Sx500シリーズスタッカブルスイッチのアドレス解決プロトコル(ARP)インスペクションプロパティの設定

ダウンロード オプション

  • PDF     (242.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (153.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (245.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 11 日
Document ID:SMB2547

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

Sx500シリーズスタッカブルスイッチのアドレス解決プロトコル(ARP)インスペクションプロパティの設定

目的

Address Resolution Protocol(ARP;アドレス解決プロトコル)は、OSIモデルのレイヤ2(データリンク層)で動作し、ARPキャッシュとも呼ばれるルックアップテーブルを使用して、宛先ホストのMACアドレスにIPアドレスをマッピングする変換を提供します。 

ARPインスペクションは、ARPキャッシュのポイズニングを防止するために確立されます。これにより、悪意のあるサードパーティがネットワークトラフィックを傍受し、制御できるようになります。このドキュメントの目的は、Sx500シリーズスタッカブルスイッチでARPインスペクションプロパティを設定することです。

ARPインスペクションを正しく機能させるには、次の設定を次と同じ順序で実行する必要があります。

1. ARPインスペクションのプロパティ。この記事で説明します。
2.インターフェイスの設定この設定については、『Address Resolution Protocol (ARP) Inspection Interface Settings on Sx500 Series Stackable Switches』を参照してください。
3.アクセス制御およびアクセス制御のルールを設定します。この設定については、『Sx500シリーズスタッカブルスイッチのARPアクセス制御およびアクセス制御ルールの設定』を参照してください。
4. VLAN設定の設定については、『Address Resolution Protocol(ARP)インスペクションVLAN設定Sx500シリーズスタッカブルスイッチの設定』を参照してください

該当するデバイス

  • Sx500シリーズスタッカブルスイッチ

[Software Version]

  • 1.3.0.62

ARPインスペクションプロパティ

ステップ1:Web設定ユーティリティにログインし、[Security] > [ARP Inspection] > [Properties]を選択します。[プロパティ]ページが開きます。

ステップ2:[ARP Inspection Status]フィールドで、[Enable]をオンにしてARPインスペクション機能を有効にします。この機能はデフォルトで無効になっています。

注:ARPインスペクションは、信頼できないインターフェイスでのみ実行されます。信頼できるインターフェイスからのパケットが転送されます。[インターフェイスの設定]ページで、信頼できるインターフェイスを構成できます。

ステップ3:[ARP Packet Validation]フィールドで、[Enable]をオンにしてARPのパケット検証を有効にします。この機能はデフォルトで無効になっています。このフィールドをチェックすると、次の値が既存のデータベースと比較され、部外攻撃が防止されます。

  • 送信元MAC:イーサネットヘッダーのパケットの送信元MACアドレスが、ARP要求の送信元のMACアドレスと比較されます。このチェックは、ARP要求と応答の両方で実行されます。
  • 宛先MAC:イーサネットヘッダーのパケットの宛先MACアドレスが、宛先インターフェイスのMACアドレスと比較されます。このチェックは、ARP応答に対してのみ実行されます。
  • [IP Addresses]:ARPデータの内容を、無効なIPアドレスと予期しないIPアドレスと比較します。IPアドレスには、0.0.0.0、255.255.255.255、およびすべてのIPマルチキャストアドレスが含まれます。

また、ARPインスペクションでは、DHCPスヌーピングが有効な場合、DHCPスヌーピングバインディングデータベースを使用して、アクセスコントロールルールに加えてパケットのIPアドレスをカウンタチェックします。DHCPスヌーピングバインディングデータベースの設定の詳細については、『Sx500シリーズスタッカブルスイッチでのDHCPスヌーピングバインディングデータベースの設定』という記事を参照してください。DHCPスヌーピングバインディングデータベースの設定ページに移動するには、[プロパティ]ページの上にある[DHCPスヌーピングバインディングデータベース]リンクをクリックします。

ステップ4:[Log Buffer Interval]フィールドで、次のいずれかのオプションボタンをクリックします。

  • [Retry Frequency]:ドロップされたパケットのSYSLOGメッセージを送信できるようにします。メッセージの送信頻度を入力します。デフォルトの周波数は5秒です。範囲は0 ~ 86400秒です。
  • Never:SYSLOG廃棄パケットメッセージを無効にします。

ステップ5:[Apply]をクリックして、変更を加えます。設定が定義され、実行コンフィギュレーションファイルが更新されます。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ