2006年10月21日 / 最終更新日 : 2006年10月21日 Gene Cisco(シスコ)

Configuring Dynamic ARP Inspection(3回目)

はじめに

前回まではインタフェースのtrust、untrustの話と設定について少しだけお勉
強しました。
今回はより詳細な設定のやり方についてみていきます。

Dynamic ARP Inspection Configuration Guidelines

Dynamic ARP inspectionを設定する際のガイドラインを以下に示します。

  • Dynamic ARP inspectionはingressのみのセキュリティ機能です。Egressの
    パケットをチェックすることはできません。
  • Dynamic ARP inspectionは、Dynamic ARP inspectionを動作させてない、ま
    たは無効になっているスイッチに接続されているホストに対しては効果があ
    りません。
    man-in-the-middle attackはブロードキャストドメイン内に限られるので、
    Dynamic ARP inspectionを行っているスイッチと行っていないスイッチを別
    のドメインに分けます。これにより、Dynamic ARP inspectionを行っている
    スイッチ配下のホストを保護できます。
  • Dynamic ARP inspectionはIPとMACアドレスのbindingをチェックするために
    DHCP snooping binding databaseに依存します。DHCP snoopingをdisabled
    にしていたり、DHCPの環境ではない場合はARP ACLを使ってARPパケットを許
    可したり拒否したりします。
  • Dynamic ARP inspectionはaccess ports、trunk ports EtherChannel ports、
    private VLAN portsで設定できます。
  • 物理ポートはChannelポートの信頼状態が一致する場合のみEtherChannelポ
    ートに参加できます。そうでない場合は物理ポートはChannelへの参加がsuspend
    されます。Port Channelは、Channelに参加した最初の物理ポートの信頼状
    態を継承するので、最初の物理ポートの信頼状態はChannelの信頼状態と一
    致する必要はありません。反対に、Port Channelの信頼状態を変更した場合、
    スイッチはChannelを構成するすべての物理ポート上であたらしい信頼状態
    を設定します。
  • Port ChannelのARP rateは全ての物理ポートが累計されます。例えば、
    Port Channelのrate-limitを400ppsにした場合Port Channel上の全てのイン
    タフェースで受信された総計が400ppsとなります。
    EtherChannelポートのARPパケットのrateは、Channel memberのrateの合計
    と同じになります。物理ポートのrateは、物理ポートの設定ではなくPort Channel
    の設定に対してチェックされます。Port Channelのrate設定は物理ポートの
    設定とは関係ありません。EtherChannelに設定したrateを超えるARPパケッ
    トを受信した場合、すべての物理ポートがerror-disabled stateになります。
  • Trunk portsでのARP rate-limitを確実に設定してください。Trunk portsで
    のrateは、複数のDynamic ARP inspectionが有効にされているVLANが存在す
    るので、その分のパケットを扱えるように高いrateを反映してください。

Configuring Dynamic ARP Inspection in DHCP Environments

先ほどの例で示した構成での設定例を示します。
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944

DHCPサーバがSwitchAに接続されているので、SwitchAはHost1とHost2のbinding
を持ち、SwitchBはHost2のbindingのみ持ちます。
またDHCP環境では、IPとMACのbindingをチェックするためにDHCP snoopingを
有効にする必要があります。ここではDHCP snoopingについての設定は割愛し
ます。

Step1
Switch# show cdp neighbors
スイッチ間の接続を確認します。

Step2
Switch# conf t
Global Configuration Modeに移ります。

Step3
Switch(config)# ip arp inspection vlan vlan-range
VLANごとにdynamic ARP inspectionを有効にします。デフォルトでは全ての
VLANでdisabledになっています。vlan-rangeには、1つのVLAN IDか、複数の
VLAN IDを指定します。指定できるrangeは1~4094です。

Step4
Switch(config)# interface interface-id
他のスイッチと接続されているインタフェースを指定します。

Step5
Switch(config-if)# ip arp inspection trust
スイッチ間のインタフェースをtrustedにします。デフォルトでは全てのイン
タフェースがuntrustedです。スイッチはtrustedインタフェースからのARPパ
ケットはチェックせずに、単純にフォワードするだけです。

Step6
Switch(config-if)# end
以上で設定は終了です。

次回も様々な設定について見ていきます。

By 『Overseas and Beyond』 Koichi

カテゴリー
Cisco(シスコ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA