Dell Networking SONiC – Konfigurieren der Portsicherheit

Summary: So konfigurieren Sie die Portsicherheit in Dell Networking SONiC. Dieser Artikel wurde in Dell Networking SONiC 4.2 Edge Standard getestet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Voraussetzungen
Wir verwenden die Standardbenennung von Schnittstellen, um die Konzepte zu demonstrieren. Weitere Informationen finden Sie im Artikel Dell Networking S-Serie: Grundlegende Schnittstellenkonfiguration – SONiC 4.0 für weitere Informationen zur Schnittstellenbenennung.

Index

Was ist Portsicherheit
?Festlegen der maximalen Anzahl von MAC-Adressen, die in einem Port
zulässig sindVerletzung der
PortsicherheitStandardwerte
Konfigurationssyntax
Beispielkonfiguration
Überprüfen     

Was ist Portsicherheit?

 Die Portsicherheit schützt einen Port, indem die Anzahl der MAC-Lernvorgänge auf einem nutzerdefinierten Port begrenzt wird. 
  • Portsicherheit wird im VLAN nicht unterstützt
  • Portsicherheit wird im Ethernetport und PortChannel unterstützt, der als Switchport konfiguriert ist.
  • Portsicherheit wird in Nicht-Switchports nicht unterstützt.  

Festlegen der maximalen Anzahl von MAC-Adressen, die in einem Port zulässig sind

 Mit der MAC-Lernfunktion können Sie die maximale Anzahl von MAC-Adressen festlegen, die auf einer Schnittstelle zulässig sind. Die Begrenzung der MAC-Adressen bietet Sicherheit vor MAC-Überflutung. Wenn der maximal zulässige MAC-Schwellenwert überschritten wird, erzeugt das System eine syslog-Warnmeldung und es tritt ein Verstoß gegen die Portsicherheit auf.

HINWEIS:Sie können das MAC-Lernlimit deaktivieren, um die standardmäßige Anzahl zulässiger MAC-Adressen pro Port wiederherzustellen. 

Verletzung der Portsicherheit

 Ein Portsicherheitsverstoß liegt vor, wenn ein Port mehr MAC-Adressen als das konfigurierte Limit erfährt. Sie können die Aktion konfigurieren, die während eines Verstoßes ausgeführt werden soll.
In Dell SONiC ist die Maßnahme, die ergriffen werden kann, wenn ein Verstoß auftritt, " protect". Wenn der Schutzmodus aktiviert ist, wird das MAC-Lernen auf dem Port deaktiviert, wenn die Anzahl der MAC-Adressen auf der Schnittstelle den konfigurierten Grenzwert erreicht. Alle Pakete mit unbekannten Quelladressen auf dem Port werden zu diesem Zeitpunkt verworfen.
Welche Maßnahmen können ergriffen werden, wenn die Portsicherheit verletzt wird?
Sie können eine der folgenden Maßnahmen
>ergreifen: Nachdem Sie die Geräte gefunden und entfernt haben, die eine übermäßige MAC-Adresse verursachen, können wir die MAC-Adresstabelle in der Schnittstelle löschen, um den Verstoßstatus zu löschen.
Befehlssyntax 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Erhöht die zulässige MAC-Adressgrenze bei Bedarf
Befehlssyntax 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Disable Port Security, falls nötig
Befehlssyntax 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Wie kann ich die Mac-Adresse finden, die von der Portsicherheit blockiert wird?
Wir können die Details der Mac-Adresse, die von der Portsicherheit blockiert wurde, in den Protokollnachrichten finden. Siehe unten (Datum/Uhrzeit und MAC-Adresse maskiert)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Standardwerte

Portsicherheit an einem Port Deaktiviert
Maximale Anzahl von MAC-Adressen pro Port 1
Verstoßmodus Schützen

Konfigurationssyntax

Befehl Erklärung 
admin@DELLSONiC:~$ sonic-cli
Aufrufen der Dell Management-Befehlszeilenschnittstelle 
DELLSONiC# configure terminal
In den Konfigurationsmodus wechseln 
DELLSONiC(config)# interface <Eth slot/port>
Schnittstelle konfigurieren 
DELLSONiC(config)# interface range Eth <slot/port>
(Optional) Sie können eine Reihe von Schnittstellen konfigurieren. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Legen Sie Maßnahmen fest, die im Falle eines Verstoßes ergriffen werden sollen.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Legen Sie die maximale Anzahl sicherer MACs fest, die auf dieser Schnittstelle
zulässig sind (1-4097).
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Ermöglicht Portsicherheit auf Schnittstellenebene 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Deaktivieren der Portsicherheit auf Schnittstellenebene

Beispielkonfiguration

Stellen Sie sich vor, wir haben zwei mac-Adresslernvorgänge im Port Eth 1/1.
Vor der Konfiguration der Portsicherheit auf Port Eth 1/1 (MAC-Adresse maskiert) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Konfigurieren Sie Port Eth 1/1 so, dass nicht mehr als maximal eine MAC-Adresse zulässig ist. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Nach dem Konfigurieren der Portsicherheit sehen wir, dass nur eine MAC-Adresse gelernt wurde. Die erste empfangene Frame-MAC wird erlernt. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Prüfen

Verwenden Sie die folgenden Befehle, um dies zu überprüfen 
Befehl Erklärung 
DELLSONiC# show port-security
Anzeigen der Portsicherheit in allen Schnittstellen 
DELLSONiC# show port-security interface Eth <slot/port>
Anzeigen der Portsicherheit in einer bestimmten Schnittstelle 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Rufen Sie Details zur MAC-Adresse des Verstoßes aus den Protokollen ab.
Beispielausgabe (zeigt Portsicherheitsverletzung) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Protokollnachricht (Datum/Uhrzeit und MAC-Adresse maskiert) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.