はじめに~
今回は様々な設定についてみていきたいと思います。
Configuring ARP ACLs for Non-DHCP Environments
以下の設定方法は、DHCP snoopingをサポートしていない場合や先ほど示した 図のSwitch BがDynamic ARP inspectionをサポートしていない場合の設定例で す。
注:前回示した図については以下のリンク先を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944
仮にSwitch Aのport1をtrustedとした場合、Host2からのAttackが可能になっ てしまうのでSecurity Holeができてしまいます。これを防ぐためにはSwitch A のport1をuntrstedとしなければなりません。
Host2からのARPパケットを許可するためには、ARP ACLをport1が所属するVLAN
に適用します。もしHost2のIPアドレスが静的に設定されていない場合は、
Switch AにARP ACLを適用することができないため、SwitchAとSwitchBをルー
タを使用してセグメントを分けなければなりません。
以下に設定例を示します。
Step1
Switch# conf t
Global Configuration Modeに移ります。
Step2
Switch(config)# arp access-list acl-name
ARP ACLを定義します。ARP ACLはデフォルトでは何も定義されておらず、ACL
の名前を入れるとARP access-list configuration modeに入ります。ARP ACL
の最後には暗黙のdeny ip any mac anyコマンドが存在します。
Step3
Switch(config-arp-acl)# permit ip host sender-ip mac host sender-mac [log]
特定のホスト(例えばHost 2)からのARPパケットを許可するACLを定義します。
sender-ipには、特定のホストのIPアドレスを入力します。sender-macには、
特定のホストのMACアドレスを入力します。オプショナルで、logオプションを
指定できます。ACEにマッチしたパケットをロギングします。さらにmatchlog
キーワードをip arp inspection vlan loggingコマンドに追加することでACE
にマッチしたパケットをロギングすることができます。
Step4
Switch(config-arp-acl)# exit
ARP ACLの設定が終わったらGlobal Configuration Modeに戻ります。
Step5
Switch(config)# ip arp inspection filter arp-acl-name vlan vlan-range [static]
ARP ACLをVLANに適用します。デフォルトでは、どのARP ACLもVLANには適用さ
れていません。
arp-acl-nameには、先ほど定義したARP ACL名を入力します。vlan-rangeには、
ARPを受信するVLANを入力します。staticオプションを指定した場合、ACLにマ
ッチしなかったパケットは全てDropされます。DHCP binding の情報はみません。
staticオプションを指定しなかった場合は、ACLにマッチしなかったパケット
はDHCP bindingを見てパケットを許可するか拒否するかを決定します。ACLの
中に明示的にdenyされているものは、ACL上でdropされDHCP bindingを見に行
くことはありません。
ARPパケットの中のIPとMACの対応付けがACLと比較されます。ACLで許可されて
いる対応付けと同じ内容のARPパケットが許可されます。
Step6
Switch(config)# interface interface-id
今回の例ではSwitchBと接続されているSwitchAのインタフェースを指定します。
Step7
Switch(config-if)# no ip arp inspection trust
今回の例ではSwitch Bと接続されているSwitch Aのインタフェースをuntrusted
として設定します。
デフォルトでは全てのインタフェースがuntrustedです。
untrustedインタフェースでは、スイッチは全てのARPパケットをインターセプ
トします。インターセプトしたARP requestとARP responseは、その中身が正
しいIPとMACの対応付けになっているかをチェックされます。
ARP ACLを利用して中身をチェックし、問題なければスイッチのlocal cacheを
更新し、パケットを適切なあて先に転送します。
スイッチはパケットの中身をチェックして不正なIPとMACの対応付けになって
いた場合はそのパケットを破棄してログに残します。
Step8
Switch(config-if)# end
以上で設定は終了です。
次回もDynamic ARP inspectionに関する様々な設定について見ていきます。
By 『Overseas and Beyond』 Koichi
