Dell Networking SONiC 포트 보안을 구성하는 방법

요약: Dell Networking SONiC에서 포트 보안을 구성하는 방법 이 문서는 Dell Networking SONiC 4.2 Edge Standard에서 테스트되었습니다.

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
기타 리소스 확인

지침

필수 구성 요소
개념을 설명하기 위해 표준 인터페이스 이름 지정을 사용하고 있습니다. 다음 문서를 참조하십시오. Dell Networking S-Series: 기본 인터페이스 구성 - SONiC 4.0을 참조하십시오.

인덱스

포트 보안
이란?포트
에서 허용되는 최대 MAC 주소 수 설정포트 보안 위반
기본값
구성 구문
샘플 구성
확인     

포트 보안이란?

 포트 보안은 사용자 지정 포트에서 MAC 학습 수를 제한하여 포트를 보호합니다. 
  • VLAN에서는 포트 보안이 지원되지 않습니다.
  • 포트 보안은 스위치 포트로 구성된 PortChannel 및 이더넷 포트에서 지원됩니다.
  • 포트 보안은 비 스위치 포트에서 지원되지 않습니다.  

포트에서 허용되는 최대 MAC 주소 수 설정

 MAC 학습 기능을 사용하여 인터페이스에서 허용할 수 있는 MAC 주소 수에 대한 최대 제한을 설정할 수 있습니다. MAC 주소를 제한하면 MAC 플러딩으로부터 보안을 유지할 수 있습니다. 허용되는 최대 MAC 임계값을 초과하면 시스템에서 경고 syslog 알림을 생성하고 포트 보안 위반이 발생합니다.

참고:MAC 학습 제한을 비활성화하여 포트당 허용되는 MAC 주소의 기본 수를 복원할 수 있습니다. 

포트 보안 위반

 포트 보안 위반은 포트가 구성된 제한보다 더 많은 MAC 주소를 학습할 때 발생합니다. 위반 중에 수행해야 하는 작업을 구성할 수 있습니다.
Dell SONiC에서 위반이 발생했을 때 취할 수 있는 조치는 보호입니다. 보호 모드가 활성화되면 인터페이스의 MAC 주소 수가 구성된 제한에 도달하면 포트에서 MAC 학습이 비활성화됩니다. 포트에 알 수 없는 소스 주소가 있는 모든 패킷은 이 단계에서 삭제됩니다.
포트 보안 위반이 발생하면 어떤 조치를 취할 수 있습니까?
아래 조치
중 하나를 취할 수 있습니다 -->과도한 MAC 주소를 유발하는 장치를 찾아 제거한 후 인터페이스에서 MAC 주소 테이블을 지워 위반 상태를 지울 수 있습니다.
명령 구문 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->필요한
경우 허용되는 mac 주소 제한을 늘립니다. 명령 구문 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->필요한
경우 포트 보안 비활성화명령 구문 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

포트 보안에 의해 차단된 MAC 주소를 어떻게 찾을 수 있습니까?
로그 메시지에서 포트 보안에 의해 차단된 mac 주소의 세부 정보를 찾을 수 있습니다. 아래 eaxmple(날짜/시간 및 MAC 주소 마스킹됨) 참조
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

기본값

포트의 포트 보안 Disabled
포트당 최대 MAC 주소 개수 1
위반 모드 보호

구성 구문

명령 설명 
admin@DELLSONiC:~$ sonic-cli
Dell 관리 명령줄 인터페이스 시작 
DELLSONiC# configure terminal
구성 모드 진입 
DELLSONiC(config)# interface <Eth slot/port>
인터페이스 구성 
DELLSONiC(config)# interface range Eth <slot/port>
(선택 사항) 인터페이스 범위를 구성할 수 있습니다. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
위반 시 취할 조치를 설정합니다.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
이 인터페이스
에서 허용되는 최대 보안 MAC 수를 설정합니다(1-4097).
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 인터페이스 레벨에서 포트 보안 활성화 
DELLSONiC(config-if-EthX/X)# no port-security enable
 인터페이스 수준에서 포트 보안 비활성화

샘플 구성

포트 Eth 1/1에 두 개의 MAC 주소 학습이 있다고 가정합니다.
포트 이더넷 1/1에서 포트 보안을 구성하기 전(mac 주소 마스킹됨) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
최대 하나의 mac 주소를 허용하지 않도록 포트 Eth 1/1을 구성할 수 있습니다. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
포트 보안을 구성한 후 하나의 mac 주소만 학습된 것을 볼 수 있습니다. 첫 번째 수신된 프레임 MAC이 학습됩니다. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

확인

다음 명령을 사용하여 다음을 확인합니다. 
명령 설명 
DELLSONiC# show port-security
모든 인터페이스에서 포트 보안 표시 
DELLSONiC# show port-security interface Eth <slot/port>
특정 인터페이스에서 포트 보안 표시 
DELLSONiC# show logging | grep "Port Mac Security violation"
 로그에서 위반한 mac 주소의 세부 정보를 가져옵니다.
샘플 출력(포트 보안 위반 표시) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
로그 메시지(날짜/시간 및 MAC 주소 마스킹됨) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

해당 제품

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
문서 속성
문서 번호: 000218833
문서 유형: How To
마지막 수정 시간: 27 6월 2025
버전:  3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.