Dell Networking SONiCポート セキュリティの設定方法

概要: Dell Networking SONiCでポート セキュリティを設定する方法。この記事は、Dell Networking SONiC 4.2 Edge Standardでテストされています。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

前提 条件
概念を示すために、標準的なインターフェイスの命名を使用しています。詳細については、記事「Dell Networking Sシリーズ: インターフェイスの命名に関する詳細については、「基本的なインターフェイス設定 - SONiC 4.0」を参照してください。

索引

ポート セキュリティ
とはポート
で許可されるMACアドレスの最大数を設定しますポート セキュリティ違反
デフォルト
構成構文
構成
確認     

ポート セキュリティとは

 ポート セキュリティは、ユーザ指定のポートでの MAC 学習の数を制限することで、ポートを保護します。 
  • ポート セキュリティはVLANではサポートされていません
  • ポート セキュリティは、Ethernetポートと、スイッチポートとして構成されているPortChannelでサポートされています。
  • ポート セキュリティは、非スイッチポートではサポートされていません。  

ポートで許可されるMACアドレスの最大数を設定します

 MAC 学習機能を使用して、インターフェイスで許可できる MAC アドレスの最大数を設定できます。MACアドレスを制限すると、MACフラッディングからのセキュリティが提供されます。最大許容 MAC しきい値を超えると、システムは警告 syslog 通知を生成し、ポート セキュリティ違反が発生します。

メモ:MAC 学習制限を無効にして、ポートごとに許可される MAC アドレスのデフォルト数に戻すことができます。 

ポート セキュリティ違反

 ポート セキュリティ違反は、ポートが設定された制限よりも多くの MAC アドレスを学習した場合に発生します。違反発生時に実行するアクションを設定できます。
Dell SONiCでは、違反が発生した場合に実行できるアクションは 保護です。保護モードを有効にすると、インターフェイス上の MAC アドレスの数が設定された制限に達すると、ポートでの MAC 学習が無効になります。ポート上の送信元アドレスが不明なパケットはすべて、この段階でドロップされます。
ポート セキュリティ違反が発生した場合、どのようなアクションを実行できますか?
次のアクション
のいずれかを実行できます-->過剰なMACアドレスの原因となっているデバイスを見つけて削除した後、インターフェイスのMACアドレステーブルをクリアして違反状態をクリアできます。
コマンド構文 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->必要に応じて許可されるMACアドレスの制限
を増やしますコマンド構文 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->必要に応じてポート セキュリティ
を無効にするコマンド構文 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

ポートセキュリティによってブロックされたMACアドレスを見つけるにはどうすればよいですか?
ポート セキュリティによってブロックされたMACアドレスの詳細は、ログ メッセージから確認できます。次のeaxmpleを参照してください(日付/時刻とMACアドレスはマスクされます)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

デフォルト

ポートのポート セキュリティ 無効
ポートあたりの MAC アドレスの最大数 1
違反モード 保護

構成構文

コマンド 説明 
admin@DELLSONiC:~$ sonic-cli
Dell Managementコマンド ライン インターフェイスの起動 
DELLSONiC# configure terminal
設定モードを起動します 
DELLSONiC(config)# interface <Eth slot/port>
インターフェイスの構成 
DELLSONiC(config)# interface range Eth <slot/port>
(オプション)インターフェイスの範囲を設定できます。 
DELLSONiC(config-if-EthX/X)# port-security violation protect
違反した場合の対応を設定します。
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
このインターフェイス
で許可されるセキュアMACの最大数を設定します(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 インターフェイス レベルでポート セキュリティを有効にします 
DELLSONiC(config-if-EthX/X)# no port-security enable
 インターフェイス レベルでのポート セキュリティの無効化

サンプル設定

ポート Eth 1/1 に 2 つの MAC アドレス ラーニングがあるとします。
ポートEth 1/1(MACアドレスマスク)にポート セキュリティを設定する前に 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
ポートEth 1/1を構成して、最大1つ以上のMACアドレスを許可しないようにしましょう。 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
ポート セキュリティを設定した後、1つのMACアドレスのみが学習されていることがわかります。最初に受信したフレームのMACが学習されます。 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

検証

次のコマンドを使用して、次のコマンドを確認します。 
コマンド 説明 
DELLSONiC# show port-security
すべてのインターフェイスでポート セキュリティを表示 
DELLSONiC# show port-security interface Eth <slot/port>
特定のインターフェイスでのポート セキュリティの表示 
DELLSONiC# show logging | grep "Port Mac Security violation"
 違反したMACアドレスの詳細をログから取得します。
出力例(ポート セキュリティ違反を表示) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
ログ メッセージ(日付/時刻とMACアドレスのマスク) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

対象製品

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
文書のプロパティ
文書番号: 000218833
文書の種類: How To
最終更新: 27 6月 2025
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。