Dell Networking SONiC: come configurare la sicurezza delle porte

Summary: Come configurare la sicurezza delle porte in Dell Networking SONiC. Questo articolo è testato in Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prerequisiti
Utilizzeremo la denominazione dell'interfaccia standard per dimostrare i concetti. Consultare l'articolo Dell Networking serie S: Configurazione dell'interfaccia di base - SONiC 4.0 per ulteriori informazioni sulla denominazione dell'interfaccia.

Indice

Che cos'è la sicurezza
delle porteImpostazione del numero massimo di indirizzi MAC consentiti in una porta
Violazione
della sicurezza delle porteImpostazioni predefinite
Sintassi
di configurazioneConfigurazione
di esempioVerificare     

Che cos'è la sicurezza delle porte

 La sicurezza delle porte protegge una porta limitando il numero di apprese MAC su una porta specificata dall'utente. 
  • La sicurezza delle porte non è supportata nella VLAN
  • La sicurezza delle porte è supportata nella porta Ethernet e PortChannel configurata come switchport.
  • La sicurezza delle porte non è supportata nei non-switchport.  

Impostazione del numero massimo di indirizzi MAC consentiti in una porta

 Utilizzando la funzione di apprendimento MAC, è possibile impostare il limite massimo per il numero di indirizzi MAC che possono essere consentiti su un'interfaccia. La limitazione degli indirizzi MAC garantisce la sicurezza dal flooding MAC. Quando viene superata la soglia MAC massima consentita, il sistema genera una notifica syslog di avvertenza e si verifica una violazione della sicurezza della porta.

NOTA:È possibile disabilitare il limite di apprendimento MAC per ripristinare il numero predefinito di indirizzi MAC consentiti per porta. 

Violazione della sicurezza delle porte

 Una violazione della sicurezza delle porte si verifica quando una porta apprende più indirizzi MAC rispetto al limite configurato. È possibile configurare l'azione da intraprendere durante una violazione.
In Dell SONiC, l'azione che può essere intrapresa quando si verifica una violazione è proteggere. Quando la modalità di protezione è attivata, disabilita l'apprendimento MAC sulla porta quando il numero di indirizzi MAC sull'interfaccia raggiunge il limite configurato. Tutti i pacchetti con indirizzi di origine sconosciuti sulla porta vengono scartati in questa fase.
Quali azioni possono essere intraprese in caso di violazione della sicurezza delle porte?
È possibile intraprendere una delle seguenti azioni
:> dopo aver trovato e rimosso i dispositivi che causano un eccesso di indirizzo MAC, è possibile cancellare la tabella dell'indirizzo MAC nell'interfaccia per cancellare lo stato di violazione.
Sintassi dei comandi 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Aumentare il limite di indirizzi MAC consentiti, se necessario
Sintassi dei comandi 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Disabilita la sicurezza della porta se necessario
Sintassi del comando 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Come posso trovare l'indirizzo MAC bloccato da Port security?
Possiamo trovare i dettagli dell'indirizzo MAC, che è stato bloccato dalla sicurezza della porta dai messaggi di registro. Fare riferimento al seguente messaggio (data/ora e indirizzo MAC mascherati)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Impostazioni predefinite

Sicurezza delle porte su una porta Disabled
Numero massimo di indirizzi MAC per porta 1
Modalità di violazione Proteggere

Sintassi di configurazione

Comando Spiegazione 
admin@DELLSONiC:~$ sonic-cli
Accedere all'interfaccia della riga di comando di Dell Management 
DELLSONiC# configure terminal
Accedere alla modalità di configurazione 
DELLSONiC(config)# interface <Eth slot/port>
Configura interfaccia 
DELLSONiC(config)# interface range Eth <slot/port>
(Facoltativo) È possibile configurare una gamma di interfacce. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Imposta le azioni da intraprendere in caso di violazione.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Impostare il numero massimo di MAC protetti consentiti su questa interfaccia
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Abilita la sicurezza delle porte a livello di interfaccia 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Disabilitazione della sicurezza delle porte a livello di interfaccia

Configurazione di esempio

Si consideri di avere due indirizzi MAC nella porta Eth 1/1.
Prima di configurare la sicurezza della porta sulla porta Eth 1/1 (indirizzo MAC mascherato) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Consente di configurare la porta Eth 1/1 in modo da non consentire più di un indirizzo MAC. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Dopo aver configurato la sicurezza delle porte, possiamo vedere che viene appreso un solo indirizzo MAC. Viene appreso il MAC del primo frame ricevuto. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Verifica

Utilizzare i seguenti comandi per verificare 
Comando Spiegazione 
DELLSONiC# show port-security
Visualizzazione della sicurezza delle porte in tutte le interfacce 
DELLSONiC# show port-security interface Eth <slot/port>
Mostrare la sicurezza delle porte in una particolare interfaccia 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Ottenere i dettagli dell'indirizzo MAC violato dai registri.
Output di esempio (mostra la violazione della sicurezza delle porte) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Messaggio di registro (data/ora e indirizzo MAC mascherati) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.