Dynamic ARP Inspection の設定

Transcription

1 CHAPTER 56 この 章 では Cisco IOS Release 12.2SX でダイナミック アドレス 解 決 プロトコル(ARP)インスペク ション(DAI)を 設 定 する 方 法 について 説 明 します ( 注 ) この 章 で 使 用 しているの 構 文 および 使 用 方 法 の 詳 細 については 次 の URL の Cisco IOS Master Command List, Release 12.2SX を 参 照 してください ヒント Cisco Catalyst 6500 シリーズ スイッチの 詳 細 ( 設 定 例 およびトラブルシューティング 情 報 を 含 む)については 次 のページに 示 されるドキュメントを 参 照 してください この 章 で 説 明 する 内 容 は 次 のとおりです DAI の 概 要 (P.56-1) DAI のデフォルト 設 定 (P.56-5) DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 (P.56-6) DAI の 設 定 (P.56-7) DAI の 設 定 例 (P.56-16) DAI の 概 要 ここでは DAI によって ARP スプーフィング 攻 撃 を 防 止 する 方 法 について 説 明 します ARP の 概 要 (P.56-2) ARP スプーフィング 攻 撃 の 概 要 (P.56-2) DAI および ARP スプーフィング 攻 撃 の 概 要 (P.56-3) 56-1

2 DAI の 概 要 第 56 章 ARP の 概 要 ARP では IP アドレスを MAC アドレスにマッピングすることで レイヤ 2 ブロードキャスト ドメイ ン 内 の IP 通 信 を 実 現 します たとえば ホスト B がホスト A に 情 報 を 送 信 しようとする 場 合 ホスト B の ARP キャッシュにホスト A の MAC アドレスが 存 在 しないとします ホスト B は ホスト A の IP アドレスに 関 連 付 けられた MAC アドレスを 取 得 するためにブロードキャスト ドメイン 内 のすべて のホスト 用 にブロードキャスト メッセージを 生 成 します このブロードキャスト ドメイン 内 のホスト はすべて ARP 要 求 を 受 信 し ホスト A は MAC アドレスで 応 答 します ARP スプーフィング 攻 撃 の 概 要 ARP スプーフィング 攻 撃 と ARP キャッシュ ポイズニングは ARP 要 求 を 受 信 していないホストでも 応 答 できる ARP の 機 能 性 を 利 用 して 行 う 攻 撃 です 攻 撃 が 開 始 されると 攻 撃 を 受 けたデバイスから のすべてのトラフィックは 攻 撃 者 のコンピュータを 経 由 してルータ スイッチ またはホストに 送 信 されるようになります ARP スプーフィング 攻 撃 は サブネットに 接 続 されたシステムの ARP キャッシュをポイズニング( 汚 染 )し このサブネット 上 の 他 のホスト 宛 てのトラフィックを 代 行 受 信 することで レイヤ 2 ネット ワークに 接 続 されたホスト スイッチ およびルータを 攻 撃 することができます 図 56-1 は ARP キャッシュ ポイズニングの 例 を 示 します 図 56-1 ARP キャッシュ ポイズニング A IA MA A C B B IB MB C IC MC ホスト A B C は それぞれインターフェイス A B C を 介 してスイッチに 接 続 されています す べてのホストは 同 一 サブネットに 属 します カッコ 内 に 示 されているのは これらの IP アドレス お よび MAC アドレスです たとえば ホスト A が 使 用 する IP アドレスは IA MAC アドレスは MA で す ホスト A が IP レイヤにあるホスト B と 通 信 する 必 要 がある 場 合 ホスト A は IP アドレス IB と 関 連 付 けられている MAC アドレスに ARP 要 求 をブロードキャストします スイッチとホスト B はこ の ARP 要 求 を 受 信 すると IP アドレス IA および MAC アドレス MA を 持 つホストの ARP バインディ ングを それぞれの ARP キャッシュ 内 に 読 み 込 みます たとえば IP アドレス IA は MAC アドレス MA にバインドされます ホスト B が 応 答 すると スイッチとホスト A は IP アドレス IB および MAC アドレス MB を 持 つホストのバインディングを それぞれの ARP キャッシュ 内 に 読 み 込 みます ホスト C は IP アドレス IA(または IB)および MAC アドレス MC を 持 つホストのバインディング によって 偽 装 した ARP 応 答 をブロードキャストすることで ホスト A およびホスト B のスイッチの ARP キャッシュをポイズニングできます ARP キャッシュがポイズニングされたホストは IA また は IB 宛 てのトラフィックに 宛 先 MAC アドレスとして MAC アドレス MC を 使 用 します つまり ホスト C がこのトラフィックを 代 行 受 信 することになります ホスト C は IA および IB に 関 連 付 けら れた 本 物 の MAC アドレスを 知 っているため 正 しい MAC アドレスを 宛 先 として 使 用 することで 代 行 受 信 したトラフィックをこれらのホストに 転 送 できます ホスト C は ホスト A からホスト B への トラフィック ストリーム 内 に 自 身 を 割 り 込 ませています これは man-in-the-middle 攻 撃 の 典 型 的 な トポロジです 56-2

3 第 56 章 DAI の 概 要 DAI および ARP スプーフィング 攻 撃 の 概 要 DAI は ネットワーク 内 の ARP パケットを 検 証 するセキュリティ 機 能 です DAI は IP アドレスと MAC アドレスとの 無 効 なバインディングを 持 つ ARP パケットを 代 行 受 信 記 録 および 廃 棄 します この 機 能 により 一 部 の man-in-the-middle 攻 撃 からネットワークを 保 護 できます DAI を 使 用 することで 有 効 な ARP 要 求 および 応 答 だけがリレーされるようになります スイッチの 動 作 は 次 のとおりです 信 頼 できないポートを 経 由 したすべての ARP 要 求 および ARP 応 答 を 代 行 受 信 します 代 行 受 信 した 各 パケットが IP アドレスと MAC アドレスの 有 効 なバインディングを 持 つことを 確 認 してから ローカル ARP キャッシュを 更 新 するか または 適 切 な 宛 先 にパケットを 転 送 します 無 効 な ARP パケットはドロップします DAI は 信 頼 できるデータベースに 保 存 された IP アドレスと MAC アドレスとの 有 効 なバインディング に 基 づき ARP パケットの 有 効 性 を 判 断 します このデータベースを DHCP スヌーピング バイン ディング データベースと 呼 びます このデータベースは VLAN およびスイッチ 上 で DHCP スヌーピ ングがイネーブルにされている 場 合 に DHCP スヌーピングによって 構 築 されます 信 頼 できるイン ターフェイス 上 で ARP パケットを 受 信 した 場 合 は スイッチはこのパケットを 検 査 せずに 転 送 しま す 信 頼 できないインターフェイスでは スイッチは 有 効 性 を 確 認 できたパケットだけを 転 送 します DAI では スタティックに 設 定 した IP アドレスを 持 つホストに 対 し ユーザ 設 定 の ARP アクセス コ ントロール リスト(ACL)に 照 合 することで ARP パケットを 検 証 できます( DAI フィルタリングの ための ARP ACL の 適 用 (P.56-9)を 参 照 ) スイッチは ドロップされたパケットを 記 録 します ( ドロップ パケットのロギング (P.56-5)を 参 照 ) DAI では パケット 内 の IP アドレスが 無 効 な 場 合 に ARP パケットをドロップするのか ARP パケッ ト 本 体 の MAC アドレスがイーサネット ヘッダーに 指 定 されたアドレスと 一 致 しない 場 合 に ARP パ ケットをドロップするのかを 設 定 できます( 追 加 検 証 のイネーブル 化 (P.56-11)を 参 照 ) インターフェイスの 信 頼 状 態 とネットワーク セキュリティ DAI は スイッチの 各 インターフェイスに 信 頼 状 態 を 関 連 付 けます 信 頼 できるインターフェイス 上 で 受 信 されたパケットは DAI のすべての 有 効 性 検 査 をバイパスしますが 信 頼 できないインター フェイス 上 で 受 信 されたパケットには DAI の 有 効 性 検 査 が 行 われます 一 般 的 なネットワーク 構 成 では ホスト ポートに 接 続 されているすべてのスイッチ ポートを 信 頼 でき ないポートとして スイッチに 接 続 されているすべてのスイッチ ポートは 信 頼 できるポートとして 設 定 します この 構 成 では 特 定 スイッチからネットワークに 送 信 されるすべての ARP パケットは セ キュリティ 検 査 をバイパスします VLAN 内 またはネットワーク 内 のその 他 の 場 所 では 他 の 検 査 を 実 行 する 必 要 はありません 信 頼 状 態 を 設 定 するには ip arp inspection trust インターフェイス コ ンフィギュレーション を 使 用 します 注 意 信 頼 状 態 の 設 定 は 慎 重 に 行 ってください 信 頼 すべきインターフェイスを 信 頼 できないインター フェイスとして 設 定 すると 接 続 が 失 われる 場 合 があります 図 56-2 では スイッチ A と スイッチ B の 両 方 が ホスト 1 とホスト 2 を 収 容 する VLAN 上 で DAI を 実 行 していると 仮 定 します ホスト 1 とホスト 2 がスイッチ A に 接 続 されている DHCP サーバから IP アドレスを 取 得 すると スイッチ A だけがホスト 1 の IP アドレスと MAC アドレスをバインドしま す したがって スイッチ A とスイッチ B 間 のインターフェイスが 信 頼 できない 場 合 は ホスト 1 か らの ARP パケットはスイッチ B ではドロップされます こうして ホスト 1 とホスト 2 の 間 の 接 続 が 失 われます 56-3

4 DAI の 概 要 第 56 章 図 56-2 DAI をイネーブルにした VLAN での ARP パケット 検 証 DHCP A 6/3 3/3 B 実 際 には 信 頼 できないインターフェイスを 信 頼 できるインターフェイスとして 設 定 すると ネットワー ク 内 にセキュリティ ホールが 生 じます スイッチ A が DAI を 実 行 していなければ ホスト 1 は ス イッチ B(スイッチ 間 のリンクが 信 頼 可 能 として 設 定 されている 場 合 はホスト 2 も 同 様 )の ARP キャッシュを 簡 単 にポイズニングできます この 状 況 は スイッチ B が DAI を 実 行 している 場 合 でも 発 生 する 場 合 があります DAI は DAI を 実 行 するスイッチに 接 続 された 信 頼 できないインターフェイス 上 のホストが ネッ トワーク 内 の 他 のホストの ARP キャッシュをポイズニングしないようにします ただし ネットワー クのその 他 の 場 所 にあるホストが DAI を 実 行 するスイッチに 接 続 されたホストのキャッシュをポイ ズニングする 可 能 性 は 防 止 できません VLAN 内 の 一 部 のスイッチが DAI を 実 行 し 他 のスイッチは DAI を 実 行 していない 状 況 では これら のスイッチに 接 続 されたインターフェイスを 信 頼 できないインターフェイスとして 設 定 します ただ し DAI が 設 定 されていないスイッチからのパケットのバインディングを 検 証 するには DAI を 実 行 するスイッチ 上 で ARP ACL を 設 定 します こうしたバインディングを 判 断 できない 場 合 は レイヤ 3 において DAI を 実 行 するスイッチを DAI を 実 行 しないスイッチから 切 り 離 します 設 定 の 詳 細 につ いては 例 2:1 つのスイッチが DAI をサポートする 場 合 (P.56-21)を 参 照 してください ( 注 ) DHCP サーバとネットワークのセットアップ 方 法 によっては VLAN 内 のすべてのスイッチで 特 定 の ARP パケットを 検 証 できない 場 合 もあります ARP パケットのレート 制 限 スイッチは DAI 有 効 性 検 査 を 実 行 することで 着 信 ARP パケットをレート 制 限 して サービス 拒 否 攻 撃 を 防 止 します デフォルトでは 信 頼 できないインターフェイスのレートは 15 パケット / 秒 (pps) です 信 頼 できるインターフェイスは レート 制 限 されません この 設 定 を 変 更 するには ip arp inspection limit インターフェイス コンフィギュレーション を 使 用 します 着 信 ARP パケットのレートが 設 定 したレート 制 限 を 超 えると スイッチはこのポートを errdisable ステートにします ユーザが 介 入 するまで ポートはこの 状 態 を 維 持 します errdisable recovery グ ローバル コンフィギュレーション を 使 用 すると errdisable ステートの 回 復 をイネーブルにで きます これによって ポートは 指 定 のタイムアウト 時 間 が 経 過 すると この 状 態 から 自 動 的 に 回 復 す るようになります 設 定 の 詳 細 については ARP パケットのレート 制 限 の 設 定 (P.56-10)を 参 照 してください 56-4

5 第 56 章 DAI のデフォルト 設 定 ARP ACL および DHCP スヌーピング エントリの 相 対 的 なプライオリティ DAI では DHCP スヌーピング バインディング データベースを 使 用 して IP アドレスと MAC アドレ スとの 有 効 なバインディングのリストを 維 持 します DHCP スヌーピング バインディング データベース 内 のエントリより ARP ACL の 方 が 優 先 されます ip arp inspection filter グローバル コンフィギュレーション を 使 用 して 設 定 している 場 合 に 限 り ACL はスイッチに 適 用 されます スイッチはまず ARP パケットを ユーザが 設 定 した ARP ACL と 照 合 します ARP パケットが ARP ACL によって 拒 否 される 場 合 は DHCP スヌーピングに よって 読 み 込 まれた 有 効 なバインディングがデータベース 内 に 存 在 する 場 合 であっても スイッチはこ のパケットを 拒 否 します ドロップ パケットのロギング スイッチはパケットをドロップすると ログ バッファ 内 にエントリを 作 成 して レート 制 限 に 基 づく システム メッセージを 生 成 します メッセージが 生 成 されたあとは スイッチはこのエントリをログ バッファから 消 去 します 各 ログ エントリには 受 信 側 の VLAN ポート 番 号 送 信 元 および 宛 先 IP アドレス 送 信 元 および 宛 先 MAC アドレスといったフロー 情 報 が 記 録 されます ip arp inspection log-buffer グローバル コンフィギュレーション を 使 用 して バッファ 内 の エントリ 数 や システム メッセージ 生 成 までの 指 定 のインターバルに 必 要 とされるエントリ 数 を 設 定 します 記 録 されるパケットの 種 類 を 指 定 するには ip arp inspection vlan logging グローバル コン フィギュレーション を 使 用 します 設 定 の 詳 細 については DAI ログ 機 能 の 設 定 (P.56-13)を 参 照 してください DAI のデフォルト 設 定 表 56-1 に DAI のデフォルト 設 定 を 示 します 表 56-1 DAI のデフォルト 設 定 機 能 DAI インターフェイスの 信 頼 状 態 着 信 ARP パケットのレート 制 限 デフォルト 設 定 すべての VLAN でディセーブル すべてのインターフェイスは untrusted 信 頼 できないインターフェイスでは レートを 15 pps に 制 限 ネットワークがレイヤ 2 スイッチド ネット ワークであり ホストが 1 秒 間 に 15 の 新 規 ホストに 接 続 することが 前 提 です 信 頼 できるすべてのインターフェイスでは レート 制 限 は 行 われません 非 DHCP 環 境 に 対 する ARP ACL 有 効 性 検 査 バースト インターバルは 1 秒 です ARP ACL は 定 義 されません 検 査 は 実 行 されません 56-5

6 DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 第 56 章 表 56-1 DAI のデフォルト 設 定 ( 続 き) 機 能 ログ バッファ VLAN 単 位 のロギング デフォルト 設 定 DAI をイネーブルにした 場 合 は 拒 否 またはドロップ されたすべての ARP パケットが 記 録 されます ログ 内 のエントリ 数 は 32 です システム メッセージ 数 は 毎 秒 5 つに 制 限 されます ロギングレート インターバルは 1 秒 です 拒 否 またはドロップされたすべての ARP パケットが 記 録 されます DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 DAI を 設 定 する 場 合 次 の 注 意 事 項 および 制 約 事 項 に 従 ってください DAI は 入 力 セキュリティ 機 能 であり 出 力 検 査 は 行 いません DAI は DAI をサポートしないスイッチ またはこの 機 能 がイネーブルにされていないスイッチ に 接 続 されたホストに 対 しては 効 果 がありません 中 間 者 攻 撃 は 1 つのレイヤ 2 ブロードキャス ト ドメインに 限 定 されるため DAI 検 査 が 有 効 なドメインを DAI 検 査 の 行 われないドメインか ら 切 り 離 します これにより DAI をイネーブルにしたドメイン 内 のホストの ARP キャッシュを セキュリティ 保 護 できます DAI では 着 信 ARP 要 求 および ARP 応 答 内 の IP アドレスと MAC アドレスとのバインディング を DHCP スヌーピング バインディング データベース 内 のエントリに 基 づいて 検 証 します IP ア ドレスがダイナミックに 割 り 当 てられた ARP パケットを 許 可 する 際 は DHCP スヌーピングをイ ネーブルにしてください 設 定 については 第 54 章 DHCP スヌーピングの 設 定 を 参 照 してく ださい DHCP スヌーピングをディセーブルにしている 場 合 または DHCP 以 外 の 環 境 では ARP ACL を 使 用 してパケットの 許 可 または 拒 否 を 行 います DAI は アクセス ポート トランク ポート EtherChannel ポート およびプライベート VLAN ポートでサポートされます 物 理 ポートを EtherChannel ポート チャネルに 結 合 するには この 物 理 ポートとチャネル ポートの 信 頼 状 態 が 一 致 する 必 要 があります 逆 に ポート チャネルの 信 頼 状 態 を 変 更 すると スイッチはチャネルを 構 成 するすべての 物 理 ポートに 対 し 新 たにこの 信 頼 状 態 を 設 定 します ポート チャネルの 動 作 レートは チャネル 内 のすべての 物 理 ポートによる 累 積 値 です たとえば ポート チャネルの ARP レート 制 限 を 400 pps に 設 定 した 場 合 このチャネルに 結 合 されたすべて のインターフェイスは 合 計 で 400 pps を 受 信 します EtherChannel ポートの 着 信 ARP パケット のレートは 全 チャネル メンバーからのパケットの 着 信 レートを 合 計 したものです EtherChannel ポートのレート 制 限 は 各 チャネル ポート メンバーが 受 信 する ARP パケットの レートを 確 認 してから 設 定 してください 物 理 ポートで 受 信 されるパケットのレートは 物 理 ポートの 設 定 ではなく ポート チャネルの 設 定 に 照 合 して 検 査 されます ポート チャネル 上 のレート 制 限 設 定 は 物 理 ポートの 設 定 に 依 存 し ません EtherChannel が 設 定 したレートより 多 くの ARP パケットを 受 信 すると このチャネル(すべて の 物 理 ポートを 含 む)は errdisable ステートとなります 56-6

7 第 56 章 DAI の 設 定 着 信 トランク ポートでは ARP パケットを 必 ずレート 制 限 してください トランク ポートは 各 ポートの 集 約 を 考 慮 し DAI をイネーブルにした 複 数 の VLAN でパケットを 処 理 できるように 高 い 値 に 設 定 します また ip arp inspection limit none インターフェイス コンフィギュレー ション を 使 用 して レートを 無 制 限 に 設 定 することもできます 1 つの VLAN に 高 い レート 制 限 値 を 設 定 すると ソフトウェアによってこのポートが errdisable ステートにされた 場 合 に 他 の VLAN へのサービス 拒 否 攻 撃 を 招 く 可 能 性 があります DAI の 設 定 ここでは DAI の 設 定 手 順 について 説 明 します VLAN での DAI のイネーブル 化 (P.56-7) DAI インターフェイスの 信 頼 状 態 の 設 定 (P.56-8) DAI フィルタリングのための ARP ACL の 適 用 (P.56-9) ARP パケットのレート 制 限 の 設 定 (P.56-10) DAI errdisable ステート 回 復 のイネーブル 化 (P.56-11) 追 加 検 証 のイネーブル 化 (P.56-11) DAI ログ 機 能 の 設 定 (P.56-13) DAI 情 報 の 表 示 (P.56-15) VLAN での DAI のイネーブル 化 VLAN で DAI をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection vlan {vlan_id vlan_range} VLAN で DAI をイネーブルにします ステップ 3 Router(config-if)# do show ip arp inspection vlan {vlan_id vlan_range} begin Vlan 目 的 設 定 を 確 認 します DAI は 1 つの VLAN または 特 定 の VLAN 範 囲 でイネーブルにできます 1 つの VLAN でイネーブルにするには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 でイネーブルにするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 します 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつなげて 入 力 することもできます 次 に VLAN 10 ~ 12 で DAI をイネーブルにする 例 を 示 します Router(config)# ip arp inspection vlan 次 に VLAN 10 ~ 12 で DAI をイネーブルにするもう 1 つの 方 法 を 示 します Router(config)# ip arp inspection vlan 10,11,

8 DAI の 設 定 第 56 章 次 に VLAN 10 ~ 12 および VLAN 15 で DAI をイネーブルにする 例 を 示 します Router(config)# ip arp inspection vlan 10-12,15 次 に 設 定 を 確 認 する 例 を 示 します Router(config)# do show ip arp inspection vlan 10-12,15 begin Vlan Vlan Configuration Operation ACL Match Static ACL Enabled Inactive 11 Enabled Inactive 12 Enabled Inactive 15 Enabled Inactive Vlan ACL Logging DHCP Logging Deny Deny 11 Deny Deny 12 Deny Deny 15 Deny Deny DAI インターフェイスの 信 頼 状 態 の 設 定 スイッチは 信 頼 できるインターフェイス 上 で 受 信 した ARP パケットを 転 送 しますが 検 査 は 行 いま せん 信 頼 できないインターフェイスでは スイッチはすべての ARP 要 求 および ARP 応 答 を 代 行 受 信 しま す ルータは 代 行 受 信 した 各 パケットが IP アドレスと MAC アドレスとの 有 効 なバインディング を 持 つことを 確 認 してから ローカル キャッシュを 更 新 するか 適 切 な 宛 先 にパケットを 転 送 します スイッチは 無 効 なパケットをドロップし ip arp inspection vlan logging グローバル コンフィギュ レーション で 指 定 されたロギング 設 定 に 基 づき ログ バッファにドロップ パケットを 記 録 し ます 詳 細 については DAI ログ 機 能 の 設 定 (P.56-13)を 参 照 してください DAI インターフェイスの 信 頼 状 態 を 設 定 するには 次 の 作 業 を 行 います 目 的 ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# interface {type 1 slot/port port-channel number} 1. type = fastethernet gigabitethernet または tengigabitethernet 別 のスイッチに 接 続 されているインターフェイスを 指 定 して インターフェイス コンフィギュレーション モー ドを 開 始 します ステップ 3 Router(config-if)# ip arp inspection trust スイッチ 間 の 接 続 を trusted として 設 定 します ステップ 4 Router(config-if)# do show ip arp inspection interfaces DAI の 設 定 を 確 認 します 次 に ファスト イーサネット ポート 5/12 を 信 頼 できるポートとして 設 定 する 例 を 示 します Router(config)# interface fastethernet 5/12 Router(config-if)# ip arp inspection trust Router(config-if)# do show ip arp inspection interfaces include Int -- 5/12 Interface Trust State Rate (pps) Burst Interval 56-8

9 第 56 章 DAI の 設 定 Fa5/12 Trusted None N/A DAI フィルタリングのための ARP ACL の 適 用 ( 注 ) arp access-list の 詳 細 については リファレンスを 参 照 してください ARP ACL を 適 用 するには 次 の 作 業 を 行 います 目 的 ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router# ip arp inspection filter arp_acl_name vlan {vlan_id vlan_range} [static] ARP ACL を VLAN に 適 用 します ステップ 3 Router(config)# do show ip arp inspection vlan {vlan_id vlan_range} 入 力 を 確 認 します ARP ACL を 適 用 する 場 合 次 の 点 に 注 意 してください vlan_range には 1 つの VLAN または 特 定 の VLAN 範 囲 を 指 定 できます 1 つの VLAN を 指 定 するには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 で 指 定 にするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 し ます 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつな げて 入 力 することもできます ( 任 意 )static を 指 定 すると ARP ACL 内 の 暗 黙 的 な 拒 否 が 明 示 的 な 拒 否 と 見 なされ それ 以 前 に 指 定 された ACL 句 に 一 致 しないパケットはドロップされます DHCP バインディングは 使 用 され ません このキーワードを 指 定 しない 場 合 は ACL 内 にはパケットを 拒 否 する 明 示 的 な 拒 否 が 存 在 しない ことになります この 場 合 は ACL 句 に 一 致 しないパケットを 許 可 するか 拒 否 するかは DHCP バインディングによって 決 定 されます IP アドレスと MAC アドレスとのバインディングしか 持 たない ARP パケットは ACL に 照 合 され ます パケットは アクセス リストで 許 可 された 場 合 だけに 許 可 されます 次 に example_arp_acl という 名 前 の ARP ACL を VLAN 10 ~ 12 および VLAN 15 に 適 用 する 例 を 示 します Router(config)# ip arp inspection filter example_arp_acl vlan 10-12,15 Router(config)# do show ip arp inspection vlan 10-12,15 begin Vlan Vlan Configuration Operation ACL Match Static ACL Enabled Inactive example_arp_acl No 11 Enabled Inactive example_arp_acl No 12 Enabled Inactive example_arp_acl No 15 Enabled Inactive example_arp_acl No Vlan ACL Logging DHCP Logging Deny Deny 11 Deny Deny 56-9

10 DAI の 設 定 第 56 章 12 Deny Deny 15 Deny Deny ARP パケットのレート 制 限 の 設 定 DAI をイネーブルにすると スイッチは ARP パケットの 有 効 性 検 査 を 実 行 します これにより ス イッチは ARP パケットのサービス 拒 否 攻 撃 を 受 けやすくなります ARP パケットをレート 制 限 するこ とで ARP パケットのサービス 拒 否 攻 撃 を 防 止 できます ARP パケットのレート 制 限 をポートに 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# interface {type 1 slot/port 設 定 するインターフェイスを 選 択 します port-channel number} ステップ 3 ステップ 4 Router(config-if)# ip arp inspection limit {rate pps [burst interval seconds] none} Router(config-if)# do show ip arp inspection interfaces 目 的 1. type = fastethernet gigabitethernet または tengigabitethernet ( 任 意 )ARP パケットのレート 制 限 を 設 定 します 設 定 を 確 認 します ARP パケットのレート 制 限 を 設 定 する 場 合 次 の 点 に 注 意 してください デフォルト レートは 信 頼 できないインターフェイスでは 15 pps 信 頼 できるインターフェイス では 無 制 限 です rate pps には 1 秒 あたりに 処 理 される 着 信 パケット 数 の 上 限 を 指 定 します 有 効 な 範 囲 は 0 ~ 2048 pps です rate none キーワードは 処 理 できる 着 信 ARP パケットのレートに 上 限 がないことを 指 定 します ( 任 意 )burst interval seconds(デフォルトは 1)には インターフェイスをモニタして 高 レート の ARP パケットの 有 無 を 確 認 するための 連 続 するインターバルを 秒 単 位 で 指 定 します 有 効 な 範 囲 は 1 ~ 15 です 着 信 ARP パケットのレートが 設 定 したレート 制 限 を 超 えると スイッチはこのポートを errdisable ステートにします ポートは errdisable ステートの 回 復 がイネーブルにされるまで errdisable ステートを 維 持 します errdisable ステートの 回 復 をイネーブルにすると 指 定 のタイ ムアウト 時 間 が 経 過 した 時 点 で ポートは errdisable ステートから 回 復 します インターフェイスのレート 制 限 値 を 設 定 しない 限 り インターフェイスの 信 頼 状 態 を 変 更 すると このレート 制 限 値 も 設 定 した 信 頼 状 態 に 対 応 するデフォルト 値 に 変 更 されます レート 制 限 値 を 設 定 すると 信 頼 状 態 を 変 更 した 場 合 でも インターフェイスはこのレート 制 限 値 を 維 持 します no ip arp inspection limit インターフェイス コンフィギュレーション を 入 力 すると イ ンターフェイスはデフォルトのレート 制 限 値 に 戻 ります トランク ポートおよび EtherChannel ポートで 受 信 される ARP パケットのレート 制 限 を 設 定 する うえでの 注 意 事 項 については DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 (P.56-6)を 参 照 してくだ さい 次 に ファスト イーサネット ポート 5/14 に ARP パケットのレート 制 限 を 設 定 する 例 を 示 します Router(config)# interface fastethernet 5/14 Router(config-if)# ip arp inspection limit rate 20 burst interval

11 第 56 章 DAI の 設 定 Router(config-if)# do show ip arp inspection interfaces include Int -- 5/14 Interface Trust State Rate (pps) Burst Interval Fa5/14 Untrusted 20 2 DAI errdisable ステート 回 復 のイネーブル 化 DAI の errdisable ステート 回 復 をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# errdisable recovery cause arp-inspection ステップ 3 Router(config)# do show errdisable recovery include Reason --- arp- 目 的 ( 任 意 )DAI の errdisable ステート 回 復 をイネーブルに します 設 定 を 確 認 します 次 に DAI の errdisable ステート 回 復 をイネーブルにする 例 を 示 します Router(config)# errdisable recovery cause arp-inspection Router(config)# do show errdisable recovery include Reason --- arp- ErrDisable Reason Timer Status arp-inspection Enabled 追 加 検 証 のイネーブル 化 DAI は IP アドレスと MAC アドレスとの 無 効 なバインディングを 持 つ ARP パケットを 代 行 受 信 記 録 および 廃 棄 します 宛 先 MAC アドレス 送 信 元 および 宛 先 IP アドレス 送 信 元 MAC アドレス に 対 し 追 加 検 証 をイネーブルにすることができます 追 加 検 証 をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection validate {[dst-mac] [ip] [src-mac]} ( 任 意 ) 追 加 検 証 をイネーブルにします ステップ 3 Router(config)# do show ip arp inspection include abled$ 目 的 設 定 を 確 認 します 56-11

12 DAI の 設 定 第 56 章 追 加 検 証 では 以 下 を 実 行 します dst-mac:イーサネット ヘッダー 内 の 宛 先 MAC アドレスを ARP 本 体 のターゲット MAC アドレ スと 比 較 して 検 査 します この 検 査 は ARP 応 答 に 対 して 実 行 されます イネーブルにすると 異 なる MAC アドレスを 持 つパケットは 無 効 パケットとして 分 類 され 廃 棄 されます ip:arp 本 体 を 検 査 し 無 効 かつ 予 期 されない IP アドレスの 有 無 を 確 認 します アドレスには およびすべての IP マルチキャスト アドレスが 含 まれます 送 信 元 IP アドレスはすべての ARP 要 求 および ARP 応 答 内 で 検 査 され 宛 先 IP アドレスは ARP 応 答 内 だ けで 検 査 されます src-mac:イーサネット ヘッダー 内 の 送 信 元 MAC アドレスを ARP 本 体 の 送 信 元 MAC アドレス と 比 較 して 検 査 します この 検 査 は ARP 要 求 および ARP 応 答 の 両 方 に 対 して 実 行 されます イ ネーブルにすると 異 なる MAC アドレスを 持 つパケットは 無 効 パケットとして 分 類 され 廃 棄 さ れます 追 加 検 証 をイネーブルにする 場 合 次 の 点 に 注 意 してください 少 なくとも 1 つのキーワードを 指 定 する 必 要 があります 各 ip arp inspection validate は それまでに 指 定 したの 設 定 を 上 書 きします ip arp inspection validate によって src -mac および dst-mac 検 証 をイネーブルにし 2 つめの ip arp inspection validate で IP 検 証 だけをイネーブルにした 場 合 は 2 つめのコ マンドの 結 果 によって src-mac および dst-mac 検 証 がディセーブルになります 次 に src-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Disabled IP Address Validation : Disabled 次 に dst-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate dst-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Disabled Destination Mac Validation : Enabled IP Address Validation : Disabled 次 に ip 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate ip Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Enabled 次 に src-mac および dst-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac dst-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Enabled IP Address Validation : Disabled 56-12

13 第 56 章 DAI の 設 定 次 に src-mac dst-mac および ip 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac dst-mac ip Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Enabled IP Address Validation : Enabled DAI ログ 機 能 の 設 定 ここでは DAI ログ 機 能 について 説 明 します DAI ログ 機 能 の 概 要 (P.56-13) DAI のログ バッファ サイズの 設 定 (P.56-13) DAI のログ システム メッセージの 設 定 (P.56-14) DAI のログ フィルタリングの 設 定 (P.56-14) DAI ログ 機 能 の 概 要 DAI はパケットをドロップすると ログ バッファ 内 にエントリを 作 成 して レート 制 限 に 基 づくシス テム メッセージを 生 成 します メッセージが 生 成 されたあとは DAI はこのエントリをログ バッファ から 消 去 します 各 ログ エントリには 受 信 側 の VLAN ポート 番 号 送 信 元 および 宛 先 IP アドレ ス 送 信 元 および 宛 先 MAC アドレスといったフロー 情 報 が 記 録 されます ログ バッファ エントリは 複 数 のパケットを 表 すことができます たとえば 同 じ ARP パラメータを 持 つ 同 一 VLAN 上 で 1 つのインターフェイスが 多 数 のパケットを 受 信 した 場 合 は DAI のログ バッ ファではこれらのパケットが 1 つのエントリとして 結 合 され このエントリに 対 して 1 つのシステム メッセージが 生 成 されます ログ バッファでオーバーフローが 生 じた 場 合 は 1 つのログ イベントがログ バッファ 内 に 収 まらな かったことを 意 味 し show ip arp inspection log 特 権 EXEC による 出 力 が 影 響 を 受 けます この 場 合 は パケット 数 と 時 間 だけが 表 示 され あとはデータの 代 わりに 2 つのダッシュ(--)が 表 示 されます このエントリに 対 しては その 他 の 統 計 情 報 は 表 示 されません 出 力 にこのようなエントリ が 表 示 される 場 合 ログ バッファ 内 のエントリ 数 を 増 やすか ロギング レートを 増 やします DAI のログ バッファ サイズの 設 定 DAI のログ バッファ サイズを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection log-buffer entries number ステップ 3 Router(config)# do show ip arp inspection log include Size 目 的 DAI のログ バッファ サイズを 設 定 します( 有 効 範 囲 は 0 ~ 1024) 設 定 を 確 認 します 次 に DAI ログ バッファを 64 メッセージに 設 定 する 例 を 示 します 56-13

14 DAI の 設 定 第 56 章 Router(config)# ip arp inspection log-buffer entries 64 Router(config)# do show ip arp inspection log include Size Total Log Buffer Size : 64 DAI のログ システム メッセージの 設 定 DAI のログ システム メッセージを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection log-buffer logs number_of_messages interval length_in_seconds DAI のログ バッファを 設 定 します 目 的 ステップ 3 Router(config)# do show ip arp inspection log 設 定 を 確 認 します DAI のログ システム メッセージを 設 定 する 場 合 次 の 点 に 注 意 してください logs number_of_messages の 有 効 範 囲 は 0 ~ 1024 です(デフォルトは 5) 0 は エントリはログ バッファ 内 に 入 力 されますが システム メッセージが 生 成 されないことを 意 味 します interval length_in_seconds の 有 効 範 囲 は 0 ~ 秒 (1 日 )です(デフォルトは 1) 0 は シ ステム メッセージがただちに 生 成 されることを 意 味 します この 場 合 ログ バッファは 常 に 空 と なります インターバル 値 を 0 に 設 定 すると ログ 値 0 は 上 書 きされます システム メッセージは length_in_seconds あたり number_of_messages のレートで 送 信 されます 次 に 2 秒 おきに 12 メッセージが 送 信 されるように DAI のロギングを 設 定 する 例 を 示 します Router(config)# ip arp inspection log-buffer logs 12 interval 2 Router(config)# do show ip arp inspection log include Syslog Syslog rate : 12 entries per 2 seconds. 次 に 60 秒 おきに 20 メッセージが 送 信 されるように DAI のロギングを 設 定 する 例 を 示 します Router(config)# ip arp inspection log-buffer logs 20 interval 60 Router(config)# do show ip arp inspection log include Syslog Syslog rate : 20 entries per 60 seconds. DAI のログ フィルタリングの 設 定 DAI のログ フィルタリングを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection vlan vlan_range logging {acl-match {matchlog none} dhcp-bindings {all none permit}} 各 VLAN に 対 するログ フィルタリングを 設 定 します ステップ 3 Router(config)# do show running-config include ip arp inspection vlan vlan_range 目 的 設 定 を 確 認 します 56-14

15 第 56 章 DAI の 設 定 DAI のログ フィルタリングを 設 定 する 場 合 次 の 点 に 注 意 してください デフォルトでは 拒 否 されたすべてのパケットが 記 録 されます vlan_range には 1 つの VLAN または 特 定 の VLAN 範 囲 を 指 定 できます 1 つの VLAN を 指 定 するには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 で 指 定 にするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 し ます 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつな げて 入 力 することもできます acl-match matchlog:dai ACL の 設 定 に 基 づきパケットを 記 録 します このに matchlog キーワードを 指 定 して さらに permit または deny ARP アクセス リスト コンフィギュ レーション に log キーワードを 指 定 すると ACL によって 許 可 または 拒 否 された ARP パ ケットが 記 録 されます acl-match none:acl と 一 致 したパケットを 記 録 しません dhcp-bindings all:dhcp バインディングと 一 致 したすべてのパケットが 記 録 されます dhcp-bindings none:dhcp バインディングと 一 致 したパケットは 記 録 されません dhcp-bindings permit:dhcp バインディングによって 許 可 されたパケットが 記 録 されます 次 に VLAN 100 の DAI ログ フィルタリングを ACL と 一 致 したパケットを 記 録 しないように 設 定 する 例 を 示 します Router(config)# ip arp inspection vlan 100 logging acl-match none Router(config)# do show running-config include ip arp inspection vlan 100 ip arp inspection vlan 100 logging acl-match none DAI 情 報 の 表 示 DAI 情 報 を 表 示 するには 表 56-2 に 示 す 各 特 権 EXEC を 使 用 します 表 56-2 DAI 情 報 を 表 示 するための show arp access-list [acl_name] show ip arp inspection interfaces [interface_id] show ip arp inspection vlan vlan_range 説 明 ARP ACL についての 詳 細 情 報 を 表 示 します 指 定 されたインターフェイスまたはすべてのイン ターフェイスの ARP パケットの 信 頼 状 態 および レート 制 限 を 表 示 します 指 定 の VLAN に 対 し DAI の 設 定 内 容 および 動 作 状 態 を 表 示 します VLAN を 指 定 しない 場 合 ま たは VLAN を 範 囲 で 指 定 した 場 合 は DAI がイ ネーブル(アクティブ)にされている VLAN だけ の 情 報 が 表 示 されます 56-15

16 DAI の 設 定 例 第 56 章 DAI 統 計 情 報 を 消 去 または 表 示 するには 表 56-3 に 示 す 各 特 権 EXEC を 使 用 します 表 56-3 DAI 統 計 情 報 を 消 去 または 表 示 するための clear ip arp inspection statistics show ip arp inspection statistics [vlan vlan_range] 説 明 DAI 統 計 情 報 を 消 去 します 指 定 の VLAN において 転 送 されたパケット ド ロップされたパケット MAC 検 証 に 失 敗 したパ ケット IP 検 証 に 失 敗 したパケット ACL によっ て 許 可 および 拒 否 されたパケット DHCP によっ て 許 可 および 拒 否 されたパケットの 統 計 情 報 を 表 示 します VLAN を 指 定 しない 場 合 または VLAN を 範 囲 で 指 定 した 場 合 は DAI がイネーブ ル(アクティブ)にされている VLAN だけの 情 報 が 表 示 されます show ip arp inspection statistics では スイッチは 信 頼 できる DAI ポートにおいて 個 々の ARP 要 求 および 応 答 パケットに 対 して 転 送 されたパケット 数 を 増 分 します スイッチは 送 信 元 MAC 宛 先 MAC または IP 検 証 の 結 果 拒 否 された 各 パケットに 対 し ACL によって 許 可 されたパケット または DHCP によって 許 可 されたパケットの 数 を 増 分 します また スイッチは 該 当 する 失 敗 回 数 の 値 も 増 分 します DAI ログ 情 報 を 消 去 または 表 示 するには 表 56-4 に 示 す 各 特 権 EXEC を 使 用 します 表 56-4 DAI ログ 情 報 を 消 去 または 表 示 するための clear ip arp inspection log show ip arp inspection log 説 明 DAI のログ バッファを 消 去 します DAI ログ バッファの 設 定 および 内 容 を 表 示 します DAI の 設 定 例 ここでは 次 の 例 について 説 明 します 例 1:2 つのスイッチが DAI をサポートする 場 合 (P.56-16) 例 2:1 つのスイッチが DAI をサポートする 場 合 (P.56-21) 例 1:2 つのスイッチが DAI をサポートする 場 合 この 手 順 は 2 つのスイッチが DAI 機 能 をサポートする 場 合 の DAI の 設 定 方 法 を 示 します 図 56-2 (P.56-4)に 示 すように ホスト 1 はスイッチ A に ホスト 2 はスイッチ B にそれぞれ 接 続 されていま す 両 方 のスイッチは 各 ホストが 属 する VLAN 1 上 で DAI を 実 行 しています DHCP サーバは ス イッチ A に 接 続 されています 両 方 のホストは 同 一 の DHCP サーバから IP アドレスを 取 得 します スイッチ A はホスト 1 およびホスト 2 のバインディングを 持 ち スイッチ B はホスト 2 のバインディ ングを 持 ちます スイッチ A のファスト イーサネット ポート 6/3 は スイッチ B のファスト イーサ ネット ポート 3/3 に 接 続 されています 56-16

17 第 56 章 DAI の 設 定 例 ( 注 ) DAI では 着 信 ARP 要 求 および ARP 応 答 内 の IP アドレスと MAC アドレスとのバインディング を DHCP スヌーピング バインディング データベース 内 のエントリに 基 づいて 検 証 します IP ア ドレスがダイナミックに 割 り 当 てられた ARP パケットを 許 可 する 際 は DHCP スヌーピングをイ ネーブルにしてください 設 定 については 第 54 章 DHCP スヌーピングの 設 定 を 参 照 してく ださい この 構 成 は DHCP サーバがスイッチ A から 別 の 場 所 に 移 動 されてしまうと 機 能 しません この 構 成 によってセキュリティが 損 なわれないようにするには スイッチ A のファスト イーサ ネット ポート 6/3 およびスイッチ B のファスト イーサネット ポート 3/3 を 信 頼 できるポート として 設 定 します スイッチ A の 設 定 スイッチ A において DAI をイネーブルにし ファスト イーサネット ポート 6/3 を 信 頼 できるポートと して 設 定 するには 次 の 作 業 を 行 います ステップ 1 スイッチ A およびスイッチ B 間 の 接 続 を 確 認 します SwitchA# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchB Fas 6/3 177 R S I WS-C6506 Fas 3/3 SwitchA# ステップ 2 VLAN 1 で DAI をイネーブルにし 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# ip arp inspection vlan 1 SwitchA(config)# end SwitchA# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL Enabled Active Vlan ACL Logging DHCP Logging Deny Deny SwitchA# ステップ 3 ファスト イーサネット ポート 6/3 を 信 頼 できるポートとして 設 定 します SwitchA# configure terminal SwitchA(config)# interface fastethernet 6/3 SwitchA(config-if)# ip arp inspection trust SwitchA(config-if)# end SwitchA# show ip arp inspection interfaces fastethernet 6/3 Interface Trust State Rate (pps) 56-17

18 DAI の 設 定 例 第 56 章 Fa6/3 Trusted None SwitchA# ステップ 4 ステップ 5 バインディングを 確 認 します SwitchA# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface :02:00:02:00: dhcp-snooping 1 FastEthernet6/4 SwitchA# DAI がパケットを 処 理 する 前 後 の 統 計 情 報 を 調 べます SwitchA# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures Vlan Dest MAC Failures IP Validation Failures SwitchA# このあと ホスト 1 が IP アドレス および MAC アドレス を 持 つ 2 つの ARP 要 求 を 送 信 すると 両 方 の 要 求 が 許 可 されます これは 次 の 統 計 情 報 で 確 認 できます SwitchA# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures Vlan Dest MAC Failures IP Validation Failures SwitchA# ホスト 1 がこのあと IP アドレス を 持 つ ARP 要 求 を 送 信 しようとすると このパケットはド ロップされ エラー メッセージが 記 録 されます 00:12:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Req) on Fa6/4, vlan 1.([ / / / /02:42:35 UTC Tue Jul ]) SwitchA# show ip arp inspection statistics vlan 1 SwitchA# この 場 合 に 表 示 される 統 計 情 報 は 次 のようになります Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures

19 第 56 章 DAI の 設 定 例 Vlan Dest MAC Failures IP Validation Failures SwitchA# スイッチ B の 設 定 スイッチ B において DAI をイネーブルにし ファスト イーサネット ポート 3/3 を 信 頼 できるポートと して 設 定 するには 次 の 作 業 を 行 います ステップ 1 接 続 を 確 認 します SwitchA# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchB Fas 3/3 120 R S I WS-C6506 Fas 6/3 SwitchB# ステップ 2 VLAN 1 で DAI をイネーブルにし 設 定 を 確 認 します SwitchB# configure terminal SwitchB(config)# ip arp inspection vlan 1 SwitchB(config)# end SwitchB# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL Enabled Active Vlan ACL Logging DHCP Logging Deny Deny SwitchB# ステップ 3 ファスト イーサネット ポート 3/3 を 信 頼 できるポートとして 設 定 します SwitchB# configure terminal SwitchB(config)# interface fastethernet 3/3 SwitchB(config-if)# ip arp inspection trust SwitchB(config-if)# end SwitchB# show ip arp inspection interfaces Interface Trust State Rate (pps) Gi1/1 Untrusted 15 Gi1/2 Untrusted 15 Gi3/1 Untrusted 15 Gi3/2 Untrusted 15 Fa3/3 Trusted None Fa3/4 Untrusted 15 Fa3/5 Untrusted

20 DAI の 設 定 例 第 56 章 Fa3/6 Untrusted 15 Fa3/7 Untrusted 15 <output truncated> SwitchB# ステップ 4 ステップ 5 DHCP スヌーピング バインディングのリストを 確 認 します SwitchB# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface :01:00:01:00: dhcp-snooping 1 FastEthernet3/4 SwitchB# DAI がパケットを 処 理 する 前 後 の 統 計 情 報 を 調 べます SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures Vlan Dest MAC Failures IP Validation Failures SwitchB# ホスト 2 がこのあと IP アドレス および MAC アドレス を 持 つ ARP 要 求 を 送 信 すると このパケットは 転 送 され 統 計 情 報 も 適 切 に 更 新 されます SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures Vlan Dest MAC Failures IP Validation Failures SwitchB# ホスト 2 が IP アドレス を 持 つ ARP 要 求 を 送 信 しようとすると この 要 求 はドロップされ シ ステム メッセージが 記 録 されます 00:18:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/4, vlan 1.([ / / / /01:53:21 UTC Fri May ]) SwitchB# この 場 合 に 表 示 される 統 計 情 報 は 次 のようになります SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures 56-20

21 第 56 章 DAI の 設 定 例 Vlan Dest MAC Failures IP Validation Failures SwitchB# 例 2:1 つのスイッチが DAI をサポートする 場 合 この 手 順 では 図 56-2(P.56-4)に 示 すスイッチ B が DAI または DHCP スヌーピングをサポートし ていない 場 合 に DAI を 設 定 する 方 法 を 示 します スイッチ B が DAI または DHCP スヌーピングをサポートしていない 場 合 は スイッチ A のファスト イーサネット ポート 6/3 を 信 頼 できるポートとして 設 定 すると セキュリティ ホールが 生 じます こ れは スイッチ A およびホスト 1 が スイッチ B またはホスト 2 によって 攻 撃 される 可 能 性 があるた めです この 可 能 性 を 排 除 するには スイッチ A のファスト イーサネット ポート 6/3 を 信 頼 できないポートと して 設 定 する 必 要 があります ホスト 2 からの ARP パケットを 許 可 するには ARP ACL を 設 定 して VLAN 1 に 適 用 する 必 要 があります ホスト 2 の IP アドレスがスタティックではない 場 合 は スイッ チ A に ACL 設 定 を 適 用 できなくなるため レイヤ 3 でスイッチ B からスイッチ A を 切 り 離 す 必 要 が あります これらのルータ 間 では ルータを 使 用 してパケットをルーティングします スイッチ A に 対 して ARP ACL をセットアップするには 次 の 作 業 を 行 います ステップ 1 ステップ 2 IP アドレス および MAC アドレス を 許 可 するアクセス リストを 設 定 して 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# arp access-list H2 SwitchA(config-arp-nacl)# permit ip host mac host SwitchA(config-arp-nacl)# end SwitchA# show arp access-list ARP access list H2 permit ip host mac host VLAN 1 に ACL を 適 用 して 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# ip arp inspection filter H2 vlan 1 SwitchA(config)# end SwitchA# SwitchA# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL Enabled Active H2 No Vlan ACL Logging DHCP Logging

22 DAI の 設 定 例 第 56 章 1 Deny Deny SwitchA# ステップ 3 ファスト イーサネット ポート 6/3 を 信 頼 できないポートとして 設 定 し 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# interface fastethernet 6/3 SwitchA(config-if)# no ip arp inspection trust SwitchA(config-if)# end Switch# show ip arp inspection interfaces fastethernet 6/3 Interface Trust State Rate (pps) Fa6/3 Untrusted 15 Switch# ホスト 2 がスイッチ A のファスト イーサネット ポート 6/3 から 5 つの ARP 要 求 を 送 信 し 1 つの get 要 求 がスイッチ A によって 許 可 された 場 合 は 統 計 情 報 は 次 のように 適 切 に 更 新 されます Switch# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops Vlan DHCP Permits ACL Permits Source MAC Failures Vlan Dest MAC Failures IP Validation Failures Switch# ヒント Cisco Catalyst 6500 シリーズ スイッチの 詳 細 ( 設 定 例 およびトラブルシューティング 情 報 を 含 む)については 次 のページに 示 されるドキュメントを 参 照 してください