Dell Networking SONiCポート セキュリティの設定方法

Summary: Dell Networking SONiCでポート セキュリティを設定する方法。この記事は、Dell Networking SONiC 4.2 Edge Standardでテストされています。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

前提 条件
概念を示すために、標準的なインターフェイスの命名を使用しています。詳細については、記事「Dell Networking Sシリーズ: インターフェイスの命名に関する詳細については、「基本的なインターフェイス設定 - SONiC 4.0」を参照してください。

索引

ポート セキュリティ
とはポート
で許可されるMACアドレスの最大数を設定しますポート セキュリティ違反
デフォルト
構成構文
構成
確認     

ポート セキュリティとは

 ポート セキュリティは、ユーザ指定のポートでの MAC 学習の数を制限することで、ポートを保護します。 
  • ポート セキュリティはVLANではサポートされていません
  • ポート セキュリティは、Ethernetポートと、スイッチポートとして構成されているPortChannelでサポートされています。
  • ポート セキュリティは、非スイッチポートではサポートされていません。  

ポートで許可されるMACアドレスの最大数を設定します

 MAC 学習機能を使用して、インターフェイスで許可できる MAC アドレスの最大数を設定できます。MACアドレスを制限すると、MACフラッディングからのセキュリティが提供されます。最大許容 MAC しきい値を超えると、システムは警告 syslog 通知を生成し、ポート セキュリティ違反が発生します。

メモ:MAC 学習制限を無効にして、ポートごとに許可される MAC アドレスのデフォルト数に戻すことができます。 

ポート セキュリティ違反

 ポート セキュリティ違反は、ポートが設定された制限よりも多くの MAC アドレスを学習した場合に発生します。違反発生時に実行するアクションを設定できます。
Dell SONiCでは、違反が発生した場合に実行できるアクションは 保護です。保護モードを有効にすると、インターフェイス上の MAC アドレスの数が設定された制限に達すると、ポートでの MAC 学習が無効になります。ポート上の送信元アドレスが不明なパケットはすべて、この段階でドロップされます。
ポート セキュリティ違反が発生した場合、どのようなアクションを実行できますか?
次のアクション
のいずれかを実行できます-->過剰なMACアドレスの原因となっているデバイスを見つけて削除した後、インターフェイスのMACアドレステーブルをクリアして違反状態をクリアできます。
コマンド構文 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->必要に応じて許可されるMACアドレスの制限
を増やしますコマンド構文 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->必要に応じてポート セキュリティ
を無効にするコマンド構文 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

ポートセキュリティによってブロックされたMACアドレスを見つけるにはどうすればよいですか?
ポート セキュリティによってブロックされたMACアドレスの詳細は、ログ メッセージから確認できます。次のeaxmpleを参照してください(日付/時刻とMACアドレスはマスクされます)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

デフォルト

ポートのポート セキュリティ 無効
ポートあたりの MAC アドレスの最大数 1
違反モード 保護

構成構文

コマンド 説明 
admin@DELLSONiC:~$ sonic-cli
Dell Managementコマンド ライン インターフェイスの起動 
DELLSONiC# configure terminal
設定モードを起動します 
DELLSONiC(config)# interface <Eth slot/port>
インターフェイスの構成 
DELLSONiC(config)# interface range Eth <slot/port>
(オプション)インターフェイスの範囲を設定できます。 
DELLSONiC(config-if-EthX/X)# port-security violation protect
違反した場合の対応を設定します。
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
このインターフェイス
で許可されるセキュアMACの最大数を設定します(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 インターフェイス レベルでポート セキュリティを有効にします 
DELLSONiC(config-if-EthX/X)# no port-security enable
 インターフェイス レベルでのポート セキュリティの無効化

サンプル設定

ポート Eth 1/1 に 2 つの MAC アドレス ラーニングがあるとします。
ポートEth 1/1(MACアドレスマスク)にポート セキュリティを設定する前に 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
ポートEth 1/1を構成して、最大1つ以上のMACアドレスを許可しないようにしましょう。 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
ポート セキュリティを設定した後、1つのMACアドレスのみが学習されていることがわかります。最初に受信したフレームのMACが学習されます。 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

検証

次のコマンドを使用して、次のコマンドを確認します。 
コマンド 説明 
DELLSONiC# show port-security
すべてのインターフェイスでポート セキュリティを表示 
DELLSONiC# show port-security interface Eth <slot/port>
特定のインターフェイスでのポート セキュリティの表示 
DELLSONiC# show logging | grep "Port Mac Security violation"
 違反したMACアドレスの詳細をログから取得します。
出力例(ポート セキュリティ違反を表示) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
ログ メッセージ(日付/時刻とMACアドレスのマスク) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.