Dell Networking SONiC Konfiguracja zabezpieczeń portów

Summary: Konfigurowanie zabezpieczeń portów w systemie Dell Networking SONiC. Ten artykuł został przetestowany w systemie Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Wymagania wstępne
Używamy standardowego nazewnictwa interfejsu, aby zademonstrować koncepcje. Zapoznaj się z artykułem Dell Networking z serii S: Podstawowa konfiguracja interfejsu — SONiC 4.0, aby uzyskać więcej informacji na temat nazewnictwa interfejsów.

Indeks

Co to jest bezpieczeństwo portów
Umożliwia ustawienie maksymalnej liczby adresów MAC dozwolonych w porcie
Naruszenie
ochrony portuUstawienia domyślne
Składnia
konfiguracjiPrzykładowa konfiguracja
Sprawdź     

Co to jest bezpieczeństwo portów

 Zabezpieczenia portów chronią port, ograniczając liczbę zapisów MAC zapisanych na porcie określonym przez użytkownika. 
  • Zabezpieczenia portów nie są obsługiwane w sieci VLAN
  • Zabezpieczenia portów są obsługiwane przez port Ethernet i PortChannel, który jest skonfigurowany jako switchport.
  • Zabezpieczenia portów nie są obsługiwane w portach innych niż switchport.  

Umożliwia ustawienie maksymalnej liczby adresów MAC dozwolonych w porcie

 Korzystając z funkcji uczenia się adresów MAC, możesz ustawić maksymalny limit liczby adresów MAC, które mogą być dozwolone w interfejsie. Ograniczenie adresów MAC zapewnia ochronę przed zalaniem adresów MAC. Po przekroczeniu maksymalnego dozwolonego progu adresów MAC system generuje ostrzeżenie w dzienniku systemowym i następuje naruszenie zabezpieczeń portu.

UWAGA:Możesz wyłączyć limit uczenia się adresów MAC, aby przywrócić domyślną liczbę dozwolonych adresów MAC na port. 

Naruszenie ochrony portu

 Naruszenie zabezpieczeń portu ma miejsce, gdy port poznaje więcej adresów MAC niż skonfigurowany limit. Można skonfigurować działania, które powinny zostać podjęte w przypadku naruszenia.
W systemie Dell SONiC działaniem, które można podjąć w przypadku naruszenia zabezpieczeń, jest ochrona. Gdy włączony jest tryb ochrony, funkcje uczenia się adresów MAC na porcie są wyłączane, gdy liczba adresów MAC w interfejsie osiągnie skonfigurowany limit. Wszystkie pakiety z nieznanymi adresami źródłowymi na porcie są odrzucane na tym etapie.
Jakie działania można podjąć w przypadku naruszenia ochrony portu?
Możesz wykonać dowolną z poniższych czynności
-> Po znalezieniu i usunięciu urządzeń powodujących nadmiarowy adres mac, możemy wyczyścić tabelę adresów mac w interfejsie, aby wyczyścić stan naruszenia.
Składnia polecenia 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->W razie potrzeby
zwiększ dozwolony limit adresów mac Składnia polecenia 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Wyłącz zabezpieczenia portów, jeśli jest to potrzebne
Składnia polecenia 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Jak mogę znaleźć adres mac zablokowany przez zabezpieczenia portu?
Szczegóły dotyczące adresu mac, który został zablokowany przez zabezpieczenia portu, możemy znaleźć w komunikatach dziennika. Patrz poniżej eaxmple (data/godzina i adres MAC są maskowane)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Ustawienia domyślne

Bezpieczeństwo portu w porcie Disabled
Maksymalna liczba adresów MAC na port 1
Tryb naruszenia Chronić

Składnia konfiguracji

Polecenie Objaśnienie 
admin@DELLSONiC:~$ sonic-cli
Przejdź do interfejsu wiersza polecenia Dell Management 
DELLSONiC# configure terminal
Przejdź do trybu konfiguracji 
DELLSONiC(config)# interface <Eth slot/port>
Konfiguracja interfejsu 
DELLSONiC(config)# interface range Eth <slot/port>
(Opcjonalnie) Można skonfigurować zakres interfejsów. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Ustal działania, które mają zostać podjęte w przypadku naruszenia.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Ustaw maksymalną liczbę bezpiecznych adresów MAC dozwolonych w tym interfejsie
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Włączenie zabezpieczeń portów na poziomie interfejsu 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Wyłącz zabezpieczenia portów na poziomie interfejsu

Przykładowa konfiguracja

Załóżmy, że mamy dwa adresy mac uczące się w porcie Eth 1/1.
Przed skonfigurowaniem zabezpieczeń portów na Port Eth 1/1 (adres mac zamaskowany) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Skonfigurujmy port Eth 1/1 tak, aby nie zezwalał na więcej niż jeden adres MAC. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Po skonfigurowaniu zabezpieczeń portów widzimy, że poznano tylko jeden adres MAC. Najpierw odebrany adres MAC ramki jest uczony. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Weryfikacja

Użyj następujących poleceń, aby zweryfikować 
Polecenie Objaśnienie 
DELLSONiC# show port-security
Pokaż zabezpieczenia portów we wszystkich interfejsach 
DELLSONiC# show port-security interface Eth <slot/port>
Pokaż zabezpieczenia portu w określonym interfejsie 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Uzyskaj szczegółowe informacje o adresie MAC, który został naruszony, z dzienników.
Przykładowe dane wyjściowe (pokazują naruszenie zabezpieczeń portu) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Komunikat dziennika (zamaskowana data/godzina i adres MAC) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.