Configuring Dynamic ARP Inspection(5回目)

はじめに

今回は様々な設定についてみていきたいと思います。

Limiting the Rate of Incoming ARP Packets

スイッチはDynamic ARP inspectionをCPU処理で行うため、DoS Attackを防ぐ
ためにもARP packetのrate-limitができます。ARPパケットの数が設定した上
限値を超えた場合、ARPを受信しているインタフェースがerror-disabledの状
態になります。
そのポートは、error-disabled recoveryを設定して自動的に有効に戻るよう
に設定しない限り、error-disabledのままです。
以下に設定ステップを示します。この設定はOptionalです。

Step1
Switch# conf t
Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
Rate-limitを設定するインタフェースを入力します。

Step3
Switch(config-if)# ip arp inspection limit {rate pps [burst interval seconds] | none}
受信するARP requestとresponseのRate Limitを設定します。デフォルトのRate
は、untrustedインタフェースで15pps、trustedインタフェースで無制限です。
コマンドのキーワードの意味は以下のとおりです。
rate ppsは、受信するARPパケットの上限値を指定します。指定できる範囲は0
から2048ppsです。
burst interval secondは、連続するインターバルを秒で指定します。指定で
きる範囲は1から15秒です。
noneオプションは上限値を指定したくない場合、つまり無制限にしたいときに
設定します。

Step4
Switch(config-if)# end
以上で設定は終了です。

Performing Validation Checks

Dynamic ARP inspectionはパケットをインターセプトし、IPとMACのbidingが
不正なパケットはログに残し、破棄します。スイッチであて先MAC、送信元MAC、
送信元IPアドレス、ARPのターゲットIPアドレスを追加でチェックすることが
できます。
以下に設定ステップを示します。この設定はOptionalです。

Step1
Switch# conf t
Global Configuration Modeに移ります。

Step2
Switch(config)# ip arp inspection validation {[src-mac] [dst-mac] [ip]}
受信したARPパケットの、どこをチェックするかを指定します。コマンドのキ
ーワードの意味は以下のとおりです。
src-macは、イーサネットヘッダの送信元MACアドレスとARPパケットの中の送
信元MACアドレスをチェックします。このチェックはARP requestとresponseの
両方に対して行われます。もし一致しない場合は、ドロップされます。
dst-macはイーサネットヘッダのあて先MACアドレスとARPパケットの中のあて
先MACアドレスをチェックします。このチェックはARP responseだけに行われ
ます。(ARP requestはあて先MACがブロードキャストのため)
ipはARPパケットの中身の送信元IPアドレス、あて先IPアドレス、または、予
期せぬIPアドレスかどうかをチェックします。予期せぬIPアドレスというのは、
マルチキャストのアドレス、0.0.0.0や255.255.255.255などのアドレスです。
送信元IPアドレスはARP requestに対して、あて先IPアドレスはARP response
に対してそれぞれチェックされます。

Validation Checkを行う場合はこれらのどれかのキーワードを指定する必要が
あります。また、このコマンドは以前の設定を変えるとき、追加するのではな
く上書きしてしまいます。
例えば、最初にsrcとdst macをチェックするように設定した後で、IPもチェッ
クさせようとipだけ指定した場合、srcとdst macのチェックの設定は消えてし
まい、後で設定した後で、IPのチェックだけが設定として残ります。

Step3
Switch(config)# end
以上で設定は終了です。

次回は、ログに関する設定と、各機能の設定例をみていきます。

By 『Overseas and Beyond』 Koichi

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA