자 이름 및 비밀번호를 정의합니다.
  • local을 입력안해주면 로그인 불가
  • aaa authentication login default group <group name> local

aaa authentication login default group radius local
aaa authentication login default group tacacs+ local

• Authorization 구성 (권한)
  • AAA 서버에서 권한 부여
  • aaa authorization exec default group <group name> local

aaa authorization exec default group radius local

• Accounting 구성 (계정)

aaa accounting exec default start-stop group TACACS-SERVER-GROUP
aaa accounting commands 15 default start-stop group TACACS-SERVER-GROUP

• AAA Group 구성
  • aaa group server tacacs+ <group name>
  • server-private <AAA server ip> key <tacacs key>
  • ip tacacs source-interface <source interface>

aaa group server tacacs+ group1
 server-private 192.168.0.1 key jinsu_tacacs
 ip tacacs source-interface Loopback0

• AAA 예시 구성

aaa authentication login default group group1 local line
aaa authorization exec default group group1 local
aaa authorization commands 15 default group group1 local
aaa accountiong exec default start-stop group group1
aaa accountiong commands 1 default start-stop group group1
aaa accountiong commands 15 default start-stop group group1
aaa accountiong connection default start-stop group group1
aaa accountiong system default start-stop group group1

📌 CISCO - Switch MAC 차단 설정

참고자료

- https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_50_se/configuration/guide/scg/swacl.html#wp1289037

•  MAC Table에서 Static MAC을 설정하여 차단하기

mac address-table static 000f.1f43.e62a vlan 8 drop

• ACL을 이용하여 MAC 허용, 차단 정책 설정하기

# 700-799 ACL 지원되는지 확인
access-list 700 deny NIC-mac 0000.0000.0000
access-list 700 permit 0000.0000.0000 ffff.ffff.ffff

📌 Site to Site

참고자료

- https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/command/reference/srfipsec.html#wp1017619

ISAKMP (Internet Key Exchange = IKEv1)

• 1️⃣ 설정 장비#1 (정적 IP 설정)

참고자료

- https://www.cisco.com/c/ko_kr/support/docs/security-vpn/ipsec-negotiation-ike-protocols/119425-configure-ipsec-00.html

1. 인터페이스 구성(Lan, Wan)

• 내부 및 외부 네트워크 peer 장비에 모두 연결되어 있는지 확인
• 보통 Loopback 인터페이스를 만들어서 터널 사용

interface GigabitEthernet0/0
 description ## 외부 및 터널 IP ##
 ip address 172.17.1.1 255.255.255.252
 no shutdown
!
interface GigabitEthernet0/1
 description ## 내부 서버 IP ##
 ip address 10.20.10.1 255.255.255.0
 no shutdown

2. ISAKMP(IKEv1) 정책 구성

• crypto isakmp policy <priority> : 우선순위
• encr aes 192 : 고급 암호화 192 bits.
• authentication pre-share : 사전 공유키 [default]
• group 2 : Group 2 (1024-bit)
• hash : sha (default)
• lifetime : (86400 seconds = default)

crypto isakmp policy 10
 encr aes 192
 authentication pre-share
 group 2

3. 암호화 ISAKMP 키 구성

• crypto isakmp key <key 값> address <상대방 IP>

crypto isakmp key auhjinsu123 address 172.17.1.2

4. VPN 트래픽에 대한 ACL 구성

• 터널을 위한 ACL 설정

access-list 100 remark tunnel ACL
access-list 100 permit gre host 172.17.1.1 host 172.17.1.2

5. transform-set 구성

• 보안 프로토콜과 알고리즘 설정
• crypto ipsec transform-set <Set-Name>

crypto ipsec transform-set auhjinsu esp-aes 192 esp-sha-hmac
 mode tunnel

6. Crypto map 구성 후 인터페이스에 적용

• crypto map <Map Name> <Number> ipsec-isakmp
• set peer <상대방 IP>
• set transform-set <transform-set Name>
• match address <ACL Number>

crypto map jinsu_map 10 ipsec-isakmp
 set peer 172.17.1.2
 set transform-set auhjinsu
 match address 100

• 터널 맺을 외부 인터페이스에 Map 설정
• crypto map <Map Name>

interface GigabitEthernet0/0
 crypto map jinsu_map

7. 터널 인터페이스 설정

• interface Tunnel<Number>
• ip address <Tunnel IP>
• tunnel source <외부 IP>
• tunnel destination <상대방 source IP>

interface Tunnel12345
 ip address 10.255.100.1 255.255.255.252
 no ip redirects
 ip mtu 1400
 keepalive 3 3
 tunnel source 172.17.1.1
 tunnel destination 172.17.1.2

• 2️⃣ 설정 장비#2 (동적 IP 설정)

참고자료

- https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-architecture-implementation/118048-technote-ipsec-00.html

1. 인터페이스 구성(Lan, Wan)

• 외부 인터페이스는 보통 공인IP를 사용합니다.
• 보통 Loopback 인터페이스를 만들어서 터널 사용

interface GigabitEthernet0/0
 description ## 외부 및 터널 IP ##
 ip address 172.17.1.2 255.255.255.252
 no shutdown
!
interface GigabitEthernet0/1
 description ## 내부 서버 IP ##
 ip address 192.168.1.1 255.255.255.0
 no shutdown

2. ISAKMP(IKEv1) 정책 구성

• crypto isakmp policy <priority> : 우선순위
• encr aes 192 : 고급 암호화 192 bits.
• authentication pre-share : 사전 공유키 [default]
• group 2 : Group 2 (1024-bit)
• hash : sha (default)
• lifetime : (86400 seconds = default)

crypto isakmp policy 10
 encr aes 192
 authentication pre-share
 group 2

3. 암호화 ISAKMP 키 구성

• crypto isakmp key <key 값> address <모든대역 IP>

crypto isakmp key auhjinsu123 address 0.0.0.0

4. VPN 트래픽에 대한 ACL 구성

• 터널을 위한 ACL 설정

access-list 100 remark tunnel ACL
access-list 100 permit gre host 172.17.1.2 host 172.17.1.1

5. transform-set 구성

• 보안 프로토콜과 알고리즘 설정
• crypto ipsec transform-set <Set-Name>

crypto ipsec transform-set auhjinsu esp-aes 192 esp-sha-hmac
 mode tunnel

6. Crypto Dynamic-map 생성, crypto map 생성 후 인터페이스 설정

• crypto dynamic-map <Map Name> <Number>
• set transform-set <transform-set Name>

crypto dynamic-map jinsu 10
 set transform-set auhjinsu

• crypto map <Map Name> <Number> ipsec-isakmp dynamic <dynamic-map Name>

crypto map jinsu_map 10 ipsec-isakmp dynamic jinsu

• 터널 맺을 외부 인터페이스에 Map 설정
• crypto map <Map Name>

interface GigabitEthernet0/0
 crypto map jinsu_map

7. 터널 인터페이스 설정

• interface Tunnel<Number>
• ip address <Tunnel IP>
• tunnel source <외부 IP>
• tunnel destination <상대방 source IP>

interface Tunnel12345
 ip address 10.255.100.2 255.255.255.252
 no ip redirects
 ip mtu 1400
 keepalive 3 3
 tunnel source 172.17.1.2
 tunnel destination 172.17.1.1

EtherChannel 이란 ?

• EtherChannel를 사용하면 여러 물리적 이더넷 링크를 하나의 논리적 채널로 결합하는 기술입니다.
• EtherChannel를 통해 데이터 트래픽 로드를 공유할 수 있습니다.
• EtherChannel를 사용하여 하나 이상의 링크에 장애가 발생할 경우 이중화가 가능합니다.
• EtherChannel을 사용하여 UTP(Unshielded Twisted Pair) 와이어링 또는 단일 모드 및 다중 모드 파이버를 통해 LAN 스위치, 라우터, 서버 및 클라이언트를 연결할 수 있습니다.
• 단일 용어인 EtherChannel을 사용하는 Fast EtherChannel, Gigabit EtherChannel, Port Channel, Channel Group 및 Port Group을 가리킵니다.이 문서의 정보는 이러한 모든 EtherChannel과 같은 기술입니다.

요구사항

EtherChannel을 사용하기전에 해당 스위치와 포트가 지원이 되는지 확인해야합니다.

Switch# show interfaces Gi2/0/23 capabilities GigabitEthernet2/0/23
Model: WS-C3750G-24T
Type: 10/100/1000BaseTX
Speed: 10,100,1000,auto
Duplex: half,full,auto
Trunk encap. type: 802.1Q,ISL
Trunk mode: on,off,desirable,nonegotiate
Channel: yes
Broadcast suppression: percentage(0-100)
Flowcontrol: rx-(off,on,desired),tx-(none)
Fast Start: yes
QoS scheduling: rx-(not configurable on per port basis),tx-(4q2t)
CoS rewrite: yes ToS rewrite: yes
UDLD: yes Inline power: no
SPAN: source/destination
PortSecure: yes
Dot1x: yes
Switch#

EtherChannel 협상 프로토콜 종류

• PAgP (Cisco 장비만 사용가능)
• LACP (IEEE 802.3ad = 모든 장비 사용가능)

EtherChannel 협상 모드

서버와 클라이언트 설정과 맞추면서 NIC 어댑터에서 지원하는 협상 프로토콜에 따라 적절한 모드를 사용합니다.

EtherChannel 설정 (L2)

SW1

# EtherChannel 생성
SW1(config)# interface range ethernet 1/2-3
SW1(config-if-range)# switchport
SW1(config-if-range)# switchport mode trunk
W1(config-if-range)# channel-group 1 mode ?
active Enable LACP unconditionally
auto Enable PAgP only if a PAgP device is detected
desirable Enable PAgP unconditionally
on Enable Etherchannel only
passive Enable LACP only if a LACP device is detected

SW1(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1

SW1(config-if-range)# no shutdown

# Port-Channel 설정
SW1(config)# interface port-channel 1
SW1(config-if)# switchport 
SW1(config-if)# switchport mode trunk
SW1(config-if)# no shutdown

SW2

# EtherChannel 생성
SW2(config)# interface range eth1/2-3
SW2(config-if-range)# switchport
SW2(config-if-range)# switchport mode trunk
SW2(config-if-range)# channel-group 1 mode active
Creating a port-channel interface Port-channel 1

SW2(config-if-range)# no shutdown

# Port-Channel 설정
SW2(config)# interface port-channel 1 
SW2(config-if)# switchport 
SW2(config-if)# switchport mode trunk
SW2(config-if)# no shutdown

EtherChannel 상태 확인

SW1

SW1# show interfaces po1
Port-channel1 is up, line protocol is up (connected) 
  Hardware is EtherChannel, address is aabb.cc00.1031 (bia aabb.cc00.1031)
  MTU 1500 bytes, BW 20000 Kbit/sec, DLY 1000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, Auto-speed, media type is RJ45
  input flow-control is off, output flow-control is unsupported 
  Members in this channel: Et1/2 Et1/3 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     966 packets output, 77372 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
SW1#

SW1#  show etherchannel  summary  
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      N - not in use, no aggregation
        f - failed to allocate aggregator

        M - not in use, minimum links not met
        m - not in use, port not aggregated due to minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Et1/2(P)    Et1/3(P)    

SW1#

SW2

SW2# show interfaces po1
Port-channel1 is up, line protocol is up (connected) 
  Hardware is EtherChannel, address is aabb.cc00.2021 (bia aabb.cc00.2021)
  MTU 1500 bytes, BW 20000 Kbit/sec, DLY 1000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Full-duplex, Auto-speed, media type is RJ45
  input flow-control is off, output flow-control is unsupported 
  Members in this channel: Et1/2 Et1/3 
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:00, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     820 packets input, 47560 bytes, 0 no buffer
     Received 820 broadcasts (0 multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 input packets with dribble condition detected
     148 packets output, 24112 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
SW2#

SW2#  show etherchannel summary 
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      N - not in use, no aggregation
        f - failed to allocate aggregator

        M - not in use, minimum links not met
        m - not in use, port not aggregated due to minimum links not met
        u - unsuitable for bundling
        w - waiting to be aggregated
        d - default port

        A - formed by Auto LAG


Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Et1/2(P)    Et1/3(P)    

SW2#

Err-disable의 기능이란?

Switch에서 포트에 대해 장애 및 에러유무를 주기적으로 모니터링하며 에러가 발생하면 자동으로 포트가 Errdisabled 상태로 변경되며 Shutdown 상태가 됩니다. 이후 관리자가 조치를 취할 수 있도록 Event Log를 발생시켜줍니다.

Errdisabled 포트를 복구하려면 해당 포트에서 no shutdown 명령어를 입력해주어야 합니다.

Errdisable Detect 설정

장비마다 다르지만 아래와 같이 설정 가능한 옵션들이 많이 있습니다.
여기서 자주 사용하는 옵션만 설명 드리겠습니다.

Switch(config)#errdisable detect cause ?
  all                  Enable error detection on all cases
  arp-inspection       Enable error detection for arp inspection
  dhcp-rate-limit      Enable error detection on dhcp-rate-limit
  dtp-flap             Enable error detection on dtp-flapping
  gbic-invalid         Enable error detection on gbic-invalid
  inline-power         Enable error detection for inline-power
  l2ptguard            Enable error detection on l2protocol-tunnel
  link-flap            Enable error detection on linkstate-flapping
  loopback             Enable error detection on loopback
  pagp-flap            Enable error detection on pagp-flapping
  pppoe-ia-rate-limit  Enable error detection on PPPoE IA rate-limit
  psp                  Enable error detection on PSP
  security-violation   Enable error detection on 802.1x-guard
  sfp-config-mismatch  Enable error detection on SFP config mismatch

Switch(config)#errdisable detect cause all
모든 옵션을 포함합니다.

Switch(config)#errdisable detect cause dtp-flap
스위치를 Trunk로 연결했을 경우 trunk는 access 와 다르게 모든 VLAN 트래픽을 실어나르기 때문에 어떤 VLAN에 속하는지 표시해주는 헤더가 필요한데 두 스위치가 사용하는 encapsulation 설정이 다를 경우 발생합니다.

Switch(config)#errdisable detect cause link-flap
짧은 시간동안 스위치 포트가 Up/Down을 반복할 떄 발생합니다.

Switch(config)#errdisable detect cause pagp-flap
스위치간 Etherchannel 구성을 통해 여러개의 포트를 하나로 묶었을 때 묶음 조건이 다를 경우(ex=duplex)

Switch(config)#errdisable detect cause udld
STP프로토콜이 동작하기 위해 양방향 BPDU 프레임 교환이 필요한 스위치 연결에서 단방향 연결만 가능하여 STP프로토콜이 제대로 동작할 수 없을 경우에 발생합니다.

Switch(config)#errdisable detect cause rootguard
STP프로토콜의 root 역활을 하는 스위치에 root 스위치로부터 BPDU 프레임이 도착한 경우에 발생합니다.

자동으로 Errdisable 포트를 복구하는 명령어에 대해서 알아볼게요.

errdisable recovery 설정

Switch(config)#errdisable recovery cause ?
  all                      Enable timer to recover from all error causes
  arp-inspection           Enable timer to recover from arp inspection error disable state
  bpduguard                Enable timer to recover from BPDU Guard error
  channel-misconfig (STP)  Enable timer to recover from channel misconfig error
  dhcp-rate-limit          Enable timer to recover from dhcp-rate-limit error
  dtp-flap                 Enable timer to recover from dtp-flap error
  gbic-invalid             Enable timer to recover from invalid GBIC error
  inline-power             Enable timer to recover from inline-power error
  l2ptguard                Enable timer to recover from l2protocol-tunnel error
  link-flap                Enable timer to recover from link-flap error
  link-monitor-failure     Enable timer to recover from link monitoring failure
  loopback                 Enable timer to recover from loopback error
  mac-limit                Enable timer to recover from mac limit disable state
  oam-remote-failure       Enable timer to recover from OAM detected remote failure
  pagp-flap                Enable timer to recover from pagp-flap error
  port-mode-failure        Enable timer to recover from port mode change failure
  pppoe-ia-rate-limit      Enable timer to recover from PPPoE IA rate-limit error
  psecure-violation        Enable timer to recover from psecure violation error
  psp                      Enable timer to recover from psp
  security-violation       Enable timer to recover from 802.1x violation error
  sfp-config-mismatch      Enable timer to recover from SFP config mismatch error
  storm-control            Enable timer to recover from storm-control error
  udld                     Enable timer to recover from udld error
  unicast-flood            Enable timer to recover from unicast flood error
  vmps                     Enable timer to recover from vmps shutdown error

Switch(config)#errdisable recovery cause all (all대신에 하나씩 사용 가능합니다.)
Switch(config)#errdisable recovery interval 30 (기본 복구시간은 300초이고 30~86400초까지 설정가능합니다.)

테스트로 포트를 Errdisable 상태로 만들고 자동 복구가 되는지 확인해봤습니다.

*Jul  9 15:39:44.822: %PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
*Jul  9 15:39:44.822: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 0050.7966.6802 on port Ethernet0/0.
*Jul  9 15:39:45.822: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
*Jul  9 15:39:46.823: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down

Switch#show errdisable recovery 
ErrDisable Reason            Timer Status
-----------------            --------------
arp-inspection               Enabled
bpduguard                    Enabled
channel-misconfig (STP)      Enabled
dhcp-rate-limit              Enabled
dtp-flap                     Enabled
gbic-invalid                 Enabled
inline-power                 Enabled
l2ptguard                    Enabled
link-flap                    Enabled
mac-limit                    Enabled
link-monitor-failure         Enabled
loopback                     Enabled
oam-remote-failure           Enabled
pagp-flap                    Enabled
port-mode-failure            Enabled
pppoe-ia-rate-limit          Enabled
psecure-violation            Enabled
security-violation           Enabled
sfp-config-mismatch          Enabled
storm-control                Enabled
udld                         Enabled
unicast-flood                Enabled
vmps                         Enabled
psp                          Enabled
dual-active-recovery         Disabled

Timer interval: 30 seconds

Interfaces that will be enabled at the next timeout:

Interface       Errdisable reason       Time left(sec)
---------       -----------------       --------------
Et0/0          psecure-violation           19

*Jul  9 15:40:14.813: %PM-4-ERR_RECOVER: Attempting to recover from psecure-violation err-disable state on Et0/0
*Jul  9 15:40:16.813: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up
*Jul  9 15:40:17.813: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up

감사합니다.