Dell Networking SONiC: как настроить защиту портов

Summary: Настройка безопасности портов в Dell Networking SONiC. Данная статья протестирована в Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Необходимые условия
Для демонстрации концепций мы используем стандартное именование интерфейса. См. статью Dell Networking серии S. Basic interface Configuration — SONiC 4.0 для получения дополнительной информации об именовании интерфейсов.

Индекс

Что такое безопасность
портовУстановка максимального количества MAC-адресов в порте
Нарушение
безопасности портаПо умолчанию
Синтаксис
конфигурацииПример конфигурации
Проверяем подлинность     

Что такое безопасность портов

 Безопасность порта защищает порт, ограничивая количество операций обучения MAC на указанном пользователем порте. 
  • Безопасность портов не поддерживается в VLAN
  • Защита портов поддерживается для порта Ethernet и канала порта, который настроен как порт коммутатора.
  • Безопасность портов не поддерживается для портов, не являющихся портами коммутатора.  

Установка максимального количества MAC-адресов в порте

 С помощью функции изучения MAC можно установить максимальное количество MAC-адресов, которые могут быть разрешены в интерфейсе. Ограничение MAC-адресов обеспечивает защиту от MAC-лавинной атаки. При превышении максимально допустимого порогового значения MAC-адреса система создает предупреждающее уведомление в системном журнале и происходит нарушение безопасности порта.

ПРИМЕЧАНИЕ:Можно отключить ограничение на обучение MAC-адресов, чтобы восстановить количество разрешенных MAC-адресов по умолчанию для каждого порта. 

Нарушение безопасности порта

 Нарушение безопасности порта возникает, когда порт получает больше MAC-адресов, чем настроено ограничение. Вы можете настроить действие, которое должно быть выполнено во время нарушения.
В Dell SONiC действие, которое можно предпринять в случае нарушения, — это защита. Когда активирован режим защиты, он отключает обучение MAC-адресов на порте, когда количество MAC-адресов на интерфейсе достигает заданного предельного значения. На этом этапе отбрасываются все пакеты с неизвестными адресами источника на порте.
Какие действия можно предпринять при нарушении безопасности порта?
Вы можете предпринять любое из следующих действий
--После обнаружения и удаления устройств, вызывающих избыточный MAC-адрес, мы можем очистить таблицу MAC-адресов> в интерфейсе, чтобы очистить состояние нарушения.
Синтаксис команд 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->При необходимости
увеличьте допустимый лимит MAC-адресов Синтаксис команды 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Отключить безопасность портов при необходимости
Синтаксис команды 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Как найти mac-адрес, заблокированный службой безопасности порта?
Сведения о MAC-адресе, который был заблокирован безопасностью порта, можно найти в сообщениях журнала. См. ниже пример (дата/время и MAC-адрес замаскированы)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

По умолчанию

Безопасность портов на порту Disabled
Максимальное количество MAC-адресов на порт 1.
Режим нарушения Защитить

Синтаксис конфигурации

Команда Пояснение 
admin@DELLSONiC:~$ sonic-cli
Вход в интерфейс командной строки управления Dell 
DELLSONiC# configure terminal
Вход в режим конфигурации 
DELLSONiC(config)# interface <Eth slot/port>
Настройка интерфейса 
DELLSONiC(config)# interface range Eth <slot/port>
(Дополнительный) Можно настроить целый ряд интерфейсов. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Выберите действия, которые необходимо предпринять в случае нарушения.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Установка максимального количества защищенных MAC-адресов, разрешенных на этом интерфейсе
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Включает защиту портов на уровне интерфейса 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Отключение защиты портов на уровне интерфейса

Образец конфигурации

Предположим, что у нас есть два MAC-адреса с обучением в порту Eth 1/1.
Перед настройкой безопасности порта Eth 1/1 (mac-адрес замаскирован) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Настроим порт Eth 1/1 так, чтобы использовать не более одного MAC-адреса. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
После настройки безопасности портов мы видим, что запоминается только один MAC-адрес. Первый полученный кадр MAC изучается. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Проверка

Используйте следующие команды для проверки 
Команда Пояснение 
DELLSONiC# show port-security
Показать безопасность портов во всех интерфейсах 
DELLSONiC# show port-security interface Eth <slot/port>
Показать безопасность порта в определенном интерфейсе 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Получите из журналов сведения о MAC-адресе, с которым произошло нарушение.
Пример выходных данных (отображается нарушение безопасности порта) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Сообщение журнала (дата/время и MAC-адрес замаскированы) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.