Cómo configurar la seguridad de puertos de Dell Networking SONiC

Summary: Cómo configurar la seguridad de puertos en Dell Networking SONiC. Este artículo se probó en Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Requisitos previos
Estamos utilizando la nomenclatura estándar de la interfaz para demostrar los conceptos. Consulte el artículo Serie S de Dell Networking: Configuración básica de la interfaz: SONiC 4.0 para obtener más información sobre la asignación de nombres de interfaz.

Índice

¿Qué es la seguridad portuaria?
Establecer el número máximo de direcciones MAC permitidas en un puerto
Violación
de la seguridad portuariaDefectos
Sintaxis
de configuraciónConfiguración de ejemplo
Verificar     

¿Qué es la seguridad portuaria?

 La seguridad de puertos protege un puerto limitando la cantidad de aprendizajes MAC en un puerto especificado por el usuario. 
  • La seguridad de puertos no es compatible con VLAN
  • La seguridad de puertos es compatible con el puerto Ethernet y PortChannel, que está configurado como puerto del switch.
  • La seguridad de puertos no es compatible con puertos que no son de switch.  

Establecer el número máximo de direcciones MAC permitidas en un puerto

 Con la función de aprendizaje de MAC, puede establecer el límite máximo en la cantidad de direcciones MAC que se pueden permitir en una interfaz. La limitación de las direcciones MAC proporciona seguridad contra la inundación de MAC. Cuando se supera el umbral máximo permitido de MAC, el sistema genera una notificación de syslog de advertencia y se produce una violación de seguridad del puerto.

NOTA:Puede deshabilitar el límite de aprendizaje de MAC para restaurar la cantidad predeterminada de direcciones MAC permitidas por puerto. 

Violación de la seguridad portuaria

 Una infracción de seguridad portuaria ocurre cuando un puerto aprende más direcciones MAC que el límite configurado. Puede configurar la acción que se debe realizar durante una infracción.
En Dell SONiC, la acción que se puede tomar cuando se produce una violación es proteger. Cuando se activa el modo de protección, deshabilita el aprendizaje de MAC en el puerto cuando la cantidad de direcciones MAC en la interfaz alcanza el límite configurado. Todos los paquetes con direcciones de origen desconocidas en el puerto se descartan en esta etapa.
¿Qué medidas se pueden tomar si se produce una violación de la seguridad portuaria?
Puede realizar cualquiera de las siguientes acciones
:> después de encontrar y eliminar los dispositivos que causan un exceso de dirección MAC, podemos borrar la tabla de direcciones MAC en la interfaz para borrar el estado de infracción.
Sintaxis del comando 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Aumentar el límite permitido de direcciones mac si es necesario
Sintaxis del comando 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Deshabilitar la seguridad del puerto si es necesario
Sintaxis del comando 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

¿Cómo puedo encontrar la dirección MAC bloqueada por la seguridad del puerto?
Podemos encontrar los detalles de la dirección MAC, que fue bloqueada por la seguridad del puerto en Mensajes de registro. Consulte el siguiente mensaje (fecha/hora y dirección mac enmascaradas)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Defectos

Seguridad de puertos en un puerto Deshabilitado
Número máximo de direcciones MAC por puerto 1
Modo de infracción Proteger

Sintaxis de configuración

Comando Explicación 
admin@DELLSONiC:~$ sonic-cli
Ingrese a la interfaz de línea de comandos de administración de Dell 
DELLSONiC# configure terminal
Ingresar al modo de configuración 
DELLSONiC(config)# interface <Eth slot/port>
Configurar interfaz 
DELLSONiC(config)# interface range Eth <slot/port>
(Opcional) Puede configurar un rango de interfaz. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Establecer las medidas que se deben tomar en caso de infracción.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Establecer la cantidad máxima de MAC seguras permitidas en esta interfaz
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Activa la seguridad de puerto en el nivel de interfaz 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Deshabilitar la seguridad de puertos en el nivel de interfaz

Configuración de muestra

Considere que tenemos dos direcciones MAC aprendiendo en el puerto Eth 1/1.
Antes de configurar la seguridad del puerto en el puerto Eth 1/1 (dirección mac enmascarada) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Configuremos el puerto Eth 1/1 para no permitir más de una dirección MAC como máximo. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Después de configurar la seguridad del puerto, podemos ver que solo se aprende una dirección MAC. Se aprende la primera MAC de fotograma recibida. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Verificar

Utilice los siguientes comandos para verificar 
Comando Explicación 
DELLSONiC# show port-security
Mostrar la seguridad de los puertos en todas las interfaces 
DELLSONiC# show port-security interface Eth <slot/port>
Mostrar la seguridad del puerto en una interfaz específica 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Obtenga detalles de la dirección MAC que se violó de los registros.
Ejemplo de salida (muestra Port Security Violation) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Mensaje de registro (fecha/hora y dirección MAC enmascaradas) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.