Dell Networking SONiC Jak nakonfigurovat zabezpečení portů

Summary: Jak nakonfigurovat zabezpečení portů v řešení Dell Networking SONiC. Tento článek je testován v softwaru Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Požadavky
K předvedení konceptů používáme standardní pojmenování rozhraní. Viz článek Dell Networking řady S: Základní konfigurace rozhraní – SONiC 4.0, kde najdete další informace o pojmenování rozhraní.

Index

Co je zabezpečení
portůNastavení maximálního povoleného počtu adres MAC v portu
Narušení
zabezpečení portůVýchozí
Syntaxe
konfiguraceUkázková konfigurace
Ověřit     

Co je zabezpečení portů

 Zabezpečení portů chrání port omezením počtu učení MAC na uživatelem definovaném portu. 
  • Zabezpečení portů není v síti vlan podporováno.
  • Zabezpečení portů je podporováno v ethernetovém portu a PortChannel, který je nakonfigurován jako switchport.
  • Zabezpečení portů není podporováno v jiných portech než switchPorts.  

Nastavení maximálního povoleného počtu adres MAC v portu

 Pomocí funkce učení MAC můžete nastavit maximální limit počtu adres MAC, které lze povolit v rozhraní. Omezení adres MAC zajišťuje zabezpečení před zahlcením adres MAC. Při překročení maximálního povoleného prahu MAC systém vygeneruje varovné oznámení syslog a dojde k narušení zabezpečení portu.

POZNÁMKA:Chcete-li obnovit výchozí počet povolených adres MAC na port, můžete limit učení MAC zakázat. 

Narušení zabezpečení portů

 K narušení zabezpečení portů dochází, když se port dozví více adres MAC, než je nakonfigurovaný limit. Můžete nakonfigurovat akci, která by měla být provedena během porušení.
V aplikaci Dell SONiC je ochrana, kterou lze provést, když dojde k narušení. Když je aktivován režim ochrany, zakáže učení MAC na portu, když počet MAC adres na rozhraní dosáhne nakonfigurovaného limitu. Všechny pakety s neznámými zdrojovými adresami na portu jsou v této fázi zahozeny.
Jaké kroky lze podniknout, pokud dojde k narušení zabezpečení portu?
Můžete provést kteroukoli z níže uvedených akcí
-> Po nalezení a odstranění zařízení způsobujících nadměrnou adresu mac můžeme vymazat tabulku adres mac v rozhraní, abychom vymazali stav porušení.
Syntaxe příkazu 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->V případě potřeby
zvyšte povolený limit mac adres Syntaxe příkazu 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->V případě potřeby
zakažte zabezpečení portůSyntaxe příkazu 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Jak zjistím mac adresu blokovanou zabezpečením portů?
Podrobnosti o mac adrese, která byla blokována zabezpečením portů, najdeme ve zprávách protokolu. Viz níže uvedený příklad (maskované datum/čas a mac adresa)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Výchozí

Zabezpečení portů v přístavu Disabled
Maximální počet MAC adres na port 1
Režim porušení Chránit

Syntaxe konfigurace

Příkaz Vysvětlení 
admin@DELLSONiC:~$ sonic-cli
Přejděte do rozhraní příkazového řádku Dell Management. 
DELLSONiC# configure terminal
Přechod do konfiguračního režimu 
DELLSONiC(config)# interface <Eth slot/port>
Konfigurace rozhraní 
DELLSONiC(config)# interface range Eth <slot/port>
(Volitelné) Můžete konfigurovat celou řadu rozhraní. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Nastavení opatření, která mají být přijata v případě porušení.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Nastavit maximální počet zabezpečených certifikátů MAC povolených v tomto rozhraní
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Povolí zabezpečení portů na úrovni rozhraní. 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Zakázat zabezpečení portů na úrovni rozhraní

Ukázková konfigurace

Předpokládejme, že máme dva učení mac adres v portu Eth 1/1.
Před konfigurací zabezpečení portu na portu Eth 1/1 (maskovaná adresa MAC) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Nakonfigurujeme port Eth 1/1 tak, aby neumožňoval více než maximálně jednu mac adresu. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Po konfiguraci zabezpečení portů vidíme, že je naučena pouze jedna adresa MAC. První přijatý rámec MAC je naučen. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Ověření

K ověření použijte následující příkazy 
Příkaz Vysvětlení 
DELLSONiC# show port-security
Zobrazit zabezpečení portů ve všech rozhraních 
DELLSONiC# show port-security interface Eth <slot/port>
Zobrazení zabezpečení portů v konkrétním rozhraní 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Získejte podrobnosti o adrese MAC, která byla porušena z protokolů.
Ukázkový výstup (ukazuje narušení zabezpečení portů) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Zpráva protokolu (maskované datum a čas a adresa MAC) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.