Dell Networking SONiC Jak nakonfigurovat zabezpečení portů

Shrnutí: Jak nakonfigurovat zabezpečení portů v řešení Dell Networking SONiC. Tento článek je testován v softwaru Dell Networking SONiC 4.2 Edge Standard.

Tento článek se vztahuje na Tento článek se nevztahuje na Tento článek není vázán na žádný konkrétní produkt. V tomto článku nejsou uvedeny všechny verze produktu.
Podívejte se na další zdroje

Pokyny

Požadavky
K předvedení konceptů používáme standardní pojmenování rozhraní. Viz článek Dell Networking řady S: Základní konfigurace rozhraní – SONiC 4.0, kde najdete další informace o pojmenování rozhraní.

Index

Co je zabezpečení
portůNastavení maximálního povoleného počtu adres MAC v portu
Narušení
zabezpečení portůVýchozí
Syntaxe
konfiguraceUkázková konfigurace
Ověřit     

Co je zabezpečení portů

 Zabezpečení portů chrání port omezením počtu učení MAC na uživatelem definovaném portu. 
  • Zabezpečení portů není v síti vlan podporováno.
  • Zabezpečení portů je podporováno v ethernetovém portu a PortChannel, který je nakonfigurován jako switchport.
  • Zabezpečení portů není podporováno v jiných portech než switchPorts.  

Nastavení maximálního povoleného počtu adres MAC v portu

 Pomocí funkce učení MAC můžete nastavit maximální limit počtu adres MAC, které lze povolit v rozhraní. Omezení adres MAC zajišťuje zabezpečení před zahlcením adres MAC. Při překročení maximálního povoleného prahu MAC systém vygeneruje varovné oznámení syslog a dojde k narušení zabezpečení portu.

POZNÁMKA:Chcete-li obnovit výchozí počet povolených adres MAC na port, můžete limit učení MAC zakázat. 

Narušení zabezpečení portů

 K narušení zabezpečení portů dochází, když se port dozví více adres MAC, než je nakonfigurovaný limit. Můžete nakonfigurovat akci, která by měla být provedena během porušení.
V aplikaci Dell SONiC je ochrana, kterou lze provést, když dojde k narušení. Když je aktivován režim ochrany, zakáže učení MAC na portu, když počet MAC adres na rozhraní dosáhne nakonfigurovaného limitu. Všechny pakety s neznámými zdrojovými adresami na portu jsou v této fázi zahozeny.
Jaké kroky lze podniknout, pokud dojde k narušení zabezpečení portu?
Můžete provést kteroukoli z níže uvedených akcí
-> Po nalezení a odstranění zařízení způsobujících nadměrnou adresu mac můžeme vymazat tabulku adres mac v rozhraní, abychom vymazali stav porušení.
Syntaxe příkazu 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->V případě potřeby
zvyšte povolený limit mac adres Syntaxe příkazu 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->V případě potřeby
zakažte zabezpečení portůSyntaxe příkazu 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Jak zjistím mac adresu blokovanou zabezpečením portů?
Podrobnosti o mac adrese, která byla blokována zabezpečením portů, najdeme ve zprávách protokolu. Viz níže uvedený příklad (maskované datum/čas a mac adresa)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Výchozí

Zabezpečení portů v přístavu Disabled
Maximální počet MAC adres na port 1
Režim porušení Chránit

Syntaxe konfigurace

Příkaz Vysvětlení 
admin@DELLSONiC:~$ sonic-cli
Přejděte do rozhraní příkazového řádku Dell Management. 
DELLSONiC# configure terminal
Přechod do konfiguračního režimu 
DELLSONiC(config)# interface <Eth slot/port>
Konfigurace rozhraní 
DELLSONiC(config)# interface range Eth <slot/port>
(Volitelné) Můžete konfigurovat celou řadu rozhraní. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Nastavení opatření, která mají být přijata v případě porušení.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Nastavit maximální počet zabezpečených certifikátů MAC povolených v tomto rozhraní
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Povolí zabezpečení portů na úrovni rozhraní. 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Zakázat zabezpečení portů na úrovni rozhraní

Ukázková konfigurace

Předpokládejme, že máme dva učení mac adres v portu Eth 1/1.
Před konfigurací zabezpečení portu na portu Eth 1/1 (maskovaná adresa MAC) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Nakonfigurujeme port Eth 1/1 tak, aby neumožňoval více než maximálně jednu mac adresu. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Po konfiguraci zabezpečení portů vidíme, že je naučena pouze jedna adresa MAC. První přijatý rámec MAC je naučen. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Ověření

K ověření použijte následující příkazy 
Příkaz Vysvětlení 
DELLSONiC# show port-security
Zobrazit zabezpečení portů ve všech rozhraních 
DELLSONiC# show port-security interface Eth <slot/port>
Zobrazení zabezpečení portů v konkrétním rozhraní 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Získejte podrobnosti o adrese MAC, která byla porušena z protokolů.
Ukázkový výstup (ukazuje narušení zabezpečení portů) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Zpráva protokolu (maskované datum a čas a adresa MAC) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Dotčené produkty

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Vlastnosti článku
Číslo článku: 000218833
Typ článku: How To
Poslední úprava: 27 Jun 2025
Verze:  3
Najděte odpovědi na své otázky od ostatních uživatelů společnosti Dell
Služby podpory
Zkontrolujte, zda se na vaše zařízení vztahují služby podpory.