- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.3.0SG および IOS 15.1(1)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年9月7日
章のタイトル: ダイナミック ARP インスペクションの設定
ダイナミック ARP インスペクションの設定
この章では、Catalyst 4500 シリーズ スイッチ上でダイナミック ARP インスペクション(DAI)を設定する方法について説明します。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL でCisco IOS コマンド リファレンスと関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
ダイナミック ARP インスペクションについて
DAI は、ネットワークのアドレス解決プロトコル(ARP)パケットを確認するセキュリティ機能です。DAI によって、ネットワーク管理者は、無効な MAC/IP アドレスのペアを持つ ARP パケットを代行受信、記録、およびドロップすることができます。この機能は、特定の「man-in-the-middle」攻撃からネットワークを保護します。
•
「インターフェイスの信頼状態、セキュリティ適用範囲、およびネットワークの構成」
• 「スタティック バインディング DHCP スヌーピングのエントリの相対的なプライオリティ」
ARP キャッシュ ポイズニング
ARP キャッシュを「ポイズニング」することによって、レイヤ 2 ネットワークに接続されたホスト、スイッチおよびルータを攻撃できます。たとえば、悪意のあるユーザが、サブネットに接続されたシステムの ARP キャッシュをポイズニングすることによって、サブネットの他のホストに向けられたトラフィックを代行受信する可能性があります。
図 49-1 には、キャッシュ ポイズニングの例を示します。
ホスト HA、HB、HC は、スイッチのインターフェイス A、B、C に接続されており、すべてが同一のサブネット上にあります。それぞれの IP アドレスと MAC アドレスは、カッコ内に表示されています。たとえば、ホスト HA は、IP アドレス IA と MAC アドレス MA を使用します。HA が IP レイヤの HB と通信する必要がある場合、HA は IB に対応付けられた MAC アドレスの ARP 要求をブロードキャストします。HB が ARP 要求を受信するとすぐに、HB の ARP キャッシュに、IP アドレス IA および MAC アドレス MA を持つホストの ARP バインディングが入力されます。HB が HA に応答すると、HA の ARP キャッシュに IP アドレス IB と MAC アドレス MB を持つホストのバインディングが入力されます。
ホスト HC は、IP アドレス IA(または IB)と MAC アドレス MC のホストのバインディングを持つ ARP 応答を偽造してブロードキャストすることによって、HA と HB の ARP キャッシュを「ポイズニング」できます。ARP キャッシュがポイズニングされたホストは、IA または IB 宛てのトラフィックに、宛先 MAC アドレスとして MAC アドレス MC を使用します。つまり、HC はこのトラフィックを代行受信します。HC は IA と IB に対応付けられた正しい MAC アドレスを知っているため、正しい MAC アドレスを宛先として使用するこれらのホストに代行受信されたトラフィックを転送できます。HC は、HA から HB へのトラフィック ストリームにそれ自身を割り込ませたことになります。これは典型的な「man in the middle」攻撃です。
DAI の目的
ARP のポイズニング攻撃を防止するには、スイッチは有効な ARP 要求および応答だけがリレーされることを確認する必要があります。DAI は、すべての ARP 要求と応答を代行受信することによってこれらの攻撃を防ぎます。代行受信された各パケットは、ローカル ARP キャッシュが更新される前、またはパケットが適切な宛先に転送される前に、有効な MAC/IP アドレスのバインディングと照合されます。無効な ARP パケットはドロップされます。
DAI は、ARP パケットの有効性を、信頼性のあるデータベースに格納された有効な MAC/IP アドレスのバインディングに基づいて判別します。このデータベースは、Dynamic Host Configuration Protocol(DHCP)スヌーピングが VLAN および該当するスイッチでイネーブルにされている場合に、DHCP スヌーピングの実行時に作成されます。さらに、DAI は、静的に設定された IP アドレスを使用するホストを処理するために、ユーザが設定した ARP アクセス コントロール リスト(ACL)と ARP パケットを照合できます。
パケットの IP アドレスが無効である場合、または ARP パケットの本体にある MAC アドレスがイーサネット ヘッダーに指定されたアドレスと一致しない場合に、ARP パケットをドロップするように DAI を設定することもできます。
インターフェイスの信頼状態、セキュリティ適用範囲、およびネットワークの構成
DAI は、システム上の各インターフェイスに信頼状態を対応付けます。信頼できるインターフェイスに着信するパケットは、すべての DAI 確認検査を迂回します。信頼できないインターフェイスに着信するパケットは、DAI 確認処理を受けます。DAI の一般的なネットワーク構成では、ホスト ポートに接続されたすべてのポートは、untrusted(信頼できない)に設定されます。スイッチに接続されたすべてのポートは、trusted(信頼できる)に設定されています。この設定では、所定のスイッチからネットワークに入ったすべての ARP パケットはセキュリティ チェックを通過します。
図 49-2 DAI 対応 VLAN における ARP パケットの確認
信頼状態の設定は、慎重に使用してください。信頼すべきインターフェイスを信頼できないインターフェイスとして設定すると、接続が失われる場合があります。S1 と S2(図 49-2 を参照)の両方が、H1 と H2 を保持する VLAN ポート上で DAI を実行していると仮定し、H1 と H2 が S1 に接続された DHCP サーバからの IP アドレスを取得する場合には、S1 だけが IP を H1 の MAC アドレスにバインドします。S1 と S2 の間のインターフェイスが untrusted の場合、H1 からの ARP パケットが S2 でドロップされます。この状態では、H1 と H2 の間の接続が失われます。
実際には信頼できないインターフェイスを信頼できるインターフェイスとして設定すると、ネットワーク内にセキュリティ ホールが生じます。S1 が DAI を実行していない場合は、H1 は簡単に S2 の ARP(および ISL(スイッチ間リンク)が trusted に設定されている場合の H2)をポイズニングできます。この状態は、S2 が DAI を実行していても発生します。
DAI は、DAI を実行するスイッチに接続された(信頼できないインターフェイス上の)ホストが、ネットワークのその他のホストの ARP キャッシュをポイズニングしないようにします。ただし、ネットワークのその他の部分からのホストが、接続されているホストのキャッシュをポイズニングしないとは限りません。
VLAN の一部のスイッチが DAI を実行して、残りのスイッチが DAI を実行しないケースに対処するには、このようなスイッチを接続するインターフェイスを untrusted に設定する必要があります。ただし、DAI 非対応スイッチからのパケットのバインディングを確認するには、DAI を実行するスイッチに ARP ACL が設定されている必要があります。このようなバインディングを判別できない場合は、DAI を実行するスイッチを DAI 非対応スイッチからレイヤ 3 で分離する必要があります。
(注) DHCP サーバおよびネットワークの設定によって、VLAN 内のすべてのスイッチ上で所定の ARP パケットの確認が実行できない場合があります。
スタティック バインディング DHCP スヌーピングのエントリの相対的なプライオリティ
前述したように、DAI は DHCP スヌーピングを通じて、有効な MAC/IP アドレスのバインディングのデータベースを入力します。また、ARP パケットを静的に設定された ARP ACL と照合します。ここで注意する必要があるのは、ARP ACL が DHCP スヌーピング データベースのエントリより優先されるということです。ARP パケットは最初に、ユーザが設定した ARP ACL と比較されます。ARP ACL が ARP パケットを拒否した場合、DHCP スヌーピングによって入力されたデータベースに有効なバインディングが存在する場合でも、パケットが拒否されます。
ドロップされたパケットのロギング
スイッチがパケットをドロップすると、ログ バッファにエントリが記録され、その割合に応じて、システム メッセージが生成されます。メッセージの生成後、スイッチにより、ログ バッファからこのエントリが消去されます。各ログ エントリには、受信側の VLAN、ポート番号、送信元および宛先 IP アドレス、送信元および宛先 MAC アドレスといったフロー情報が含まれます。
ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用して、バッファ内のエントリ数や、システム メッセージ生成までの指定のインターバルに必要なエントリ数を設定します。記録されるパケットの種類を指定するには、 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドを使用します。設定の詳細については、「ログ バッファの設定」を参照してください。
ARP パケットのレート制限
DAI は CPU で確認検査を行うので、DoS 攻撃(サービス拒絶攻撃)を防ぐために着信 ARP パケット数がレート制限されています。デフォルトでは、信頼できないインターフェイスのレートは 15 pps に設定されており、信頼できるインターフェイスにはレート制限がありません。着信 ARP パケットのレートが設定された制限を超える場合は、ポートが errdisable ステートに置かれます。管理者が介入するまで、ポートはそのままの状態です。errdisable recovery グローバル コンフィギュレーション コマンドにより、errdisable 回復をイネーブルにして、ポートが指定のタイムアウト時間の経過後自動的にこのステートから回復できるようにします。
インターフェイスに着信する ARP 要求および ARP 応答のレートを制限するには、 ip arp inspection limit グローバル コンフィギュレーション コマンドを使用します。レート制限がインターフェイス上に明示的に設定されていない限り、インターフェイスの信頼状態を変更すると、その信頼状態のデフォルト値のレート制限に変更されます。つまり、信頼できないインターフェイスは 15 pps で、信頼できるインターフェイスは無制限になります。レート制限が明示的に設定されると、信頼状態が変更されてもインターフェイスはそのレート制限を保持します。rate limit コマンドの no 形式が適用されると、インターフェイスはいつでもデフォルトのレート制限値に戻ります。設定の詳細については、「着信 ARP パケットのレート制限」を参照してください。
(注) DAI がイネーブルの場合、すべての ARP パケットは、CPU によって転送されます(ソフトウェア転送、スロー パス)。このメカニズムでは、パケットが複数ポートを介して送信されるときに、CPU により、出力ポートと同数のパケットのコピーを作成する必要があります。出力ポート数が CPU の係数ファクタになります。QoS ポリシングが、CPU によって転送された出力パケット上で適用される場合、QoS は CPU でも適用される必要があります。(ハードウェア転送パスは、CPU によって生成されたパケットではオフのため、CPU によって生成されたパケットについて、ハードウェアでは QoS を適用することはできません)。両方のファクタは、CPU の使用率レベルを非常に高くする可能性があります。
ポート チャネル機能
所定の物理ポートは、物理ポートとチャネルの信頼状態が一致した場合にだけチャネルに加入できます。一致しなければ、物理ポートがチャネルで中断されたままの状態になります。チャネルは、チャネルに加入した最初の物理ポートの信頼状態を継承します。したがって、最初の物理ポートの信頼状態は、チャネルの信頼状態と一致する必要はありません。
反対に、信頼状態がチャネル上で変更された場合は、新しい信頼状態がチャネルを構成するすべての物理ポート上に設定されます。
ポート チャネル上のレート制限確認は、他とは異なります。物理ポート上の着信パケットのレートは、物理ポートの設定ではなく、ポート チャネルの設定と照合されます。
ポート チャネル上のレート制限設定は、物理ポートの設定に依存しません。
レート制限は、すべての物理ポートで累積されます。つまり、ポート チャネル上の着信パケットのレートは、すべての物理ポートにおけるレートの合計と等しくなります。
トランク上の ARP パケットにレート制限を設定する場合、1 つの VLAN 上の高いレート制限によって、ポートがソフトウェアによって errdisable にされたときに、その他の VLAN に DoS 攻撃が行われる原因になる可能性がある、VLAN 集約を計上する必要があります。同様に、ポート チャネルが errdisable の場合、1 つの物理ポート上の高いレート制限は、チャネル内の他のポートを停止させる原因になります。
ダイナミック ARP インスペクションの設定
ここでは、スイッチで DAI を設定する方法について説明します。
• 「DHCP 環境でのダイナミック ARP インスペクションの設定」(必須)
• 「非 DHCP 環境での ARP ACL の設定」(任意)
• 「ログ バッファの設定」(任意)
• 「着信 ARP パケットのレート制限」(任意)
• 「確認検査の実行」(任意)
DHCP 環境でのダイナミック ARP インスペクションの設定
この手順では、2 つのスイッチがダイナミック ARP インスペクションをサポートしているときに、この機能を設定する方法を示します。図 49-3 に示すとおり、ホスト 1 はスイッチ A に、ホスト 2 はスイッチ B に接続されています。両方のスイッチは、これらのホストが置かれている VLAN 100 上で DAI を実行しています。DHCP サーバはスイッチ A に接続されています。両方のホストは、同一の DHCP サーバから IP アドレスを取得します。スイッチ A にはホスト 1 のバインディングがあり、スイッチ B にはホスト 2 のバインディングがあります。
図 49-3 DAI をイネーブルにした VLAN での ARP パケット検証
(注) DAI では、DHCP スヌーピング バインディング データベース内のエントリを使用して、着信 ARP 要求および ARP 応答内の IP アドレスと MAC アドレスのバインディングを確認します。IP アドレスが動的に割り当てられた ARP パケットを許可するには、DHCP スヌーピングを必ずイネーブルにしてください。設定情報については、「DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定」を参照してください。
スイッチの 1 つだけがこの機能をサポートしている場合に DAI を設定する方法の詳細については、「非 DHCP 環境での ARP ACL の設定」を参照してください。
DAI を設定するには、両方のスイッチで次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
VLAN 単位で DAI をイネーブルにします。デフォルトでは、 すべての VLAN で DAI はディセーブルです。 DAI をディセーブルにするには、 no ip arp inspection vlan vlan-range グローバル コンフィギュレーション コマンドを使用します。 vlan-range には、VLAN ID 番号で識別された単一の VLAN、ハイフンで区切られた範囲の VLAN、またはカンマで区切られた一連の VLAN を指定できます。指定できる範囲は 1 ~ 4094 です。 |
|
|
|
||
|
|
インターフェイスを信頼できない状態に戻すには、 スイッチは、信頼できるインターフェイスにあるもう 1 つのスイッチから受信した ARP パケットは確認しません。スイッチは、パケットを転送します。 信頼できないインターフェイスでは、スイッチはすべての ARP 要求と応答を代行受信します。ルータは、代行受信されたパケットが有効な IP-to-MAC アドレス バインディングを持つことを確認してから、ローカル キャッシュを更新するか、適切な宛先にパケットを転送します。スイッチは、無効なパケットを破棄し、それらを |
|
|
|
||
|
Switch# show ip arp inspection vlan vlan-range |
||
|
|
||
|
|
||
|
|
DAI の設定例
次の例では、VLAN 100 のスイッチ A で DAI を設定する方法を示します。スイッチ B でも同様の手順を実行します。
スイッチ A
スイッチ B
非 DHCP 環境での ARP ACL の設定
ここでは、図 49-3のように、スイッチ B が、DAI も DHCP スヌーピングもサポートしていない場合の DAI の設定方法を示します。
スイッチ A のポート 1 を信頼できるものとして設定した場合、スイッチ A とホスト 1 は両方とも、スイッチ B またはホスト 2 により攻撃される可能性があるため、セキュリティ ホールが作り出されます。これを阻止するには、スイッチ A のポート 1 を信頼できないものとして設定する必要があります。ホスト 2 からの ARP パケットを許可するには、ARP ACL を設定し、VLAN 100 に適用する必要があります。ホスト 2 の IP アドレスがスタティックでなく、スイッチ A の ACL 設定を適用できない場合は、レイヤ 3 でスイッチ A とスイッチ B を分離し、これらのスイッチ間のパケット ルーティングにはルータを使用する必要があります。
(非 DHCP 環境のスイッチ A 上で)ARP ACL を設定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
||
|
|
ARP ACL を定義して、ARP アクセス リスト コンフィギュレーション モードを開始します。デフォルトでは、ARP アクセス リストは定義されません。 (注) ARP アクセス リストの末尾に暗黙的な deny ip any mac any コマンドが指定されています。 |
|
|
|
指定されたホスト(ホスト 2)からの ARP パケットを許可します。 • • • |
|
|
|
||
|
|
VLAN に ARP ACL を適用します。デフォルトでは、 定義済みの ARP ACL は、どのような VLAN にも適用されません。 • • • このキーワードを指定しない場合は、ACL 内にはパケットを拒否する明示的な拒否が存在しないことになります。この場合は、ACL 句に一致しないパケットを許可するか拒否するかは、DHCP バインディングによって決定されます。 IP-to-MAC アドレス バインディングしか持たない ARP パケットは、ACL と比較されます。パケットは、アクセス リストで許可された場合だけに許可されます。 |
|
|
|
スイッチ B に接続されたスイッチ A のインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
|
|
スイッチ B に接続されたスイッチ A のインターフェイスを untrusted として設定します。 信頼できないインターフェイスでは、スイッチはすべての ARP 要求と応答を代行受信します。ルータは、代行受信されたパケットが有効な IP-to-MAC アドレス バインディングを持つことを確認してから、ローカル キャッシュを更新するか、適切な宛先にパケットを転送します。スイッチは、無効なパケットをドロップし、 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドで指定されたロギング設定に従ってログ バッファに記録します 。詳細については、「ログ バッファの設定」を参照してください。 |
|
|
|
||
|
|
||
|
|
ARP ACL を削除するには、 no arp access-list グローバル コンフィギュレーション コマンドを使用します。VLAN に接続された ARP ACL を削除するには、 no ip arp inspection filter arp-acl-name vlan vlan-range グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチ A 上の hostB という名前の ARP ACL を設定し、ホスト B からの ARP パケット(IP アドレス 170.1.1.2、MAC アドレス 2.2.2)を許可し、VLAN 100 に ACL を適用し、スイッチ A 上のポート 1 を untrusted に設定する例を示します。
ログ バッファの設定
スイッチがパケットをドロップすると、ログ バッファにエントリが記録され、その割合に応じて、システム メッセージが生成されます。メッセージの生成後、スイッチにより、ログ バッファからこのエントリが消去されます。各ログ エントリには、受信側の VLAN、ポート番号、送信元および宛先 IP アドレス、送信元および宛先 MAC アドレスといったフロー情報が含まれます。
ログ バッファ エントリは、複数のパケットを表すことができます。たとえば、インターフェイスが同じ ARP パラメータを使用して同じ VLAN 上で多数のパケットを受信した場合、スイッチはこれらのパケットを組み合わせて 1 つのエントリとしてログ バッファに格納し、エントリとして 1 つのシステム メッセージを生成します。
ログ バッファがオーバーフローする場合は、ログ イベントがログ バッファに収まらないことを意味しており、 show ip arp inspection log 特権 EXEC コマンドの出力が影響を受けます。このエントリに対しては、その他の統計情報は表示されません。
デフォルトのログ バッファ設定に戻すには、 no ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用します。 デフォルトの VLAN ログ設定に戻すには、 no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings } グローバル コンフィギュレーション コマンドを使用します。ログ バッファをクリアするには、 clear ip arp inspection log 特権 EXEC コマンドを使用します。
次の例では、ログ バッファのエントリ数を 1024 に設定する方法を示します。また、10 秒ごとに 100 の比率でバッファからログを生成する必要があるようにするために、Catalyst 4500 シリーズ スイッチを設定する方法も示します。
着信 ARP パケットのレート制限
スイッチの CPU によって DAI 違反チェックが実行されます。したがって、DoS 攻撃を防ぐために着信 ARP パケット数がレート制限されています。
(注) インターフェイス上のレート制限を明示的に設定しない限り、インターフェイスの信頼状態を変更することは、レート制限を信頼状態のデフォルト値に変更することになります。レート制限を設定すると、信頼状態が変更された場合でもインターフェイスはレート制限を保ちます。 no ip arp-inspection limit インターフェイス コンフィギュレーション コマンドを入力すると、インターフェイスはデフォルトのレート制限に戻ります。
デフォルトでは、着信 ARP パケットのレートが設定された制限を超える場合は、ポートが error-disabled ステートに置かれます。ポートのシャットダウンを防ぐには、 errdisable detect cause arp-inspection action shutdown vlan グローバル コンフィギュレーション コマンドを使用すると、違反の発生時にポートで問題になっている VLAN のみをシャットダウンできます。
errdisable recovery cause arp-inspection グローバル コンフィギュレーション コマンドを設定すると、セキュア ポートが errdisable ステートの場合に実行してこのステートを自動的に解除できます。また、 shutdown および no shutdown のインターフェイス コンフィギュレーション コマンドを入力すると、手動で再びイネーブルにできます。ポートが VLAN 単位で errdisable モードの場合、 clear errdisable interface name vlan range コマンドを使用すると、ポート上の VLAN を再度イネーブルにすることもできます。
着信 ARP パケットのレートを制限するには、次の作業を行います。
デフォルトのレート制限設定に戻るには、 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。DAI のエラー回復をディセーブルにするには、 no errdisable recovery cause arp-inspection グローバル コンフィギュレーション コマンドを使用します。
次に、着信パケット数の上限(100 pps)を設定し、バースト間隔(1 秒)を指定する例を示します。
確認検査の実行
DAI は、IP アドレスと MAC アドレスとの無効なバインディングを持つ ARP パケットを代行受信、記録、および廃棄します。宛先 MAC アドレス、送信側および宛先の IP アドレス、および送信元 MAC アドレスで追加検証を実行するように、スイッチを設定できます。
着信 ARP パケットで特定の検査を実行するには、次の作業を行います。
検証をディセーブルにするには、 no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ] グローバル コンフィギュレーション コマンドを使用します。転送、ドロップ、MAC 確認の失敗、および IP 確認の失敗パケットの統計情報を表示するには、 show ip arp inspection statistics 特権 EXEC コマンドを使用します。
次に、送信元 MAC 確認を設定する例を示します。イーサネット ヘッダー内の送信元アドレスが ARP ボディ内の送信側ハードウェア アドレスに一致しない場合、パケットはドロップされ、エラー メッセージが生成される可能性があります。
フィードバック