Dell Networking SONiC Як налаштувати безпеку портів

Summary: Як налаштувати безпеку портів у Dell Networking SONiC. Цю статтю перевірено в стандарті Dell Networking SONiC 4.2 Edge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Передумови
Ми використовуємо стандартні імена інтерфейсів для демонстрації концепцій. Дивіться статтю Dell Networking S-Series: Базова конфігурація інтерфейсу - SONiC 4.0 для отримання додаткової інформації про іменування інтерфейсів.

Індекс

Що таке безпека
портівУстановлення максимальної кількості MAC-адрес, дозволених у порту
Порушення
безпеки портуЗа замовчуванням
Синтаксис
конфігураціїПриклад конфігурації
Перевірити     

Що таке безпека портів

 Безпека портів захищає порт, обмежуючи кількість MAC-записів на вказаному користувачем порту. 
  • Безпека портів не підтримується у vlan
  • Безпека портів підтримується в портах Ethernet і PortChannel, які налаштовані як switchport.
  • Безпека портів не підтримується в портах, які не є комутаторами.  

Установлення максимальної кількості MAC-адрес, дозволених у порту

 За допомогою функції навчання MAC можна встановити максимальне обмеження на кількість MAC-адрес, які можуть бути дозволені в інтерфейсі. Обмеження MAC-адрес забезпечує захист від MAC-флуду. При перевищенні максимально допустимого порогу MAC система генерує попередження системного журналу, і відбувається порушення безпеки порту.

ПРИМІТКА:Ви можете вимкнути обмеження на навчання MAC, щоб відновити кількість дозволених MAC-адрес за замовчуванням на порт. 

Порушення безпеки порту

 Порушення безпеки порту відбувається, коли порт запам'ятовує більше MAC-адрес, ніж налаштований ліміт. Ви можете налаштувати дію, яку слід виконати під час порушення.
У Dell SONiC дія, яка може бути вжита, коли сталося порушення, - це захист. Коли активовано режим захисту, він вимикає навчання MAC на порту, коли кількість MAC-адрес в інтерфейсі досягає налаштованого ліміту. На цьому етапі скидаються всі пакети з невідомими адресами джерел на порту.
Які заходи можуть бути вжиті у разі порушення безпеки порту?
Ви можете виконати будь-яку з наведених нижче дій
--Знайшовши та видаливши пристрої, що спричиняють надлишок mac-адреси, ми можемо очистити таблицю mac-адрес> в інтерфейсі, щоб очистити стан порушення.
Синтаксис команди 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Збільшити дозволений ліміт mac-адреси, якщо це потрібно
Синтаксис команди 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Вимкнути захист портів, якщо потрібно
Синтаксис команди 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Як я можу знайти mac-адресу, заблоковану безпекою портів?
Ми можемо знайти детальну інформацію про mac-адресу, яка була заблокована безпекою порту, з Log Messages. Зверніться до наведеного нижче eaxmple (дата/час і mac-адреса замасковані)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

За замовчуванням

Безпека порту на порту Вимкнуто
Максимальна кількість MAC-адрес на порт 1
Режим порушення Захистити

Синтаксис конфігурації

Команда Пояснення 
admin@DELLSONiC:~$ sonic-cli
Увійдіть в інтерфейс командного рядка Dell Management 
DELLSONiC# configure terminal
Увійдіть у режим конфігурації 
DELLSONiC(config)# interface <Eth slot/port>
Налаштування інтерфейсу 
DELLSONiC(config)# interface range Eth <slot/port>
(Необов'язково.) Ви можете налаштувати діапазон інтерфейсів. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Визначте дії, які потрібно вжити у разі порушення.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Встановити максимальну кількість захищених MAC-карт, дозволених у цьому інтерфейсі
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Забезпечує безпеку портів на рівні інтерфейсу 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Вимкніть захист портів на рівні інтерфейсу

Приклад конфігурації

Припустимо, що у нас є два mac-адреси для навчання в порту Eth 1/1.
Перед налаштуванням безпеки порту на порту Eth 1/1 (mac-адреса замаскована) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Дозволяє налаштувати порт Eth 1/1 так, щоб він не дозволяв більше однієї mac-адреси. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Після налаштування безпеки порту ми бачимо, що вивчається лише одна mac-адреса. Перший отриманий кадр MAC вивчається. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Перевірити

Для перевірки використовуйте наведені нижче команди 
Команда Пояснення 
DELLSONiC# show port-security
Показувати безпеку портів у всіх інтерфейсах 
DELLSONiC# show port-security interface Eth <slot/port>
Показувати безпеку портів у певному інтерфейсі 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Отримайте детальну інформацію про mac-адресу, яка була порушена, з журналів.
Приклад виводу (показує порушення безпеки порту) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Повідомлення журналу (дата/час і mac-адреса замасковані) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.