Cisco IOS IP アドレッシングサービスコンフィギュレーションガイドリリース 15.1S

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

ご利用いただける言語

Download Options

Book Title

Cisco IOS IP アドレッシングサービスコンフィギュレーションガイドリリース 15.1S

Chapter Title

ARP 情報のモニタリングおよびメンテナンス

PDF - Complete Book (5.54 MB) PDF - This Chapter (584.0 KB)
View with Adobe Reader on a variety of devices

検索結果

Updated:: 2017年6月2日

章のタイトル： ARP 情報のモニタリングおよびメンテナンス

機能情報の検索
目次
ARP 情報のモニタおよびメンテナンスに関する制約事項
- ARP ハイアベイラビリティ
- ARP 攻撃に対する ARP セキュリティ
ARP 情報のモニタおよびメンテナンスについて
ARP 情報のモニタリングおよびメンテナンスの方法
ARP 情報のモニタリングおよびメンテナンスの設定例
- 学習した ARP テーブルエントリに対する最大制限の設定：例
- 学習した ARP テーブルエントリに対する最大制限の表示：例
参考資料
ARP 情報のモニタおよびメンテナンスの機能情報
用語集

ARP 情報のモニタリングおよびメンテナンス

この ARP 情報のモニタリングおよびメンテナンス機能のマニュアルでは、ARP 情報のモニタリングおよびメンテナンスに関連する手順について説明します。

Address Resolution Protocol（ARP; アドレス解決プロトコル）は、IP アドレスの MAC アドレスへのマッピングに使用されるインターネットプロトコルです。ARP は、IP ルーテッドホストの MAC アドレス（ハードウェアアドレスとも呼ばれる）を既知の IP アドレスから検索し、このマッピング情報をテーブルに保持します。ルータはこの IP アドレスおよび MAC アドレスのマッピング情報を使用してネットワークのネクストホップルータに IP パケットを送信します。

ARP 情報のモニタリングおよびメンテナンス機能は、Cisco IOS 環境で ARP をサポートするための管理ツールを次のように改善します。

• ARP 分析アクティビティのサポート強化のため、ARP 管理ファシリティは ARP 情報の詳細を提供し、ARP 情報をきめ細かに制御します。この情報は、ARP パケットトラフィック、ARP High Availability（HA; ハイアベイラビリティ）、または Cisco Express Forwarding 隣接の ARP 同期に関する問題の調査に使用できます。

• ARP デバッグトレースファシリティにより、ARP イベントの個々のタイプごとに ARP パケットのデバッグをトレースできます。ARP デバッグでは、指定したインターフェイスまたはアクセスリストに一致するホスト、あるいはその両方に対して ARP エントリをフィルタリングします。

• ARP 攻撃に対するセキュリティ強化を目的として、可能性のある異常をネットワーク管理者に警告するためにトラップベースでイネーブルにする ARP システムメッセージロギングをインターフェイスごとに設定できます。

• メモリの使い切りによりシステムが不安定になる可能性を防ぐため、システムが学習できる ARP エントリ数を制限できます。この機能は、Cisco 7600 プラットフォームの Cisco IOS Release 12.2(33)SRD3 以降からのみでサポートされます。

ARP 情報のモニタリングおよびメンテナンスのこれらの追加機能に関する設定作業はありません。この機能で導入された ARP 関連の拡張機能は、既存の ARP 管理作業を拡張したものです。

機能情報の検索

ご使用のソフトウェアリリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェアリリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「ARP 情報のモニタおよびメンテナンスの機能情報」を参照してください。

プラットフォームのサポートと、Cisco IOS および Catalyst OS ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。 Cisco.com のアカウントは必要ありません。

ARP 情報のモニタおよびメンテナンスに関する制約事項

Cisco IOS Release 12.4(11)T では、ARP 情報のモニタリングおよびメンテナンス機能に、次の各項で説明する制約事項が適用されます。

• 「ARP ハイアベイラビリティ」

• 「ARP 攻撃に対する ARP セキュリティ」

ARP ハイアベイラビリティ

ARP サブシステムは、デュアル Route Processor（RP; ルートプロセッサ）をサポートするシスコネットワーキングデバイスに対し、冗長性処理機能を提供する ARP HA をサポートします。ただし、ARP HA は、ダイナミックに学習した ARP エントリのアクティブ RP からスタンバイ RP への同期に制限されます。スタティックに設定された ARP エントリはスタンバイ RP に同期されません。

ARP 攻撃に対する ARP セキュリティ

ARP サブシステムは、特定のインターフェイスでの ARP テーブルエントリ数のモニタリングによる、可能性のある ARP 攻撃の検出方法をサポートします。ただし、ルータレベルのセキュリティ機能では、Man-in-the-Middle（MiM）タイプの ARP スプーフィング攻撃を防止できません。これは盗聴による攻撃の一種で、攻撃者が通信データを傍受したり選択的に変更したりして、通信関連の 1 つ以上のエンティティになりすますものです。このセキュリティ問題を解決するために実装する ARP 機能はありません。ARP 攻撃からルータを保護するには、ルータレベルではなくスイッチで ARP Access Control List（ACL; アクセスコントロールリスト）フィルタを使用するのが最適な方法です。

ARP 情報のモニタおよびメンテナンスについて

ARP 情報のモニタリングおよびメンテナンスを開始する前に、次の概念を理解する必要があります。

• 「ARP 情報のモニタおよびメンテナンスの概要」

• 「アドレス解決プロトコル」

• 「ARP テーブル」

• 「ARP テーブルエントリモード」

• 「ARP テーブルエントリサブブロック」

• 「ARP テーブルエントリと Cisco Express Forwarding 隣接の同期」

• 「インターフェイスごとの ARP テーブルサイズモニタリング」

• 「ARP ハイアベイラビリティ」

ARP 情報のモニタおよびメンテナンスの概要

ARP 情報のモニタリングおよびメンテナンス機能により、Cisco IOS 環境で ARP をサポートするための管理ツールを改善します。ARP 機能全体の詳細については、「参考資料」を参照してください。次の各項では、Cisco IOS Release 12.4(11)T で導入された ARP サブシステム拡張機能の概要を説明します。

ARP 情報表示拡張機能

ARP 情報表示機能は、選択した ARP エントリ、ARP エントリの詳細、および他の ARP 情報の表示をサポートするように拡張されました。

選択した ARP エントリの表示

表示する ARP テーブルのエントリは、次の基準に基づいて選択できます。

• Virtual Private Network Routing and Fowarding（VRF; VPN ルーティングおよび転送）インスタンス

• ARP モードタイプ

• ホストまたはネットワーク

• ルータインターフェイス

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 show arp コマンドは ARP テーブル全体を表示します。

ARP エントリの詳細の表示

次の ARP 情報の詳細を表示できます。

• 隣接の通知：この情報は、ARP パケットトラフィック、ARP HA、または Cisco Express Forwarding 隣接の ARP 通知に関する問題の調査に使用できます。ARP サブシステムが ARP エントリと Cisco Express Forwarding 隣接を同期する必要がある場合、関連するエントリが表示されるときにはこの情報も含まれます。

• 浮動スタティック ARP エントリの関連インターフェイス：ARP サブシステムが、浮動スタティック ARP エントリの関連インターフェイスの検索に成功した場合、関連するエントリが表示されるときにはこの情報も含まれます。

• アプリケーションのサブブロック：アプリケーション特有の ARP エントリを表示する場合、サブブロックデータの情報も表示に含められます。

Cisco IOS Release 9.0 で導入された show ip arp コマンドを使用すると、指定した基準（IP アドレス、インターフェイス、またはハードウェアアドレス）に基づいた特定の ARP テーブルエントリのみを表示できます。ただし、このコマンドは ARP エントリモード、Cisco Express Forwarding 隣接の通知情報、または浮動スタティック ARP エントリの関連インターフェイスは表示しません。

他の ARP 情報の表示

ARP テーブルのエントリの内容以外にも次の ARP 情報を表示できます。

• ARP テーブルの要約統計情報：モードタイプごとおよびインターフェイスごとのテーブルのエントリ数。

• ARP HA のステータスおよび統計情報：RP の現在のステートおよび最近のアクティビティに基づいてさまざまなタイプのスイッチオーバー統計情報が表示されます。

ARP 情報更新拡張機能

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 clear arp コマンドは、ARP テーブル内のすべての非スタティックエントリを更新します。ARP 情報更新ファシリティにより、次の選択した ARP 情報を管理できるようになります。

• すべての非スタティック ARP テーブルエントリを更新

• 特定のインターフェイスに関連付けられた非スタティック ARP テーブルエントリを更新

• 特定の VRF の特定の IP アドレスに対する非スタティック ARP テーブルエントリを更新

• ARP HA 統計情報をリセット

ARP デバッグトレース拡張機能

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 debug arp コマンドは、ARP パケットトラフィックのみの情報のデバッグをサポートします。現在、ARP デバッグトレースファシリティは、ARP デバッグトレースに対してより細かい選択およびフィルタリングオプションを提供しています。

選択した ARP イベントに対するデバッグトレース

次のタイプの ARP イベントに対して ARP デバッグ情報をイネーブルにできます。

• ARP テーブルエントリイベント

• ARP テーブルイベント

• ARP インターフェイスインタラクション

• ARP HA イベント

インターフェイスまたはアクセスリストによるデバッグトレースフィルタリングのサポート

debug arp コマンドは、 debug list コマンドが定義するとおりのデバッグトレースフィルタリングをサポートします。この拡張機能により、ARP デバッグ情報は、特定のルータインターフェイスまたは IP アドレスのアクセスリスト、あるいはその両方に基づいて目的のデバッグ情報に焦点を当てられるようになります。

ARP セキュリティ拡張機能

ARP システムメッセージロギング（syslog）出力をトラップベースでイネーブルに設定する場合、ルータは各インターフェイスに対するダイナミックに学習された ARP テーブルエントリの数をモニタし、特定のインターフェイスに対する学習した ARP エントリ数が事前設定値を超えるたびに ARP ロギングをトリガーします。

このような syslog トラップは、（Simple Network Management Protocol（SNMP; 簡易ネットワーク管理プロトコル）などのプロトコルを介して）その後でネットワーク管理者に警告できます。警告には、関連するインターフェイス ID およびそのインターフェイスを経由して学習された ARP エントリの数も含まれます。その後管理者は、設定したしきい値にまで ARP テーブルが拡大した理由を調査して、可能性のあるセキュリティ違反を解決することに必要なアクションを実行できます。または、より頻繁な更新からインターフェイスポートのシャットダウンまで、ルータは重大度に基づいた自己防衛アクションを自動で実行できます。

（注）このルータレベルのセキュリティ機能は、MiM ARP スプーフィング攻撃の検出には役立ちますが、このような攻撃を防ぐことはできません。このセキュリティ問題を解決するために実装する ARP 機能はありません。ARP 攻撃からルータを保護するには、ルータレベルではなくスイッチで ARP-ACL フィルタを使用するのが最適な方法です。

アドレス解決プロトコル

ARP は、RFC 826 に定義されているように、インターネットワークでの通信を可能にするために開発されました。IP アドレスを MAC ハードウェアアドレスにマッピングして、IP パケットがネットワーク全体で送信可能にするためにルータおよびレイヤ 3 スイッチは ARP を必要とします。次の各項では、ARP の背景情報を説明します。

• 「ARP ブロードキャストと応答プロセス」

• 「ARP のキャッシング」

ARP ブロードキャストと応答プロセス

デバイスがデータグラムを他のデバイスに送信する前に、デバイスは自分の ARP 情報を見て宛先デバイスの MAC アドレスおよび対応する IP アドレスがあるかを確認します。エントリがない場合、送信元デバイスはブロードキャストメッセージをネットワーク上のすべてのデバイスに送信します。各デバイスは、IP アドレスを自身のものと比較します。一致した IP アドレスを持つデバイスのみが、送信側デバイスにデバイスの MAC アドレスを含むパケットで応答します。送信元デバイスは、以後の参照用に宛先デバイスの MAC アドレスを自身の ARP テーブルに追加し、パケットをカプセル化するデータリンクヘッダーとトレーラーを作成して、データ転送に進みます。

宛先デバイスが、別のルータをはさんだリモートのネットワーク上にある場合、送信デバイスがデフォルトゲートウェイの MAC アドレスの ARP 要求を送信する点を除き、プロセスは同じです。アドレスが解決され、デフォルトゲートウェイがパケットを受信すると、デフォルトゲートウェイは接続されているネットワークへ宛先 IP アドレスをブロードキャストします。宛先デバイスネットワーク上のルータは、ARP を使用して宛先デバイスの MAC アドレスを取得して、パケットを配信します。

ARP のキャッシング

IP アドレスの MAC アドレスへのマッピングは、ネットワーク上の各ホップ（ルータ）でインターネットワークで送信されるデータグラムすべてに対して実行されるため、ネットワークのパフォーマンスが低下する場合があります。ブロードキャストを最小限にしてネットワークリソースの無駄な使用を制限するため、ARP キャッシングが実装されました。

ARP のキャッシングは、アドレスを学習しながら、ネットワークアドレスおよび関連付けられたデータリンクアドレスをメモリに一定期間保存する方法です。これにより、データグラムが送信されるたびに同じアドレスをブロードキャストすることによる貴重なネットワークリソースの使用を最小限に抑えられます。情報が古くなる可能性があるため、キャッシュエントリはメンテナンスする必要があります。このため、キャッシュエントリが定期的に期限切れとなるように設定することが大切です。ネットワーク上の各デバイスは、アドレスがブロードキャストされると自身のテーブルを更新します。

ARP テーブル

ARP テーブルは、Cisco ルータが学習および設定したルートマッピング情報をキャッシュするデータベースです。ARP テーブルの各エントリは、ローカル IP アドレス（ルータの所有するデバイスを示す）またはリモートホスト IP アドレス（外部デバイスを示す）のいずれかに関連付けられます。エントリの内容は次の ARP-intrinsic 情報を定義します。

• ポートの 32 ビット IP アドレスと 48 ビット MAC アドレスの関連付け

• Cisco IOS 環境の ARP をサポートするために必要な他の情報（リンクタイプ、VRF テーブル ID、カプセル化方式など）

ルータが Cisco Express Forwarding などの IP スイッチングテクノロジーを使用してパケットを転送する場合、ARP テーブルエントリは、MAC 書き換え情報を提供します。

ARP テーブルエントリモード

ARP テーブルの各エントリにはモードタイプが指定されています。ARP サブシステムは、基本 ARP テーブルエントリモードをサポートし、また、新しいアプリケーション特有のモードも導入しています。

基本 ARP テーブルエントリモード

ARP サブシステムでは、次のような基本 ARP テーブルエントリモードを使用して、ARP-internal 処理用に ARP エントリを整理します。

• エイリアス：このモードは、管理者がローカル IP アドレス、サブネットマスク、ゲートウェイ、および対応する MAC アドレスを明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュテーブルに無期限で保存されます。同じネットワークの他のデバイスと定期的に通信する必要があるローカルアドレスに最適です。

• ダイナミック：このモードは、ARP 要求によって開始され、外部ホストに関連付けられた、ダイナミックに学習されたエントリに割り当てられます。ダイナミック ARP エントリは、Cisco IOS ソフトウェアにより自動的に追加されて一定期間メンテナンスされ、その後削除されます。時間制限が追加された場合を除き、管理作業は不要です。デフォルトの時間制限は 4 時間です。キャッシュに追加またはキャッシュから削除されるルートがネットワークに多数ある場合は、時間制限を調整する必要があります。ダイナミック ARP エントリが「完全」と見なされるのは、ARP 応答により提供される外部ホストの MAC アドレスがエントリに含まれるときです。

• 不完全：このモードは、ダイナミック ARP エントリの過渡的なモードです。このモードは、エントリが ARP 要求で開始され、外部ホストに関連付けられたが、MAC アドレスが含まれていないことを示します。

• インターフェイス：このモードは、インターフェイスから取得したローカル IP アドレスのエントリに割り当てられます。

• スタティック：このモードは、管理者が外部 IP アドレス、サブネットマスク、ゲートウェイ、および対応する MAC アドレスを明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュテーブルに無期限で保存されます。同じネットワークの他のデバイスと定期的に通信する必要がある外部デバイスに最適です。スタティック ARP エントリは、設定時にインターフェイスと一切関連付けられなかった場合は「浮動」と呼ばれます。

ダイナミックに学習されたルートの有効性を維持するために、ARP サブシステムはダイナミック ARP エントリを定期的（設定どおりまたはデフォルトの 4 時間ごと）に更新します。これにより、変更、エージングアウト、または削除されたダイナミックルートがあれば ARP テーブルに反映されます。

スタティックに設定されたルートの有効性を維持するために、ARP サブシステムはスタティック ARP エントリおよびエイリアス ARP エントリを 1 分間ごとに 1 回更新します。これにより、変更または削除されたスタティックに設定されたルートがあれば ARP テーブルに反映されます。

アプリケーション特有の ARP テーブルエントリモード

ARP サブシステムは、アプリケーション特有の ARP テーブルエントリモードを使用して、ソリューションのために ARP テーブルエントリを追加する必要のあるアプリケーションをサポートします。ARP アプリケーションは、ARP サブシステムに登録してアプリケーションタイプハンドルを取得できます。このハンドルを使用すれば、アプリケーションは次の適切なアプリケーション特有のエントリモードで ARP エントリを挿入できます。

• シンプルアプリケーション：このモードは、外部デバイスを示すアプリケーションで作成されたエントリに割り当てられます。

• アプリケーションエイリアス：このモードは、ローカルアドレスに関連付けられたアプリケーションで作成されたエントリに割り当てられます。

• アプリケーションタイマー：このモードは、外部デバイスに関連付けられたアプリケーションで作成されたエントリに割り当てられます。ARP サブシステムは、このモードのエントリを作成するアプリケーションにタイマーベースのサービスを提供します。

アプリケーション特有のエントリは期限切れしませんが、代わりにアプリケーションによってメンテナンスされます。

ARP テーブルエントリサブブロック

ARP エントリサブブロック構造では、非 ARP-intrinsic データを選択した ARP エントリに付加できます。ARP テーブルに挿入された ARP エントリが特別な ARP-internal 処理を必要とする場合、特別な処理を実行するプロセスが必要とする情報は、ARP エントリに付加したサブブロックに定義されます。

ARP サブシステムは、必要に応じてサブブロックを次のタイプの ARP エントリに付加します。

• エイリアス、ダイナミック、およびスタティック ARP エントリ：定期更新操作を連係して行う ARP タイマープロセスが必要な情報を指定するために、これらのタイプのエントリすべてにサブブロックが付加されます。これにより、エントリで定義された IP アドレスと MAC アドレス間の関連付けの有効性が確実になります。

• インターフェイス ARP エントリ：インターフェイスに関する情報を格納するために、すべてのインターフェイス ARP エントリにサブブロックが付加されます。

• シンプルアプリケーション、アプリケーションエイリアス、およびアプリケーションタイマーエントリ：ARP エントリを作成するアプリケーションには、作業に必要なアプリケーション特有のデータを含められます。データとは、タイマーサービスのためのタイマー構造や関連するサブブロックをグループ化するためのデータ構造ポインタなどです。

ARP テーブルエントリと Cisco Express Forwarding 隣接の同期

Cisco Express Forwarding がルータでイネーブルの場合、ルータは隣接ノードの転送情報（発信インターフェイスおよび MAC ヘッダー書き換え）を保持します。リンクレイヤ（レイヤ 2）を介して単一ホップで別のノードに到達できるノードは、別のノードと隣接関係と呼ばれます。Cisco Express Forwarding では、転送情報を隣接データベースに格納するため、レイヤ 2 のアドレス情報を、ARP パケットに付加されるリンクレイヤヘッダーに挿入できます。

ARP テーブル情報は、Cisco Express Forwarding 隣接のソースの 1 つです。ARP サブシステムが ARP テーブルエントリを有効なハードウェアアドレスを保持する発信インターフェイスに付加するたびに、サブシステムは、内部「ARP 隣接」通知を発行します。この通知により、ARP バックグラウンドプロセスは、隣接するデータベースを介して ARP エントリと Cisco Express Forwarding 隣接を同期します。

発信インターフェイスへの付加は、次のモードのエントリのみで発生します。

• エイリアス

• ダイナミック

• 浮動スタティック

• シンプルアプリケーション

• アプリケーションタイマー

ARP サブシステムは、エントリ内の IP アドレスを使用して接続されたインターフェイスまたはプロキシ ARP インターフェイスを見つけることにより、各浮動スタティック ARP エントリを処理して付加されたインターフェイスを検索します。このインターフェイス情報を追加することで ARP エントリは完全になり、ARP エントリは Cisco Express Forwarding 隣接と同期できるようになります。

インターフェイスごとの ARP テーブルサイズモニタリング

ARP プロトコルは、ルータシステムの攻撃手段として使用される場合があります。ARP 攻撃方法の 1 つであるスプーフィングは、ホストの ID を偽造するためにメディアに仕掛けられます。Cisco IOS ルータには、ルータ自体のインターフェイスアドレスを保護するための自己防衛スキームが実装されています。セキュア ARP や許可 ARP 学習などの他の機能も ARP 学習の範囲を制限するために Cisco IOS の一部のリリースに実装されています。

もう 1 つの ARP 攻撃方法に Denial-of-Service（DoS; サービス拒絶）があります。たとえば、ARP パケットを処理する CPU が処理しきれなくなるようにしたり、ARP パケットから作成される ARP テーブルエントリによってシステムメモリを枯渇させようとする目的でルータに ARP パケットを送信してネットワークのサービス停止を起こします。高いレートの着信 ARP パケットは、ARP 入力キューをすぐに満杯にもし、また最大デフォルト容量またはルータに設定された容量を超過して、サービス停止状態を起こします。

ルータへの ARP 攻撃を通じた可能性のあるセキュリティ違反の試みを検出する方法の 1 つに、ARP テーブルのサイズをモニタして、設定したしきい値にエントリ数が達したときに警告をトリガーする方法があります。しかし、ARP テーブルの全体サイズを単に制限しても、有効な ARP パケットと不正なパケットを区別するのは困難です。着信パケットをより正確に確認するために、ARP サブシステムは、インターフェイスレベルで ARP テーブルサイズをモニタします。ルータが使用するノード数およびインターフェイス上のホスト数に基づいて、予期されるインターフェイス固有の最大エントリ数を決定できます。インターフェイスに対する ARP テーブルエントリ数が事前に決定されたしきい値を超える場合、この状況はルータへの ARP 攻撃を通じたセキュリティ違反の試みを示す可能性があります。

ARP ハイアベイラビリティ

ARP HA は、Cisco IOS ソフトウェアの Cisco Nonstop Forwarding（NSF; ノンストップフォワーディング）の機能です。デュアル RP が含まれ、Stateful Switchover（SSO; ステートフルスイッチオーバー）が設定されたシスコネットワーキングデバイスでは、ARP HA が ARP エントリ処理用にネットワークのアベイラビリティを向上させる方法を提供します。

この項では、次の ARP HA を実装するために、ARP サブシステムが使用する内部プロセスおよびデータ構造の概要を説明します。

• 「ステートフルスイッチオーバーとの共存」

• 「同期キュー」

• 「バックアップ ARP テーブル」

• 「ARP HA ステートマシン」

ステートフルスイッチオーバーとの共存

デュアル RP をサポートするシスコネットワーキングデバイスでは、ARP は Cisco IOS ソフトウェアで Stateful Switchover（SSO; ステートフルスイッチオーバー）機能を使用します。SSO は、多くの Cisco IOS アプリケーションおよび機能に冗長性と同期を提供します。SSO は、RP の 1 つをアクティブプロセッサとして確立する一方でもう 1 つの RP をスタンバイプロセッサとして指定してから重要なステート情報を両者間で同期させることによって、RP の冗長性を活用します。

2 つのプロセッサ間の最初の同期に続いて、SSO は RP のステート情報をプロセッサ間でダイナミックに保持します。アクティブ RP に障害が発生したとき、アクティブ RP がネットワーキングデバイスから削除されたとき、またはメンテナンスのために手動で停止されたときに、アクティブプロセッサからスタンバイプロセッサへのスイッチオーバーが発生します。

同期キュー

アクティブ RP は、ARP テーブルエントリの次の 2 つのリストが含まれている同期キューを保持します。

• メイン ARP テーブルからの ARP エントリで、スタンバイ RP にこれから同期する ARP エントリ

• メイン ARP テーブルからの ARP エントリで、すでにスタンバイ RP に同期された ARP エントリ

（注）同期キューは、メイン ARP テーブルエントリへの 2 つのリンクリストから構成されます。

スイッチオーバーが発生すると、ARP HA プロセスはまだ同期されていないエントリのリストを使用して、新しいスタンバイ RP（元アクティブ RP）の中の冗長性 ARP テーブルのいずれのエントリをメイン ARP テーブルと同期させるかを決定します。

スタンバイ RP がリロードした場合、ARP HA プロセスは、スタンバイ RP のリブート時に、同期キュー全体（両方のリストのエントリ）をスタンバイ RP とバルク同期します。

バックアップ ARP テーブル

スタンバイ RP はバックアップ ARP テーブルを保持します。ここには、スタンバイ RP がアクティブ RP から受信するバックアップ ARP エントリを格納します。スイッチオーバー中、ARP HA プロセスはインターフェイスアップイベントをモニタします。起動したインターフェイスに対して、ARP HA プロセスは関連する ARP エントリに対する新しいアクティブ RP（元スタンバイ RP）をバックアップテーブルから検索します。その後、ARP HA プロセスは、関連するバックアップ ARP エントリをすべてメイン ARP テーブルに追加します。

ARP HA ステートマシン

ARP HA プロセスはイベント駆動の 2 つの半分から構成されるステートマシンによって制御されます。1 つの半分はアクティブ RP 用、もう 1 つの半分はスタンバイ RP 用です。スイッチオーバーが発生すると、スタンバイ RP はステートマシンのアクティブの半分に移行します。ステートマシンは、アクティブ/スタンバイの同期およびスイッチオーバーのステータスを追跡します。

ステートマシンのアクティブの半分は、次のステートのいずれかになれます。

• ARP_HA_ST_A_BULK：バルク同期操作が送信したエントリの処理が終了したことをスタンバイ RP が合図することをアクティブ RP が待っている過度的なステート。

• ARP_HA_ST_A_SSO：新しいアクティブ RP が合図が正常に動作するようになることを待っている過度的なステート。

• ARP_HA_ST_A_UP：アクティブ RP がエントリをスタンバイ RP に送信しないアクティブステート。スタンバイ RP がまだ起動しない場合、または前の同期に失敗した場合にアクティブ RP はこのステートに移行します。

• ARP_HA_ST_A_UP_SYNC：アクティブ RP が同期キューからエントリをスタンバイ RP に送信するアクティブステート。同期するエントリ数がしきい値に達した場合、または同期タイマーが期限切れになった場合のいずれかが先に発生すると、アクティブ RP はこのステートに移行します。

ステートマシンのスタンバイの半分には、次のステートが含まれます。

• ARP_HA_ST_S_BULK：スタンバイ RP がバルク同期操作が送信したエントリを処理する過度的なステート。アクティブ RP がエントリ送信を終了したことを合図した後で、スタンバイ RP は、ARP_HA_ST_S_UP ステートに移行し、その後スタンバイ RP はアクティブ RP にバルク同期操作が送信したエントリの処理が終了したことの合図を返します。

• ARP_HA_ST_S_UP：スタンバイ RP がアクティブ RP からのインクリメンタル ARP 同期エントリを処理するアクティブステート。スイッチオーバーが発生すると、スタンバイ RP は ARP_HA_ST_A_SSO ステートに移行します。

RP のステートおよび最近のアクティビティは、ARP HA アクティビティのモニタリング用に表示できます。

ARP 情報のモニタリングおよびメンテナンスの方法

ここでは、次の手順について説明します。

• 「ARP テーブルエントリ情報の表示」（任意）

• 「ARP HA ステータスおよび統計情報の表示」（任意）

• 「ダイナミックに学習した ARP テーブルエントリの更新」（任意）

• 「学習した ARP テーブルエントリに対する最大制限の設定」（任意）

• 「ARP HA 統計情報のリセット」（任意）

• 「ARP トランザクションのデバッグトレースのイネーブル化」（任意）

• 「インターフェイス上の学習したエントリ数についての ARP トラップのイネーブル化」（任意）

ARP テーブルエントリ情報の表示

ARP テーブルエントリ情報を表示するには、 show arp summary 、 show arp 、および show arp application コマンドを使用します。

• ステップ 2 は、ARP テーブルの内容の概要表示をすることに有用です。

• ステップ 3 およびステップ 4 は、すべての ARP テーブルエントリおよびあればエントリサブブロックの内容を表示することに有用です。

• ステップ 5 は、ARP がサポートしていて登録済みクライアント上で実行中の外部アプリケーションについての ARP テーブル情報を表示することに有用です。

手順の概要

1. enable

2. show arp summary

3. show interfaces [ summary ]

4. show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]]
[ detail ]

5. show arp application [ application-id ] [ detail ]

手順の詳細

ステップ 1 enable

このコマンドは特権 EXEC モードをイネーブルにします。

Router> enable

ステップ 2 show arp summary

このコマンドは ARP テーブルエントリの合計数、ARP エントリモードごとの ARP テーブルエントリ数、およびルータ上のインターフェイスごとの ARP テーブルエントリ数を表示します。

Router# show arp summary

Total number of entries in the ARP table: 10.

Total number of Dynamic ARP entries: 4.

Total number of Incomplete ARP entries: 0.

Total number of Interface ARP entries: 4.

Total number of Static ARP entries: 2.

Total number of Alias ARP entries: 0.

Total number of Simple Application ARP entries: 0.

Total number of Application Alias ARP entries: 0.

Total number of Application Timer ARP entries: 0.

Interface Entry Count

Ethernet3/2 1

Ethernet3/1 4

Ethernet3/0 3

ステップ 3 show interfaces [ summary ]

このコマンドは、ルータまたはアクセスサーバに設定されているすべてのインターフェイスをリスト表示します。有効なインターフェイスのタイプおよび数は、ルータおよびルータ上のインターフェイスによって異なります。特定のルータに設定されているすべてのインターフェイスをリスト表示するには、 show interfaces コマンドに summary キーワード加えて使用します。この情報は、特定のルータインターフェイスの ARP テーブルエントリを表示する場合に有用です。

Router# show interfaces summary

*: interface is up

IHQ: pkts in input hold queue IQD: pkts dropped from input queue

OHQ: pkts in output hold queue OQD: pkts dropped from output queue

RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec)

TXBS: tx rate (bits/sec) TXPS: tx rate (pkts/sec)

TRTL: throttle count

Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL

-------------------------------------------------------------------------

FastEthernet1/0 0 0 0 0 0 0 0 0 0

ATM2/0 0 0 0 0 0 0 0 0 0

* Ethernet3/0 0 0 0 0 0 0 0 0 0

* Ethernet3/1 0 0 0 0 0 0 0 0 0

* Ethernet3/2 0 0 0 0 0 0 0 0 0

Ethernet3/3 0 0 0 0 0 0 0 0 0

Serial4/0 0 0 0 0 0 0 0 0 0

Serial4/1 0 0 0 0 0 0 0 0 0

Serial4/2 0 0 0 0 0 0 0 0 0

Serial4/3 0 0 0 0 0 0 0 0 0

Fddi5/0 0 0 0 0 0 0 0 0 0

* Loopback0 0 0 0 0 0 0 0 0 0

ステップ 4 show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]] [ detail ]

このコマンドは、すべての ARP テーブルエントリまたは任意の選択基準を満たす ARP テーブルエントリのみを表示します。

ヒント 有効なインターフェイスのタイプおよび数は、ルータおよびルータ上のインターフェイスによって異なります。show arp コマンド内の interface-type 引数および interface-number 引数を置換するには、適切なインターフェイス仕様を使用して、show interfaces コマンド出力の Interface カラムに表示されるものとまったく同じになるように入力します。

Router# show arp vrf vrf1 dynamic 209.165.200.225 e3/1 detail

ARP entry for 209.165.200.225, link type IP.

Dynamic, via Ethernet3/1, last updated 147 minutes ago.

Encap type is ARPA, hardware address is 0050.d173.e881, 6 bytes long.

ARP subblocks:

* Dynamic ARP Subblock

Entry will be refreshed in 109 minutes and 52 seconds.

It has 2 chances to be refreshed before it is purged.

Entry is complete.

* IP ARP Adjacency

Adjacency (for 209.165.200.225 on Ethernet3/1) was installed.

Connection ID: 0

ステップ 5 show arp application [ application-id ] [ detail ]

このコマンドは、特定の ARP アプリケーションの ARP テーブル情報、または ARP がサポートしていて登録済みクライアント上で実行中のすべてのアプリケーションの ARP テーブル情報を表示します。

Router# show arp application detail

Number of clients registered: 8