Dell Networking SONiC Konfigurera portsäkerhet

Summary: Så här konfigurerar du portsäkerhet i Dell Networking SONiC. Den här artikeln har testats i Dell Networking SONiC 4.2 Edge Standard.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Förutsättningar
Vi använder standardgränssnittsnamn för att demonstrera begreppen. Se artikeln Dell Networking S-serien: Basic Interface Configuration – SONiC 4.0 för mer information om gränssnittsnamngivning.

Index

Vad är portskydd
?Ställa in maximalt antal MAC-adresser som tillåts i en port
Portskyddsöverträdelse
Standardvärden
Konfigurationssyntax
Exempel på konfiguration
Kontrollera     

Vad är portskydd?

 Portsäkerhet skyddar en port genom att begränsa antalet MAC-inlärningar på en användarspecificerad port. 
  • Portsäkerhet stöds inte i vlan
  • Portsäkerhet stöds i Ethernet-porten och PortChannel som är konfigurerad som switchport.
  • Portsäkerhet stöds inte i icke-switchportar.  

Ställa in maximalt antal MAC-adresser som tillåts i en port

 Med hjälp av MAC-inlärningsfunktionen kan du ställa in maxgränsen för antalet MAC-adresser som kan tillåtas i ett gränssnitt. Genom att begränsa MAC-adresserna får du skydd mot MAC-översvämning. När det högsta tillåtna MAC-tröskelvärdet överskrids genererar systemet ett syslog-varningsmeddelande och en portsäkerhetsöverträdelse inträffar.

OBSERVERA:Du kan avaktivera MAC-inlärningsgränsen för att återställa standardantalet tillåtna MAC-adresser per port. 

Portskyddsöverträdelse

 En portsäkerhetsöverträdelse inträffar när en port lär sig fler MAC-adresser än den konfigurerade gränsen. Du kan konfigurera den åtgärd som ska vidtas under en överträdelse.
I Dell SONiC är den åtgärd som kan vidtas när en överträdelse inträffar skydd. När skyddsläget är aktiverat inaktiveras MAC-inlärning på porten när antalet MAC-adresser i gränssnittet når den konfigurerade gränsen. Alla paket med okända källadresser på porten tas bort i det här skedet.
Vilka åtgärder kan vidtas om ett hamnskyddsbrott sker?
Du kan vidta någon av nedanstående åtgärder
--Efter att ha hittat och tagit bort enheterna som orsakar överflödig mac-adress>, kan vi rensa mac-adresstabellen i gränssnittet för att rensa kränkningstillståndet.
Syntax för kommandon 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Öka tillåten mac-adressgräns om det behövs
Kommandosyntax 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Disable Port Security if needed
Kommandosyntax 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Hur kan jag hitta mac-adressen som blockeras av Port Security?
Vi kan hitta information om mac-adressen, som blockerades av portsäkerhet från loggmeddelanden. Se nedan eaxmple (datum / tid och mac-adress maskerad)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Standardvärden

Portskydd i en hamn Disabled (avaktiverad)
Maximalt antal MAC-adresser per port 1
Överträdelseläge Skydda

Konfigurationssyntax

Kommando Förklaring 
admin@DELLSONiC:~$ sonic-cli
Gå in i Dell Management kommandoradsgränssnitt 
DELLSONiC# configure terminal
Gå in i konfigurationsläge 
DELLSONiC(config)# interface <Eth slot/port>
Konfigurera gränssnitt 
DELLSONiC(config)# interface range Eth <slot/port>
(Valfritt) Du kan konfigurera en rad gränssnitt. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Ange åtgärder som ska vidtas i händelse av överträdelse.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Ange maximalt antal säkra MAC-datorer som tillåts i detta gränssnitt
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Möjliggör portsäkerhet på gränssnittsnivå 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Avaktivera portsäkerhet på gränssnittsnivå

Exempelkonfiguration

Tänk på att vi har två mac-adressinlärning i porten Eth 1/1.
Innan du konfigurerar portsäkerhet på Port Eth 1/1 (mac-adress maskerad) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Låt oss konfigurera port Eth 1/1 för att inte tillåta mer än maximalt en mac-adress. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Efter att ha konfigurerat portsäkerhet kan vi se att endast en mac-adress lärs in. Första mottagna ram-MAC lärs in. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Verifiera

Använd följande kommandon för att verifiera 
Kommando Förklaring 
DELLSONiC# show port-security
Visa portsäkerhet i alla gränssnitt 
DELLSONiC# show port-security interface Eth <slot/port>
Visa portsäkerhet i ett visst gränssnitt 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Få information om MAC-adressen som överträdde från loggar.
Exempel på utdata (visar portsäkerhetsöverträdelse) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Loggmeddelande (datum/tid och MAC-adress maskerade) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Affected Products

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Article Properties
Article Number: 000218833
Article Type: How To
Last Modified: 27 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.