はじめに
今回はログについての設定と、各機能の設定例についてみていきます。
Configuring the Log Buffer
スイッチがARPパケットをドロップしたとき、ログバッファにドロップしたパ ケットの情報を入れ、system messageを生成します。messageを生成したあと は、ログバッファからその情報を消去します。ログ情報には、受信したVLAN、 ポート番号、送信元とあて先IPアドレス、送信元とあて先MACアドレスが記憶 されます。
ログ情報は複数のパケットを1つのパケットの情報として表現することができ ます。例えば、あるインタフェースで同じ中身をもったARPパケットを多く受 信した場合、スイッチはそれらの複数のログを1つにまとめ、system message も1つだけ生成します。
ログバッファがオーバーフローするような場合は、ログイベントが多すぎてロ グバッファのサイズが小さすぎます。show ip arp inspection logコマンドで ログバッファの中を表示できますが、そのコマンドを入力したときにパケット がドロップされた場合を除き、「--」が表示されます。もし、ログ情報が表示 された場合、ログバッファのサイズを増やし、ロギングのrateを増やします。
Step1
Switch# conf t
Global Configuration Modeに移ります。
Step2
Switch(config)# ip arp inspection log-buffer {entries number | logs number interval seconds}
Dynamic ARP inspectionのlogbufferを設定します。デフォルトでは
Dynamic ARP inspectionによってドロップされたパケットはログに記録されま
す。ログエントリの数は32です。System messageは1秒間に5つずつに制限され
ています。Logging-rate intervalは1秒です。
コマンドのキーワードの意味は以下のとおりです。
entriesはログバッファに入るエントリの数を指定します。値は0から1024まで
指定できます。
log intervalはsystem messageが生成されるインターバルを指定します。
logには0から1024まで指定でき、0はsystem messageを生成しないことを意味
します。
intervalは0から86400秒までを指定でき、0はsystem messageを即座に生成す
ることを意味します。
Step3
Switch(config)# ip arp inspection vlan vlan-range logging
{acl-match {matchlog | none} | dhcp-bindings {all | none | permit}
VLANごとにロギングするパケットのタイプを設定します。デフォルトでは、す
べてのドロップパケットがロギングされます。ロギングされる、という意味は
ログバッファに記憶され、system messageが生成されることを指します。
コマンドのキーワードの意味は以下のとおりです。
vlan-rangeにはVLAN IDを入力します。1から4094までを指定できます。
acl-match matchlogは、ACEのログオプションをベースにパケットをロギング
します。このmatchlogを指定する場合はARP access-listコマンドの最後にlog
オプションを指定しておきます。
ac-match noneはACLにマッチしたパケットはロギングしません。
dhcp-bindings allは、DHCP bindingにマッチしたすべてのパケットをロギン
グします。
dhcp-bindings noneは、DHCP bindingにマッチしたパケットをロギングしませ
ん。
dhcp-bindings permitは、DHCP bindinで許可されたパケットをロギングします。
Step4
Switch(config)# end
以上で設定は終了です。
Configuration example (DAI in DHCP Environments)
DHCP環境でDynamic ARP Inspectionを使用する際の設定例です。
SwitchA# conf t
SwitchA(config)# ip arp inspection vlan 1
SwitchA(config)# interface fastethernet 0/1
SwitchA(config-if)# ip arp inspection trust
この設定例では、以前に使用した以下のトポロジのSwitchAの設定を表してい ます。 http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944
Fa0/1はSwitchBと接続されているポートです。このポートをtrustedに設定す
る場合、SwitchBでもDynamic ARP inspectionを有効にする必要があります。
またDHCP snoopingはデフォルトで無効になっているためDHCP環境でDynamic ARP inspection
を使用するためにはDHCP snoopingを有効にする必要があります。
SwitchA(config)# ip dhcp snooping
SwitchA(config)# ip dhcp snooping vlan 1
DHCP snoopingは最初にグローバルで有効化して、その後VLANごとに有効化す
る必要があります。
DHCP snoopingに関する説明や詳細な設定については割愛します。
次回も設定例についてみていきます。
By 『Overseas and Beyond』 Koichi
