Configuring Dynamic ARP Inspection(7回目)
目次
はじめに
今回も前回に引き続いて設定例をみていきます。
Configuration Example (DAI for Non-DHCP Environments)
DHCPを使用していない環境でDynamic ARP inspectionを使用するときの設定例
です。
Switch# conf t
Switch(config)# arp access-list ARP_ACL
Switch(config-arp-acl)# permit ip host 172.16.1.1 mac host 1234.5678.9abc
Switch(config-arp-acl)# exit
まず許可したいARPを指定します。ここで指定しているのはARPパケットの送信
元のIPアドレスと送信元のMACアドレスです。
Switch(config)# ip arp inspection filter ARP_ACL vlan 1
Switch(config) interface fa 0/1
Switch(config)# no ip arp inspection trust
Switch(config)# end
次に設定したARP ACLをVLANに適用します。最後に、ARP ACLを適用したVLANに
属するポートをuntrustedにします。untrustedのポートでARPが受信されると、
ARP ACLでチェックされpermitされていれば転送されます。
Limiting ARP Packet Configuration Example
受信するARPパケットのrate limitをおこなうときの設定例です。
Switch# conf t
Switch(config)# interface fa 0/1
Switch(config-if)# ip arp inspection limit rate 30
Switch(config-if)# exit
limitさせるrateを指定します。デフォルトは15ppsです。設定したrateを上回
ると、そのポートはerror-disabledとなります。
Switch(config)# errdisable recovery cause arp-inspection interval 30
このコマンドでerror-disableとなったポートを自動復旧させることができま
す。デフォルトでは300秒です。
Validation Check Configuration Example
ARPパケットの中身をチェックするときの設定例です。
Switch# conf t
Switch(config)# ip arp inspection validation src-mac dst-mac
受信したARPパケットのどこをチェックするかを設定します。例では、src-mac
とdst-macをチェックしていますが、受信したARPがrequestかresponseかでチ
ェックされるかどうかが決まります。
src-macはrequestとrespnseの両方でチェックされますが、dst-macはresponse
のみでチェックされます。Requestのdst-macはブロードキャストなのでチェッ
クされないというわけです。
Switch(config)# ip arp inspection validation ip
Switch(config)# end
ちなみに、src-macとdst-macの設定を行った後、追加でIPもチェックすること
になった場合、上のようなコマンドで設定を入れるとsrc-macとdst-macはIPに
上書きされ、結果的にはIPだけしかチェックされなくなってしまうので、注意
が必要です。
IPも含めてチェックしたい場合は、再度すべてのキーワードを指定してコマン
ドを入れます。
Switch(config)# ip arp inspection validation src-mac dst-mac ip
このように設定すれば、src-mac、dst-mac、IPの全てがチェックされるように
なります。
Log Buffer Configuration Example
ログバッファを設定するときの設定例です。
Switch# conf t
Switch(config)# ip arp inspection log-buffer entries 64 log 10 interval 1
Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog
Switch(config)# end
ログバッファのデフォルトのエントリ数は32です。ロギングするパケットは、
デフォルトはドロップされたパケットですがここではARP ACLのlogオプション
が付いているACEにヒットしたパケットをロギングする設定にしています。
ロギングのやり方はVLANごとに変えることも可能です。
Switch(config)# ip arp inspection vlan 2 logging acl-match none
別のVLANでacl-match noneと指定した場合は、ACEにマッチしなかったパケッ
トがロギングされます。
Dynamic ARP inspectionについての設定例は以上になります。
By 『Overseas and Beyond』 Koichi