Dell Networking SONiC : configuration de la sécurité des ports

Summary: Comment configurer la sécurité des ports dans Dell Networking SONiC. Cet article est testé dans Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Conditions préalables
Nous utilisons une dénomination d’interface standard pour démontrer les concepts. Voir l’article Dell Networking série S : Configuration de l’interface de base - SONiC 4.0 pour plus d’informations sur la dénomination des interfaces.

Index

Qu’est-ce que la sécurité des
ports ?Définir le nombre maximal d’adresses MAC autorisées dans un port
Violation
de la sécurité des portsPar défaut
Syntaxe
de configurationExemple de configuration
Vérifier     

Qu’est-ce que la sécurité des ports ?

 La sécurité des ports protège un port en limitant le nombre d’apprentissages MAC sur un port spécifié par l’utilisateur. 
  • La sécurité des ports n’est pas prise en charge dans le VLAN
  • La sécurité des ports est prise en charge dans le port Ethernet et le PortChannel qui est configuré en tant que port de commutation.
  • La sécurité des ports n’est pas prise en charge dans les ports autres que les ports de commutation.  

Définir le nombre maximal d’adresses MAC autorisées dans un port

 À l’aide de la fonctionnalité d’apprentissage MAC, vous pouvez définir la limite maximale du nombre d’adresses MAC autorisées sur une interface. La limitation des adresses MAC assure la sécurité contre l’inondation MAC. Lorsque le seuil MAC maximal autorisé est dépassé, le système génère une notification syslog d’avertissement et une violation de sécurité du port se produit.

NOTE:Vous pouvez désactiver la limite d’apprentissage MAC pour restaurer le nombre par défaut d’adresses MAC autorisées par port. 

Violation de la sécurité des ports

 Une violation de sécurité de port se produit lorsqu’un port apprend plus d’adresses MAC que la limite configurée. Vous pouvez configurer l’action qui doit être effectuée lors d’une violation.
Dans Dell SONiC, l’action qui peut être prise en cas de violation est la protection. Lorsque le mode de protection est activé, il désactive l’apprentissage MAC sur le port lorsque le nombre d’adresses MAC sur l’interface atteint la limite configurée. Tous les paquets dont l’adresse source est inconnue sur le port sont abandonnés à ce stade.
Quelles mesures peuvent être prises en cas de violation de la sécurité portuaire ?
Vous pouvez prendre l’une des actions
ci-dessous -->Après avoir trouvé et supprimé les périphériques à l’origine de l’excès d’adresse mac, nous pouvons effacer la table d’adresses mac dans l’interface pour effacer l’état de violation.
Syntaxe de la commande 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Augmenter la limite d’adresse MAC autorisée si nécessaire
Syntaxe de commande 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Disable Port Security if needed
Syntax de commande 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Comment puis-je trouver l’adresse mac bloquée par la sécurité du port ?
Nous pouvons trouver les détails de l’adresse mac, qui a été bloquée par la sécurité du port à partir des messages de journal. Reportez-vous à l’eaxmple ci-dessous (Date/Heure et adresse mac masquées)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Par défaut

Sécurité des ports sur un port Désactivé
Nombre maximal d’adresses MAC par port 1
Mode violation Protéger

Syntaxe de configuration

Commande Explication 
admin@DELLSONiC:~$ sonic-cli
Accédez à l’interface de ligne de commande de gestion Dell 
DELLSONiC# configure terminal
Passer en mode configuration 
DELLSONiC(config)# interface <Eth slot/port>
Configurer l’interface 
DELLSONiC(config)# interface range Eth <slot/port>
(Facultatif) Vous pouvez configurer une plage d’interfaces. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Définissez les mesures à prendre en cas de violation.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Définir le nombre maximal d’adresses MAC sécurisées autorisées sur cette interface
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Active la sécurité des ports au niveau de l’interface 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Désactiver la sécurité des ports au niveau de l’interface

Exemple de configuration

Considérons que nous avons deux adresses mac apprenant dans le port Eth 1/1.
Avant de configurer la sécurité des ports sur le port Eth 1/1 (adresse MAC masquée) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Configurez le port Eth 1/1 pour qu’il n’autorise pas plus d’une adresse MAC. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Après avoir configuré la sécurité des ports, nous pouvons voir qu’une seule adresse MAC est apprise. La première trame MAC reçue est apprise. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Vérifier

Utilisez les commandes suivantes pour vérifier 
Commande Explication 
DELLSONiC# show port-security
Afficher la sécurité des ports dans toutes les interfaces 
DELLSONiC# show port-security interface Eth <slot/port>
Afficher la sécurité des ports dans une interface particulière 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Obtenez les détails de l’adresse MAC qui a violé à partir des journaux.
Exemple de sortie (montre une violation de la sécurité des ports) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Message de journal (date/heure et adresse MAC masquées) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.