Dell Networking SONiC 포트 보안을 구성하는 방법

Summary: Dell Networking SONiC에서 포트 보안을 구성하는 방법 이 문서는 Dell Networking SONiC 4.2 Edge Standard에서 테스트되었습니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

필수 구성 요소
개념을 설명하기 위해 표준 인터페이스 이름 지정을 사용하고 있습니다. 다음 문서를 참조하십시오. Dell Networking S-Series: 기본 인터페이스 구성 - SONiC 4.0을 참조하십시오.

인덱스

포트 보안
이란?포트
에서 허용되는 최대 MAC 주소 수 설정포트 보안 위반
기본값
구성 구문
샘플 구성
확인     

포트 보안이란?

 포트 보안은 사용자 지정 포트에서 MAC 학습 수를 제한하여 포트를 보호합니다. 
  • VLAN에서는 포트 보안이 지원되지 않습니다.
  • 포트 보안은 스위치 포트로 구성된 PortChannel 및 이더넷 포트에서 지원됩니다.
  • 포트 보안은 비 스위치 포트에서 지원되지 않습니다.  

포트에서 허용되는 최대 MAC 주소 수 설정

 MAC 학습 기능을 사용하여 인터페이스에서 허용할 수 있는 MAC 주소 수에 대한 최대 제한을 설정할 수 있습니다. MAC 주소를 제한하면 MAC 플러딩으로부터 보안을 유지할 수 있습니다. 허용되는 최대 MAC 임계값을 초과하면 시스템에서 경고 syslog 알림을 생성하고 포트 보안 위반이 발생합니다.

참고:MAC 학습 제한을 비활성화하여 포트당 허용되는 MAC 주소의 기본 수를 복원할 수 있습니다. 

포트 보안 위반

 포트 보안 위반은 포트가 구성된 제한보다 더 많은 MAC 주소를 학습할 때 발생합니다. 위반 중에 수행해야 하는 작업을 구성할 수 있습니다.
Dell SONiC에서 위반이 발생했을 때 취할 수 있는 조치는 보호입니다. 보호 모드가 활성화되면 인터페이스의 MAC 주소 수가 구성된 제한에 도달하면 포트에서 MAC 학습이 비활성화됩니다. 포트에 알 수 없는 소스 주소가 있는 모든 패킷은 이 단계에서 삭제됩니다.
포트 보안 위반이 발생하면 어떤 조치를 취할 수 있습니까?
아래 조치
중 하나를 취할 수 있습니다 -->과도한 MAC 주소를 유발하는 장치를 찾아 제거한 후 인터페이스에서 MAC 주소 테이블을 지워 위반 상태를 지울 수 있습니다.
명령 구문 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->필요한
경우 허용되는 mac 주소 제한을 늘립니다. 명령 구문 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->필요한
경우 포트 보안 비활성화명령 구문 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

포트 보안에 의해 차단된 MAC 주소를 어떻게 찾을 수 있습니까?
로그 메시지에서 포트 보안에 의해 차단된 mac 주소의 세부 정보를 찾을 수 있습니다. 아래 eaxmple(날짜/시간 및 MAC 주소 마스킹됨) 참조
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

기본값

포트의 포트 보안 Disabled
포트당 최대 MAC 주소 개수 1
위반 모드 보호

구성 구문

명령 설명 
admin@DELLSONiC:~$ sonic-cli
Dell 관리 명령줄 인터페이스 시작 
DELLSONiC# configure terminal
구성 모드 진입 
DELLSONiC(config)# interface <Eth slot/port>
인터페이스 구성 
DELLSONiC(config)# interface range Eth <slot/port>
(선택 사항) 인터페이스 범위를 구성할 수 있습니다. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
위반 시 취할 조치를 설정합니다.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
이 인터페이스
에서 허용되는 최대 보안 MAC 수를 설정합니다(1-4097).
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 인터페이스 레벨에서 포트 보안 활성화 
DELLSONiC(config-if-EthX/X)# no port-security enable
 인터페이스 수준에서 포트 보안 비활성화

샘플 구성

포트 Eth 1/1에 두 개의 MAC 주소 학습이 있다고 가정합니다.
포트 이더넷 1/1에서 포트 보안을 구성하기 전(mac 주소 마스킹됨) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
최대 하나의 mac 주소를 허용하지 않도록 포트 Eth 1/1을 구성할 수 있습니다. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
포트 보안을 구성한 후 하나의 mac 주소만 학습된 것을 볼 수 있습니다. 첫 번째 수신된 프레임 MAC이 학습됩니다. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

확인

다음 명령을 사용하여 다음을 확인합니다. 
명령 설명 
DELLSONiC# show port-security
모든 인터페이스에서 포트 보안 표시 
DELLSONiC# show port-security interface Eth <slot/port>
특정 인터페이스에서 포트 보안 표시 
DELLSONiC# show logging | grep "Port Mac Security violation"
 로그에서 위반한 mac 주소의 세부 정보를 가져옵니다.
샘플 출력(포트 보안 위반 표시) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
로그 메시지(날짜/시간 및 MAC 주소 마스킹됨) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.