Configuring Dynamic ARP Inspection(3回目)
目次
はじめに
前回まではインタフェースのtrust、untrustの話と設定について少しだけお勉
強しました。
今回はより詳細な設定のやり方についてみていきます。
Dynamic ARP Inspection Configuration Guidelines
Dynamic ARP inspectionを設定する際のガイドラインを以下に示します。
- Dynamic ARP inspectionはingressのみのセキュリティ機能です。Egressの
パケットをチェックすることはできません。 - Dynamic ARP inspectionは、Dynamic ARP inspectionを動作させてない、ま
たは無効になっているスイッチに接続されているホストに対しては効果があ
りません。
man-in-the-middle attackはブロードキャストドメイン内に限られるので、
Dynamic ARP inspectionを行っているスイッチと行っていないスイッチを別
のドメインに分けます。これにより、Dynamic ARP inspectionを行っている
スイッチ配下のホストを保護できます。 - Dynamic ARP inspectionはIPとMACアドレスのbindingをチェックするために
DHCP snooping binding databaseに依存します。DHCP snoopingをdisabled
にしていたり、DHCPの環境ではない場合はARP ACLを使ってARPパケットを許
可したり拒否したりします。 - Dynamic ARP inspectionはaccess ports、trunk ports EtherChannel ports、
private VLAN portsで設定できます。 - 物理ポートはChannelポートの信頼状態が一致する場合のみEtherChannelポ
ートに参加できます。そうでない場合は物理ポートはChannelへの参加がsuspend
されます。Port Channelは、Channelに参加した最初の物理ポートの信頼状
態を継承するので、最初の物理ポートの信頼状態はChannelの信頼状態と一
致する必要はありません。反対に、Port Channelの信頼状態を変更した場合、
スイッチはChannelを構成するすべての物理ポート上であたらしい信頼状態
を設定します。 - Port ChannelのARP rateは全ての物理ポートが累計されます。例えば、
Port Channelのrate-limitを400ppsにした場合Port Channel上の全てのイン
タフェースで受信された総計が400ppsとなります。
EtherChannelポートのARPパケットのrateは、Channel memberのrateの合計
と同じになります。物理ポートのrateは、物理ポートの設定ではなくPort Channel
の設定に対してチェックされます。Port Channelのrate設定は物理ポートの
設定とは関係ありません。EtherChannelに設定したrateを超えるARPパケッ
トを受信した場合、すべての物理ポートがerror-disabled stateになります。 - Trunk portsでのARP rate-limitを確実に設定してください。Trunk portsで
のrateは、複数のDynamic ARP inspectionが有効にされているVLANが存在す
るので、その分のパケットを扱えるように高いrateを反映してください。
Configuring Dynamic ARP Inspection in DHCP Environments
先ほどの例で示した構成での設定例を示します。
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944
DHCPサーバがSwitchAに接続されているので、SwitchAはHost1とHost2のbinding
を持ち、SwitchBはHost2のbindingのみ持ちます。
またDHCP環境では、IPとMACのbindingをチェックするためにDHCP snoopingを
有効にする必要があります。ここではDHCP snoopingについての設定は割愛し
ます。
Step1
Switch# show cdp neighbors
スイッチ間の接続を確認します。
Step2
Switch# conf t
Global Configuration Modeに移ります。
Step3
Switch(config)# ip arp inspection vlan vlan-range
VLANごとにdynamic ARP inspectionを有効にします。デフォルトでは全ての
VLANでdisabledになっています。vlan-rangeには、1つのVLAN IDか、複数の
VLAN IDを指定します。指定できるrangeは1~4094です。
Step4
Switch(config)# interface interface-id
他のスイッチと接続されているインタフェースを指定します。
Step5
Switch(config-if)# ip arp inspection trust
スイッチ間のインタフェースをtrustedにします。デフォルトでは全てのイン
タフェースがuntrustedです。スイッチはtrustedインタフェースからのARPパ
ケットはチェックせずに、単純にフォワードするだけです。
Step6
Switch(config-if)# end
以上で設定は終了です。
次回も様々な設定について見ていきます。
By 『Overseas and Beyond』 Koichi