300シリーズマネージドスイッチのアドレス解決プロトコル(ARP)インスペクションプロパティの設定

目的

アドレス解決プロトコル(ARP)は、IPアドレスをMACアドレスにマッピングするために使用されます。ARPインスペクションは、ネットワークをARP攻撃から保護するために使用されます。ARPインスペクションは、[インターフェイスの設定]ページで信頼できないと定義されたインターフェイス上のパケットをインスペクションすることにより、トラフィックセキュリティを向上します。  パケットが信頼できないインターフェイスに到達すると、ARPインスペクションはパケットの送信元IPアドレスとMACアドレスを調べます。  これらがARPアクセスコントロールルールで見つかったIPアドレスとMACアドレスに一致する場合、パケットが転送されます。一致しない場合、パケットはドロップされます。 

この記事では、300シリーズマネージドスイッチでARPインスペクションを設定する方法について説明します。

該当するデバイス

・ SF/SG 300シリーズマネージドスイッチ

[Software Version]

•1.3.0.62

Properties

ステップ1:Web設定ユーティリティにログインし、[Security] > [ARP Inspection] > [Properties]を選択します。[プロパティ]ページが開きます。

ステップ2:[ARP Inspection Status]フィールドの[Enable] チェックボックスをオンにして、ARPインスペクションを有効にします。

ステップ3:（オプション）[ARP Packet Validation]フィールドの[Enable]チェックボックスをオンにして、次の検証を有効にします。ARPインスペクションで無効と見なされるパケットはログに記録され、廃棄されます。

・送信元MAC：パケットの送信元MACアドレスと、ARP要求の送信元のMACアドレスを比較します。このチェックは、ARP要求とARP応答の両方に対して実行されます。

・宛先MAC：パケットの宛先MACアドレスとインターフェイスの宛先MACアドレスを比較します。このチェックは、ARP応答に対してのみ実行されます。

・ IPアドレス：ARP本文と無効なIPアドレスを比較します。これらのアドレスには、0.0.0.0、255.255.255.255、およびすべてのIPマルチキャストアドレスが含まれます。

ステップ4:[Log Buffer Interval]フィールドで、目的のオプションに対応するオプションボタンをクリックします。  着信パケットの送信元IPアドレスがARPインスペクションで見つからない場合、パケットはドロップされ、SYSLOGメッセージが送信されます。ログバッファ間隔は、SYSLOGメッセージ間の時間です。

・ Retry Frequency:SYSLOGで廃棄されたパケットメッセージが送信される頻度（秒）を定義する値を入力します。

・ Never:SYSLOG破棄パケットメッセージを無効にします。

ステップ5:[Apply]をクリックして変更を保存するか、[Cancel]をクリックして変更を取り消します。