 着信ARPパケットのレート制限
スイッチのCPU はダイナミックARP検査検証チェックを実行するので、[
untrusted ] のインターフェースでは
DoS攻撃を受けないように、着信ARPパケットに対するレート制限がデフォルトで行われています。デフォルト
で15pps(1秒で15パケット)と制限されておりバースト間隔は1秒です。これらは以下の手順で変更できます。
Catalyst(config-if)# ip arp inspection limit
rate pps burst interval seconds | none
|
※ [ ip arp inspection limit rate none ]
コマンドの設定により、処理可能な着信ARPパケットの上限はなくなります。
次に、ダイナミックARP検査のerrdisableステートからのエラー回復を、スイッチ自身で自動的に実行する
ように設定します。デフォルトでこの機能はディセーブルで、この機能を有効にした時のデフォルトの回復
間隔は [ 300秒 ] です。指定できる範囲は
[ 30 〜 86400 ] の値です。これらはグローバルでの設定です。
Catalyst(config)# errordisable recovery cause
arp-inspection interval interval
|
ARPパケットの妥当性のチェック
ダイナミックARP検査では、無効なARPパケットを代行受信してパケットの許可または廃棄を判断しますが、
それに加えて、パケット内のIPアドレスが無効であるか、またはARPパケット内のMACアドレスがイーサネット
ヘッダーで指定されているアドレスと一致しない場合に、ARPパケットを破棄するように以下で定義できます。
Catalyst(config)# ip arp inspection validate
[ src-mac ] [ dst-mac ] [ ip ]
|
この設定はデフォルトではディセーブルにあります。キーワード[ src-mac ]では、ARP内の発信者MACアドレス
に対して、イーサネット ヘッダーの送信元MACアドレスをチェックします。このチェックは、ARP
Request および
ARP Replyで実施されます。イネーブルの場合、異なるMACアドレスのあるパケットは無効として廃棄されます。
キーワード[ dst-mac ]では、ARP形式の対象MACアドレスに対して、イーサネットヘッダーの宛先MACアドレス
を検査します。この検査はARP Replyで実施されます。イネーブルの場合、異なるMACアドレスのあるパケットは
廃棄されます。 [ ip ] では、無効で予期しないIPアドレスのARP形式をチェックします。ARP
Replyで検査されます。
ログバッファの設定
ダイナミックARP検査のロギングバッファの設定は以下で行います。デフォルトで、ダイナミックARP検査が有効
な場合、拒否または廃棄ARPパケットがログされます。ログエントリ数(entries
number)は [ 32 ] です。システム
メッセージ数(logs number)は1秒あたり [
5 ] に制限されています。ロギングレート間隔(interval)は[
1秒] です。
Catalyst(config)# ip arp inspection log-buffer
[ entries number | logs number interval seconds ]
|
記録されるパケットのタイプをVLAN単位で制御します。デフォルトで全ての拒否/廃棄パケットが記録されます。
Catalyst(config)# ip arp inspection vlan
vlan-range logging [ acl-match [ matchlog | none ]
| dhcp-bindings [all | none | permit ]
|
| key word |
説明 |
| acl-match matchlog |
ここで[ matchlog ] を指定し、permitまたはdenyの[
arp access-list ]で[ log ] キーワード
を指定した場合、そのARPACLで許可または拒否された
ARP パケットが記録されます。 |
| acl-match none |
ACLと一致するパケットを記録しません。 |
| dhcp-bindings all |
DHCPバインディングと一致するパケットがすべて記録されます。
|
| dhcp-bindings none |
DHCPバインディングと一致するパケットは記録されません。
|
| dhcp-bindings permit |
DHCPバインディング許可パケットを記録します。
|
|