Dell Networking SONiC Як налаштувати безпеку портів

Summary: Як налаштувати безпеку портів у Dell Networking SONiC. Цю статтю перевірено в стандарті Dell Networking SONiC 4.2 Edge.

Bu makale şunlar için geçerlidir: Bu makale şunlar için geçerli değildir: Bu makale, belirli bir ürüne bağlı değildir. Bu makalede tüm ürün sürümleri tanımlanmamıştır.
Diğer kaynaklara göz atın

Instructions

Передумови
Ми використовуємо стандартні імена інтерфейсів для демонстрації концепцій. Дивіться статтю Dell Networking S-Series: Базова конфігурація інтерфейсу - SONiC 4.0 для отримання додаткової інформації про іменування інтерфейсів.

Індекс

Що таке безпека
портівУстановлення максимальної кількості MAC-адрес, дозволених у порту
Порушення
безпеки портуЗа замовчуванням
Синтаксис
конфігураціїПриклад конфігурації
Перевірити     

Що таке безпека портів

 Безпека портів захищає порт, обмежуючи кількість MAC-записів на вказаному користувачем порту. 
  • Безпека портів не підтримується у vlan
  • Безпека портів підтримується в портах Ethernet і PortChannel, які налаштовані як switchport.
  • Безпека портів не підтримується в портах, які не є комутаторами.  

Установлення максимальної кількості MAC-адрес, дозволених у порту

 За допомогою функції навчання MAC можна встановити максимальне обмеження на кількість MAC-адрес, які можуть бути дозволені в інтерфейсі. Обмеження MAC-адрес забезпечує захист від MAC-флуду. При перевищенні максимально допустимого порогу MAC система генерує попередження системного журналу, і відбувається порушення безпеки порту.

ПРИМІТКА:Ви можете вимкнути обмеження на навчання MAC, щоб відновити кількість дозволених MAC-адрес за замовчуванням на порт. 

Порушення безпеки порту

 Порушення безпеки порту відбувається, коли порт запам'ятовує більше MAC-адрес, ніж налаштований ліміт. Ви можете налаштувати дію, яку слід виконати під час порушення.
У Dell SONiC дія, яка може бути вжита, коли сталося порушення, - це захист. Коли активовано режим захисту, він вимикає навчання MAC на порту, коли кількість MAC-адрес в інтерфейсі досягає налаштованого ліміту. На цьому етапі скидаються всі пакети з невідомими адресами джерел на порту.
Які заходи можуть бути вжиті у разі порушення безпеки порту?
Ви можете виконати будь-яку з наведених нижче дій
--Знайшовши та видаливши пристрої, що спричиняють надлишок mac-адреси, ми можемо очистити таблицю mac-адрес> в інтерфейсі, щоб очистити стан порушення.
Синтаксис команди 
DELLSONiC# clear mac address-table dynamic interface Eth <slot/port>
-->Збільшити дозволений ліміт mac-адреси, якщо це потрібно
Синтаксис команди 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
-->Вимкнути захист портів, якщо потрібно
Синтаксис команди 
DELLSONiC# configure
DELLSONiC(config)# interface Eth X/X
DELLSONiC(config-if-EthX/X)# no port-security enable

Як я можу знайти mac-адресу, заблоковану безпекою портів?
Ми можемо знайти детальну інформацію про mac-адресу, яка була заблокована безпекою порту, з Log Messages. Зверніться до наведеного нижче eaxmple (дата/час і mac-адреса замасковані)
  
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

За замовчуванням

Безпека порту на порту Вимкнуто
Максимальна кількість MAC-адрес на порт 1
Режим порушення Захистити

Синтаксис конфігурації

Команда Пояснення 
admin@DELLSONiC:~$ sonic-cli
Увійдіть в інтерфейс командного рядка Dell Management 
DELLSONiC# configure terminal
Увійдіть у режим конфігурації 
DELLSONiC(config)# interface <Eth slot/port>
Налаштування інтерфейсу 
DELLSONiC(config)# interface range Eth <slot/port>
(Необов'язково.) Ви можете налаштувати діапазон інтерфейсів. 
DELLSONiC(config-if-EthX/X)# port-security violation protect
Визначте дії, які потрібно вжити у разі порушення.
 		 
DELLSONiC(config-if-EthX/X)# port-security maximum <number of mac address>
Встановити максимальну кількість захищених MAC-карт, дозволених у цьому інтерфейсі
(1-4097)
 		 
DELLSONiC(config-if-EthX/X)# port-security enable
 Забезпечує безпеку портів на рівні інтерфейсу 
DELLSONiC(config-if-EthX/X)# no port-security enable
 Вимкніть захист портів на рівні інтерфейсу

Приклад конфігурації

Припустимо, що у нас є два mac-адреси для навчання в порту Eth 1/1.
Перед налаштуванням безпеки порту на порту Eth 1/1 (mac-адреса замаскована) 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1             
2500        YY:YY:YY:YY:YY:YY   DYNAMIC       Eth1/1
Дозволяє налаштувати порт Eth 1/1 так, щоб він не дозволяв більше однієї mac-адреси. 
admin@DELLSONiC:~$ sonic-cli
DELLSONiC# configure
DELLSONiC(config)# interface Eth 1/1
DELLSONiC(config-if-Eth1/1)# port-security violation protect
DELLSONiC(config-if-Eth1/1)# port-security maximum 1
DELLSONiC(config-if-Eth1/1)# port-security enable
DELLSONiC(config-if-Eth1/1)# shutdown
DELLSONiC(config-if-Eth1/1)# no shutdown
DELLSONiC(config-if-Eth1/1)# end
Після налаштування безпеки порту ми бачимо, що вивчається лише одна mac-адреса. Перший отриманий кадр MAC вивчається. 
DELLSONiC# show mac address-table interface Eth 1/1
-----------------------------------------------------------
VLAN         MAC-ADDRESS         TYPE         INTERFACE           
-----------------------------------------------------------
2500        XX:XX:XX:XX:XX:XX   DYNAMIC       Eth1/1

Перевірити

Для перевірки використовуйте наведені нижче команди 
Команда Пояснення 
DELLSONiC# show port-security
Показувати безпеку портів у всіх інтерфейсах 
DELLSONiC# show port-security interface Eth <slot/port>
Показувати безпеку портів у певному інтерфейсі 
DELLSONiC# show logging | grep "Port Mac Security violation"
 Отримайте детальну інформацію про mac-адресу, яка була порушена, з журналів.
Приклад виводу (показує порушення безпеки порту) 
DELLSONiC# show port-security

Secure Port         isEnabled    MaxSecureAddr   FdbCount    ViolationCount    SecurityAction
--------------------------------------------------------------------------------------------------
    Eth1/1              Y            1               1           1                 PROTECT
 
DELLSONiC# show port-security interface Eth1/1

Interface : Eth1/1
Port MAC Security is Enabled : True
Maximum allowed Secure MAC   : 1
Action taken on Violation    : PROTECT
Total MAC address            : 1
Security Violation Count     : 1
Повідомлення журналу (дата/час і mac-адреса замасковані) 
DELLSONiC# show logging | grep "Port Mac Security violation"
XXX XX XX:XX:XX.XXXXXXXXXXXX XXXX DELLSONiC WARNING syncd#syncd: :- port_mac_sec_add_mac: Port Mac Security violation by MAC YY:YY:YY:YY:YY:YY Port Eth1/1

Etkilenen Ürünler

Enterprise SONiC Distribution, PowerSwitch E3200-ON Series, Dell EMC Networking N3200-ON, PowerSwitch S5212F-ON, PowerSwitch S5224F-ON, PowerSwitch S5232F-ON, PowerSwitch S5248F-ON, PowerSwitch S5296F-ON, PowerSwitch Z9264F-ON, PowerSwitch Z9332F-ON , PowerSwitch Z9432F-ON ...
Makale Özellikleri
Article Number: 000218833
Article Type: How To
Son Değiştirme: 27 Haz 2025
Version:  3
Sorularınıza diğer Dell kullanıcılarından yanıtlar bulun
Destek Hizmetleri
Aygıtınızın Destek Hizmetleri kapsamında olup olmadığını kontrol edin.