Dell Networking SONiC: como configurar a segurança de porta

Summary: Como configurar a segurança de porta no Dell Networking SONiC. Este artigo foi testado no Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Pré-requisitos
Estamos usando a nomenclatura de interface padrão para demonstrar os conceitos. Consulte o artigo Dell Networking série S: Configuração básica da interface — SONiC 4.0 para obter mais informações sobre nomenclatura de interface.

Índice

O que é segurança de
portaDefinir o número máximo de endereços MAC permitidos em uma porta
Violação
de segurança da portaPadrões
Sintaxe de
configuraçãoExemplo de configuração
Verificar     

O que é segurança de porta

 A segurança da porta protege uma porta limitando o número de erros de MAC aprendidos em uma porta especificada pelo usuário. 
  • A segurança da porta não é compatível com a VLAN
  • A segurança da porta é compatível com a porta Ethernet e o PortChannel configurado como switchport.
  • A segurança da porta não é compatível com portas que não sejam do switch.  

Definir o número máximo de endereços MAC permitidos em uma porta

 Usando o recurso de aprendizado MAC, você pode definir o limite máximo no número de endereços MAC que podem ser permitidos em uma interface. Limitar os endereços MAC fornece segurança contra inundação MAC. Quando o limite máximo permitido de MAC é excedido, o sistema gera uma notificação syslog de advertência e ocorre uma violação de segurança da porta.

NOTA:Você pode desativar o limite de aprendizagem de MAC para restaurar o número padrão de endereços MAC permitidos por porta. 

Violação de segurança da porta

 Uma violação de segurança de porta acontece quando uma porta descobre mais endereços MAC do que o limite configurado. Você pode configurar a ação que deve ser tomada durante uma violação.
No Dell SONiC, a ação que pode ser tomada quando ocorre uma violação é proteger. Quando o modo de proteção está ativado, ele desabilita o aprendizado de MAC na porta quando o número de endereços MAC na interface atinge o limite configurado. Todos os pacotes com endereços de origem desconhecidos na porta são descartados nessa fase.
Que medidas podem ser tomadas em caso de violação da segurança do porto?
Você pode executar qualquer uma das ações
abaixo -->Depois de encontrar e remover os dispositivos que causam o excesso de endereço mac, podemos limpar a tabela de endereço mac na interface para limpar o estado de violação.
Sintaxe do comando 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Aumente o limite de endereço mac permitido, se necessário
Sintaxe do comando 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Desative a segurança da porta, se necessário
Sintaxe do comando 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Como posso encontrar o endereço mac bloqueado pela segurança da porta?
Podemos encontrar os detalhes do endereço mac, que foi bloqueado pela segurança da porta de mensagens de log. Consulte abaixo eaxmple (data/hora e endereço mac mascarados)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Padrões

Segurança da porta em uma porta Disabled
Número máximo de endereços MAC por porta 1
Modo de violação Proteger

Sintaxe de configuração

Comando Explicação 
admin@DELLSONiC:~$ sonic-cli
Entrar na interface de linha de comando de gerenciamento da Dell 
DELLSONiC# configure terminal
Entrar no modo de configuração 
DELLSONiC(config)# interface <Eth slot/port>
Configurar interface 
DELLSONiC(config)# interface range Eth <slot/port>
(Opcional) Você pode configurar um intervalo de interface. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Definir as medidas a serem tomadas em caso de violação.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Defina o número máximo permitido de MACs seguros nesta interface
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Permite a segurança da porta no nível da interface 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Desativar a segurança da porta no nível da interface

Exemplo de configuração

Considere que temos dois endereços mac aprendendo na porta Eth 1/1.
Antes de configurar a segurança da porta na porta Eth 1/1 (endereço MAC mascarado) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Permite configurar a porta Eth 1/1 para não permitir mais de um endereço mac. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Depois de configurar a segurança da porta, podemos ver que apenas um endereço mac é aprendido. O primeiro MAC de quadro recebido é aprendido. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Verificação

Use os seguintes comandos para verificar 
Comando Explicação 
DELLSONiC# show port-security
Mostrar segurança de porta em todas as interfaces 
DELLSONiC# show port-security interface Eth <slot/port>
Mostrar a segurança da porta em uma interface específica 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Obtenha detalhes do endereço mac que violou os registros.
Exemplo de resultado (mostra violação de segurança da porta) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Mensagem de registro (data/hora e endereço MAC mascarados) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.