Configuring Dynamic ARP Inspection(6回目)
目次
はじめに
今回はログについての設定と、各機能の設定例についてみていきます。
Configuring the Log Buffer
スイッチがARPパケットをドロップしたとき、ログバッファにドロップしたパ
ケットの情報を入れ、system messageを生成します。messageを生成したあと
は、ログバッファからその情報を消去します。ログ情報には、受信したVLAN、
ポート番号、送信元とあて先IPアドレス、送信元とあて先MACアドレスが記憶
されます。
ログ情報は複数のパケットを1つのパケットの情報として表現することができ
ます。例えば、あるインタフェースで同じ中身をもったARPパケットを多く受
信した場合、スイッチはそれらの複数のログを1つにまとめ、system message
も1つだけ生成します。
ログバッファがオーバーフローするような場合は、ログイベントが多すぎてロ
グバッファのサイズが小さすぎます。show ip arp inspection logコマンドで
ログバッファの中を表示できますが、そのコマンドを入力したときにパケット
がドロップされた場合を除き、「–」が表示されます。もし、ログ情報が表示
された場合、ログバッファのサイズを増やし、ロギングのrateを増やします。
Step1
Switch# conf t
Global Configuration Modeに移ります。
Step2
Switch(config)# ip arp inspection log-buffer {entries number | logs number interval seconds}
Dynamic ARP inspectionのlogbufferを設定します。デフォルトでは
Dynamic ARP inspectionによってドロップされたパケットはログに記録されま
す。ログエントリの数は32です。System messageは1秒間に5つずつに制限され
ています。Logging-rate intervalは1秒です。
コマンドのキーワードの意味は以下のとおりです。
entriesはログバッファに入るエントリの数を指定します。値は0から1024まで
指定できます。
log intervalはsystem messageが生成されるインターバルを指定します。
logには0から1024まで指定でき、0はsystem messageを生成しないことを意味
します。
intervalは0から86400秒までを指定でき、0はsystem messageを即座に生成す
ることを意味します。
Step3
Switch(config)# ip arp inspection vlan vlan-range logging
{acl-match {matchlog | none} | dhcp-bindings {all | none | permit}
VLANごとにロギングするパケットのタイプを設定します。デフォルトでは、す
べてのドロップパケットがロギングされます。ロギングされる、という意味は
ログバッファに記憶され、system messageが生成されることを指します。
コマンドのキーワードの意味は以下のとおりです。
vlan-rangeにはVLAN IDを入力します。1から4094までを指定できます。
acl-match matchlogは、ACEのログオプションをベースにパケットをロギング
します。このmatchlogを指定する場合はARP access-listコマンドの最後にlog
オプションを指定しておきます。
ac-match noneはACLにマッチしたパケットはロギングしません。
dhcp-bindings allは、DHCP bindingにマッチしたすべてのパケットをロギン
グします。
dhcp-bindings noneは、DHCP bindingにマッチしたパケットをロギングしませ
ん。
dhcp-bindings permitは、DHCP bindinで許可されたパケットをロギングします。
Step4
Switch(config)# end
以上で設定は終了です。
Configuration example (DAI in DHCP Environments)
DHCP環境でDynamic ARP Inspectionを使用する際の設定例です。
SwitchA# conf t
SwitchA(config)# ip arp inspection vlan 1
SwitchA(config)# interface fastethernet 0/1
SwitchA(config-if)# ip arp inspection trust
この設定例では、以前に使用した以下のトポロジのSwitchAの設定を表してい
ます。
http://www.cisco.com/univercd/cc/td/doc/product/lan/c3550/12225see/scg/swdynarp.htm#wp1038944
Fa0/1はSwitchBと接続されているポートです。このポートをtrustedに設定す
る場合、SwitchBでもDynamic ARP inspectionを有効にする必要があります。
またDHCP snoopingはデフォルトで無効になっているためDHCP環境でDynamic ARP inspection
を使用するためにはDHCP snoopingを有効にする必要があります。
SwitchA(config)# ip dhcp snooping
SwitchA(config)# ip dhcp snooping vlan 1
DHCP snoopingは最初にグローバルで有効化して、その後VLANごとに有効化す
る必要があります。
DHCP snoopingに関する説明や詳細な設定については割愛します。
次回も設定例についてみていきます。
By 『Overseas and Beyond』 Koichi
