2006年11月5日 / 最終更新日 : 2006年11月5日 Gene Cisco(シスコ)

Configuring Dynamic ARP Inspection(7回目)

はじめに

今回も前回に引き続いて設定例をみていきます。

Configuration Example (DAI for Non-DHCP Environments)

DHCPを使用していない環境でDynamic ARP inspectionを使用するときの設定例
です。

Switch# conf t
Switch(config)# arp access-list ARP_ACL
Switch(config-arp-acl)# permit ip host 172.16.1.1 mac host 1234.5678.9abc
Switch(config-arp-acl)# exit

まず許可したいARPを指定します。ここで指定しているのはARPパケットの送信
元のIPアドレスと送信元のMACアドレスです。

Switch(config)# ip arp inspection filter ARP_ACL vlan 1
Switch(config) interface fa 0/1
Switch(config)# no ip arp inspection trust
Switch(config)# end

次に設定したARP ACLをVLANに適用します。最後に、ARP ACLを適用したVLANに
属するポートをuntrustedにします。untrustedのポートでARPが受信されると、
ARP ACLでチェックされpermitされていれば転送されます。

Limiting ARP Packet Configuration Example

受信するARPパケットのrate limitをおこなうときの設定例です。

Switch# conf t
Switch(config)# interface fa 0/1
Switch(config-if)# ip arp inspection limit rate 30
Switch(config-if)# exit

limitさせるrateを指定します。デフォルトは15ppsです。設定したrateを上回
ると、そのポートはerror-disabledとなります。

Switch(config)# errdisable recovery cause arp-inspection interval 30

このコマンドでerror-disableとなったポートを自動復旧させることができま
す。デフォルトでは300秒です。

Validation Check Configuration Example

ARPパケットの中身をチェックするときの設定例です。

Switch# conf t
Switch(config)# ip arp inspection validation src-mac dst-mac

受信したARPパケットのどこをチェックするかを設定します。例では、src-mac
とdst-macをチェックしていますが、受信したARPがrequestかresponseかでチ
ェックされるかどうかが決まります。

src-macはrequestとrespnseの両方でチェックされますが、dst-macはresponse
のみでチェックされます。Requestのdst-macはブロードキャストなのでチェッ
クされないというわけです。

Switch(config)# ip arp inspection validation ip
Switch(config)# end

ちなみに、src-macとdst-macの設定を行った後、追加でIPもチェックすること
になった場合、上のようなコマンドで設定を入れるとsrc-macとdst-macはIPに
上書きされ、結果的にはIPだけしかチェックされなくなってしまうので、注意
が必要です。
IPも含めてチェックしたい場合は、再度すべてのキーワードを指定してコマン
ドを入れます。

Switch(config)# ip arp inspection validation src-mac dst-mac ip

このように設定すれば、src-mac、dst-mac、IPの全てがチェックされるように
なります。

Log Buffer Configuration Example

ログバッファを設定するときの設定例です。

Switch# conf t
Switch(config)# ip arp inspection log-buffer entries 64 log 10 interval 1
Switch(config)# ip arp inspection vlan 1 logging acl-match matchlog
Switch(config)# end

ログバッファのデフォルトのエントリ数は32です。ロギングするパケットは、
デフォルトはドロップされたパケットですがここではARP ACLのlogオプション
が付いているACEにヒットしたパケットをロギングする設定にしています。
ロギングのやり方はVLANごとに変えることも可能です。

Switch(config)# ip arp inspection vlan 2 logging acl-match none

別のVLANでacl-match noneと指定した場合は、ACEにマッチしなかったパケッ
トがロギングされます。

Dynamic ARP inspectionについての設定例は以上になります。

By 『Overseas and Beyond』 Koichi

カテゴリー
Cisco(シスコ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA