Dynamic ARP Inspection - Cisco Config 2



 ◆ 任意:着信ARPパケットのレート制限

 スイッチのCPUはダイナミックARP検査チェックを実行するので、untrusted のインターフェースでは
 DoS攻撃を受けても緩和できるよう着信ARPパケットに対するレート制限がデフォルトで行われています。
 デフォルトでは、15pps と制限されておりバースト間隔は1秒です。その変更コマンドは以下となります。
 ※ rate none と指定した場合、処理できる着信ARPパケットのレートの上限設定しないことになります。

 
◆ 着信ARPパケットのレート制限
 (config)# ip arp inspection limit [ rate pps [ burst interval seconds ] | none ]


 着信ARPパケットのレートが設定された制限を超えると、スイッチはポートをerrdisableステートにします。
 errordisable回復をイネーブルにして、指定されたタイムアウト時間後にポートがこのステートから自動的
 に抜け出すようにするためには、以下のコマンドを設定します。interval のデフォルト値は「300秒」です。

 
◆ DAI の errdisableステートからのエラー回復をイネーブルにして、DAI の回復メカニズムで使用する変数を設定
 (config)# errdisable detect cause arp-inspection
 (config)#
errdisable recovery cause arp-inspection
 (config)#
errdisable recovery interval interval


 ◆ 任意:ARPパケットの妥当性のチェック

 ダイナミックARP検査では、無効なARPパケットを代行受信してパケットの許可または廃棄を判断しますが、
 それに加えて、パケット内のIPアドレスが無効であるか、ARPパケット内のMACアドレスがイーサネットの
 ヘッダで指定されているアドレスと一致しない場合に、以下の設定コマンドでARPパケットを破棄できます。

 
◆ ARPパケットの妥当性のチェック
 (config)# ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]

キーワード 説明
src-mac  イーサネットヘッダーの送信元MACアドレスと、ARPの送信元MACアドレスを比較
dst-mac  イーサネットヘッダーの宛先MACアドレスと、ARPの宛先 MAC アドレスが比較
ip  ARP本文から、無効なIPアドレスや予期しないIPアドレスがないかを確認してチェック




 ◆ 任意:ログバッファの設定

 スイッチでDAI が有効な場合、デフォルトで拒否または廃棄ARPパケットがログされます。ログエントリ数は
 「32」です。システムメッセージ数は1秒間で「5」に制限されています。ロギングレート間隔は「1」秒です。

 
◆ ログバッファの設定
 (config)# ip arp inspection log-buffer [ entries number | logs number interval seconds ]


 記録されるパケットタイプをVLAN単位で制御します。デフォルトで全ての拒否/廃棄パケットが記録されます。

 
◆ パケットのタイプを制御
 
(config)# ip arp inspection vlan vlan-id logging [ acl-match [ matchlog | none ] | dhcp-bindings [ all | none | permit ]

キーワード 説明
acl-match matchlog  ACE ロギング設定に基づいてパケットをログに記録
acl-match none  ACL に一致するパケットは記録しない
dhcp-bindings all  DHCP バインディングに一致するパケットがすべて記録
dhcp-bindings none  DHCP バインディングに一致するパケットは記録しない
dhcp-bindings permit  DHCP バインディングが許可されたパケットが記録




 ◆ ダイナミックARPインスペクション - デフォルト設定

機能 デフォルト設定
DAI  すべてのVLANでディセーブル
インターフェイスの信頼状態  すべてのインターフェイスは untrusted
着信ARPパケットのレート制限


 信頼できないインターフェイスのレートは 15 pps に設定されて、
 信頼できるすべてのインターフェイスでは、レート制限は行われない。
 バースト インターバルは 1 秒・

ARP ACL  ARP ACL は定義されていない
妥当性検査  検査は実行されない
ログ バッファ


 DAIがイネーブル化されると、拒否またはドロップされたARPパケットはすべてが記録。
 ログ内のエントリ数は 32、システムメッセージ数は毎秒5つに制限される。
 ロギングレートインターバルは 1 秒。

VLAN 単位のロギング  拒否または廃棄されたすべての ARP パケットが記録される。



DAI(Dynamic ARP Inspection)とは

ネットワークエンジニアとして

Copyright (C) 2002-2024 ネットワークエンジニアとして All Rights Reserved.