Dell Networking SONiC: как настроить защиту портов

Сводка: Настройка безопасности портов в Dell Networking SONiC. Данная статья протестирована в Dell Networking SONiC 4.2 Edge Standard.

Данная статья применяется к Данная статья не применяется к Эта статья не привязана к какому-либо конкретному продукту. В этой статье указаны не все версии продуктов.
Ознакомьтесь с другими ресурсами

Инструкции

Необходимые условия
Для демонстрации концепций мы используем стандартное именование интерфейса. См. статью Dell Networking серии S. Basic interface Configuration — SONiC 4.0 для получения дополнительной информации об именовании интерфейсов.

Индекс

Что такое безопасность
портовУстановка максимального количества MAC-адресов в порте
Нарушение
безопасности портаПо умолчанию
Синтаксис
конфигурацииПример конфигурации
Проверяем подлинность     

Что такое безопасность портов

 Безопасность порта защищает порт, ограничивая количество операций обучения MAC на указанном пользователем порте. 
  • Безопасность портов не поддерживается в VLAN
  • Защита портов поддерживается для порта Ethernet и канала порта, который настроен как порт коммутатора.
  • Безопасность портов не поддерживается для портов, не являющихся портами коммутатора.  

Установка максимального количества MAC-адресов в порте

 С помощью функции изучения MAC можно установить максимальное количество MAC-адресов, которые могут быть разрешены в интерфейсе. Ограничение MAC-адресов обеспечивает защиту от MAC-лавинной атаки. При превышении максимально допустимого порогового значения MAC-адреса система создает предупреждающее уведомление в системном журнале и происходит нарушение безопасности порта.

ПРИМЕЧАНИЕ:Можно отключить ограничение на обучение MAC-адресов, чтобы восстановить количество разрешенных MAC-адресов по умолчанию для каждого порта. 

Нарушение безопасности порта

 Нарушение безопасности порта возникает, когда порт получает больше MAC-адресов, чем настроено ограничение. Вы можете настроить действие, которое должно быть выполнено во время нарушения.
В Dell SONiC действие, которое можно предпринять в случае нарушения, — это защита. Когда активирован режим защиты, он отключает обучение MAC-адресов на порте, когда количество MAC-адресов на интерфейсе достигает заданного предельного значения. На этом этапе отбрасываются все пакеты с неизвестными адресами источника на порте.
Какие действия можно предпринять при нарушении безопасности порта?
Вы можете предпринять любое из следующих действий
--После обнаружения и удаления устройств, вызывающих избыточный MAC-адрес, мы можем очистить таблицу MAC-адресов> в интерфейсе, чтобы очистить состояние нарушения.
Синтаксис команд 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->При необходимости
увеличьте допустимый лимит MAC-адресов Синтаксис команды 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Отключить безопасность портов при необходимости
Синтаксис команды 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Как найти mac-адрес, заблокированный службой безопасности порта?
Сведения о MAC-адресе, который был заблокирован безопасностью порта, можно найти в сообщениях журнала. См. ниже пример (дата/время и MAC-адрес замаскированы)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

По умолчанию

Безопасность портов на порту Disabled
Максимальное количество MAC-адресов на порт 1.
Режим нарушения Защитить

Синтаксис конфигурации

Команда Пояснение 
admin@DELLSONiC:~$ sonic-cli
Вход в интерфейс командной строки управления Dell 
DELLSONiC# configure terminal
Вход в режим конфигурации 
DELLSONiC(config)# interface <Eth slot/port>
Настройка интерфейса 
DELLSONiC(config)# interface range Eth <slot/port>
(Дополнительный) Можно настроить целый ряд интерфейсов. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Выберите действия, которые необходимо предпринять в случае нарушения.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Установка максимального количества защищенных MAC-адресов, разрешенных на этом интерфейсе
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Включает защиту портов на уровне интерфейса 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Отключение защиты портов на уровне интерфейса

Образец конфигурации

Предположим, что у нас есть два MAC-адреса с обучением в порту Eth 1/1.
Перед настройкой безопасности порта Eth 1/1 (mac-адрес замаскирован) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Настроим порт Eth 1/1 так, чтобы использовать не более одного MAC-адреса. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
После настройки безопасности портов мы видим, что запоминается только один MAC-адрес. Первый полученный кадр MAC изучается. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Проверка

Используйте следующие команды для проверки 
Команда Пояснение 
DELLSONiC# show port-security
Показать безопасность портов во всех интерфейсах 
DELLSONiC# show port-security interface Eth <slot/port>
Показать безопасность порта в определенном интерфейсе 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Получите из журналов сведения о MAC-адресе, с которым произошло нарушение.
Пример выходных данных (отображается нарушение безопасности порта) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Сообщение журнала (дата/время и MAC-адрес замаскированы) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Затронутые продукты

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Свойства статьи
Номер статьи: 000218833
Тип статьи: How To
Последнее изменение: 27 Jun 2025
Версия:  3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.