 ダイナミックARP検査のデフォルト設定
| 機能 |
デフォルト設定 |
| ダイナミックARP検査 |
全てのVLANでディセーブル
|
| インターフェースの信頼状態 |
全てのI/Fでuntrust
|
| 着信ARPパケットのレート制限 |
全てのuntrustのI/Fにおいて、15pps( 1秒あたり15パケット)
|
| 非DHCP環境でのARP ACL |
未定義
|
| 妥当性チェックの実行 |
チェックは実行されない
|
| ログバッファ |
ダイナミックARP検査がイネーブルの場合、全ての拒否または廃棄ARP
パケットがログされる。ログ内のエントリ数は32、システムメッセージ数は
1秒あたり5に制限されている。ロギングレート間隔は1秒。
|
| VLAN単位ロギング |
拒否または廃棄された全てのARPパケットがロギングされる。
|
※ ダイナミックARP検査は着信セキュリティ機能であり、発信チェックは実行しない。
※ 着信 [ ARP Request ] と [ ARP Reply ]
内にあるIPとMACアドレスのバインディングを確認する場合、ダイナミックARP検査は
DHCPスヌーピングバインディングデータベース内のエントリに依存するため、DHCPスヌーピングのイネーブルの必要がある。
※ DHCPスヌーピングがディセーブルまたは非DHCP環境では、ARP
ACL(arp access-list)を使用しパケットを許可または拒否する。
DHCP環境でのダイナミックARP検査の設定
以下の手順は、DHCP環境でのダイナミックARP検査の設定手順です。この図において言うと、両方のスイッチで
DHCPスヌーピングが有効となっており、DHCPによるアドレッシングを行っているという前提になります。その場合
スイッチAにはホストAとホストB、スイッチBにはホストBのバインディングデータベースが存在することになります。
先ず、ダイナミックARP検査はVLAN単位でイネーブルにします。
Catalyst(config)# ip arp inspection vlan
vlan-range
|
次に、他のスイッチに接続したI/Fを指定して、そのI/Fにて
[ trusted ] の設定を行います。
Catalyst(config)# interface interface-id
Catalyst(config-if)# ip arp inspection trust
|
※ 上記の事前設定として、DHCPスヌーピングのグローバルでの有効化とVLANでの有効化が必要です。以下はその設定例です。
Catalyst(config)# ip dhcp snooping
Catalyst(config)# ip dhcp snooping vlan 10
Catalyst(config)# ip arp inspection vlan
10
Catalyst(config)# interface fastethernet
0/24
Catalyst(config-if)# ip arp inspection trust
|
※ これらの設定は show ip arp inspection
interface, show ip arp inspection statistics, show
ip dhcp snooping により確認できます。
非DHCP環境でのダイナミックARP検査の設定
以下の手順は、非DHCP環境でのダイナミックARP検査の設定手順です。非DHCP環境では
[ arp access-list ]
コマンドを使用してARP検査を行います。この図において言うと、スイッチBでダイナミックARP検査を行っていない
場合にスイッチAにて行っていく設定の手順となります。スイッチAのF0/24を trusted に設定するとセキュリティ
ホールが発生する可能性があり、F0/24は
untrusted
にする必要がありますが、F0/24に着信するARPパケット
を許可するために、F0/24ポートが属するVLANにおいて適正な
[ arp access-list ] を適用する必要があります。
Catalyst(config)# arp access-list acl-name
|
次に、指定したホストからのARPパケットを許可します。この図ではホストBからのARPパケットを許可します。
Catalyst(config-arp-acl)# permit ip host
sender-ip mac host sender-mac [ log ]
|
次に、ARP ACLにVLANを適用します。 [ static
] キーワードを指定しないことにより、パケットが
arp access-list
内のどのエントリとも一致しない場合に、次にDHCPバインディングを参照しパケットの許可と拒否を判断します。
Catalyst(config)# ip arp inspection filter
acl-name vlan vlan-range [ static ]
|
最後に、他のスイッチに接続したI/Fを指定して、そのI/Fにて
[ untrusted ] の設定を行います。デフォルトで
全てのI/Fは [ untrusted ] の状態なので、デフォルト設定を変更している場合のみ以下の設定を行います。
Catalyst(config)# interface interface-id
Catalyst(config-if)# no ip arp inspection
trust
|
※ 以下は [ hostB ] というARPACLを設定し、ホストB (IP:192.168.0.2
MAC:0000.0000.000b )からのARPパケットを許可して
そのARP ACL を VLAN 10 に適用して、スイッチAのインターフェースF0/24上にて
untrusted に設定する例となります。
Catalyst(config)# arp access-list hostB
Catalyst(config-arp-acl)# permit ip host
192.168.0.2 mac host 0000.0000.000b
Catalyst(config)# ip arp inspection filter
hostB vlan 10
Catalyst(config)# interface fastethernet
0/24
Catalyst(config-if)# no ip arp inspection
trust
|
※ これらの設定は show ip arp inspection
interface, show ip arp inspection statistics, show
ip dhcp snooping により確認できます。
|