Dynamic ARP Inspection の設定

CHAPTER 56 この 章 では Cisco IOS Release 12.2SX でダイナミック アドレス 解 決 プロトコル(ARP)インスペク ション(DAI)を 設 定 する 方 法 について 説 明 します ( 注 ) この 章 で 使 用 しているの 構 文 および 使 用 方 法 の 詳 細 については 次 の URL の Cisco IOS Master Command List, Release 12.2SX を 参 照 してください http://www.cisco.com/en/us/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html ヒント Cisco Catalyst 6500 シリーズ スイッチの 詳 細 ( 設 定 例 およびトラブルシューティング 情 報 を 含 む)については 次 のページに 示 されるドキュメントを 参 照 してください http://www.cisco.com/en/us/products/hw/switches/ps708/tsd_products_support_series_home.html この 章 で 説 明 する 内 容 は 次 のとおりです DAI の 概 要 (P.56-1) DAI のデフォルト 設 定 (P.56-5) DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 (P.56-6) DAI の 設 定 (P.56-7) DAI の 設 定 例 (P.56-16) DAI の 概 要 ここでは DAI によって ARP スプーフィング 攻 撃 を 防 止 する 方 法 について 説 明 します ARP の 概 要 (P.56-2) ARP スプーフィング 攻 撃 の 概 要 (P.56-2) DAI および ARP スプーフィング 攻 撃 の 概 要 (P.56-3) 56-1

DAI の 概 要 第 56 章 ARP の 概 要 ARP では IP アドレスを MAC アドレスにマッピングすることで レイヤ 2 ブロードキャスト ドメイ ン 内 の IP 通 信 を 実 現 します たとえば ホスト B がホスト A に 情 報 を 送 信 しようとする 場 合 ホスト B の ARP キャッシュにホスト A の MAC アドレスが 存 在 しないとします ホスト B は ホスト A の IP アドレスに 関 連 付 けられた MAC アドレスを 取 得 するためにブロードキャスト ドメイン 内 のすべて のホスト 用 にブロードキャスト メッセージを 生 成 します このブロードキャスト ドメイン 内 のホスト はすべて ARP 要 求 を 受 信 し ホスト A は MAC アドレスで 応 答 します ARP スプーフィング 攻 撃 の 概 要 ARP スプーフィング 攻 撃 と ARP キャッシュ ポイズニングは ARP 要 求 を 受 信 していないホストでも 応 答 できる ARP の 機 能 性 を 利 用 して 行 う 攻 撃 です 攻 撃 が 開 始 されると 攻 撃 を 受 けたデバイスから のすべてのトラフィックは 攻 撃 者 のコンピュータを 経 由 してルータ スイッチ またはホストに 送 信 されるようになります ARP スプーフィング 攻 撃 は サブネットに 接 続 されたシステムの ARP キャッシュをポイズニング( 汚 染 )し このサブネット 上 の 他 のホスト 宛 てのトラフィックを 代 行 受 信 することで レイヤ 2 ネット ワークに 接 続 されたホスト スイッチ およびルータを 攻 撃 することができます 図 56-1 は ARP キャッシュ ポイズニングの 例 を 示 します 図 56-1 ARP キャッシュ ポイズニング A IA MA A C B B IB MB C IC MC 111750 ホスト A B C は それぞれインターフェイス A B C を 介 してスイッチに 接 続 されています す べてのホストは 同 一 サブネットに 属 します カッコ 内 に 示 されているのは これらの IP アドレス お よび MAC アドレスです たとえば ホスト A が 使 用 する IP アドレスは IA MAC アドレスは MA で す ホスト A が IP レイヤにあるホスト B と 通 信 する 必 要 がある 場 合 ホスト A は IP アドレス IB と 関 連 付 けられている MAC アドレスに ARP 要 求 をブロードキャストします スイッチとホスト B はこ の ARP 要 求 を 受 信 すると IP アドレス IA および MAC アドレス MA を 持 つホストの ARP バインディ ングを それぞれの ARP キャッシュ 内 に 読 み 込 みます たとえば IP アドレス IA は MAC アドレス MA にバインドされます ホスト B が 応 答 すると スイッチとホスト A は IP アドレス IB および MAC アドレス MB を 持 つホストのバインディングを それぞれの ARP キャッシュ 内 に 読 み 込 みます ホスト C は IP アドレス IA(または IB)および MAC アドレス MC を 持 つホストのバインディング によって 偽 装 した ARP 応 答 をブロードキャストすることで ホスト A およびホスト B のスイッチの ARP キャッシュをポイズニングできます ARP キャッシュがポイズニングされたホストは IA また は IB 宛 てのトラフィックに 宛 先 MAC アドレスとして MAC アドレス MC を 使 用 します つまり ホスト C がこのトラフィックを 代 行 受 信 することになります ホスト C は IA および IB に 関 連 付 けら れた 本 物 の MAC アドレスを 知 っているため 正 しい MAC アドレスを 宛 先 として 使 用 することで 代 行 受 信 したトラフィックをこれらのホストに 転 送 できます ホスト C は ホスト A からホスト B への トラフィック ストリーム 内 に 自 身 を 割 り 込 ませています これは man-in-the-middle 攻 撃 の 典 型 的 な トポロジです 56-2

第 56 章 DAI の 概 要 DAI および ARP スプーフィング 攻 撃 の 概 要 DAI は ネットワーク 内 の ARP パケットを 検 証 するセキュリティ 機 能 です DAI は IP アドレスと MAC アドレスとの 無 効 なバインディングを 持 つ ARP パケットを 代 行 受 信 記 録 および 廃 棄 します この 機 能 により 一 部 の man-in-the-middle 攻 撃 からネットワークを 保 護 できます DAI を 使 用 することで 有 効 な ARP 要 求 および 応 答 だけがリレーされるようになります スイッチの 動 作 は 次 のとおりです 信 頼 できないポートを 経 由 したすべての ARP 要 求 および ARP 応 答 を 代 行 受 信 します 代 行 受 信 した 各 パケットが IP アドレスと MAC アドレスの 有 効 なバインディングを 持 つことを 確 認 してから ローカル ARP キャッシュを 更 新 するか または 適 切 な 宛 先 にパケットを 転 送 します 無 効 な ARP パケットはドロップします DAI は 信 頼 できるデータベースに 保 存 された IP アドレスと MAC アドレスとの 有 効 なバインディング に 基 づき ARP パケットの 有 効 性 を 判 断 します このデータベースを DHCP スヌーピング バイン ディング データベースと 呼 びます このデータベースは VLAN およびスイッチ 上 で DHCP スヌーピ ングがイネーブルにされている 場 合 に DHCP スヌーピングによって 構 築 されます 信 頼 できるイン ターフェイス 上 で ARP パケットを 受 信 した 場 合 は スイッチはこのパケットを 検 査 せずに 転 送 しま す 信 頼 できないインターフェイスでは スイッチは 有 効 性 を 確 認 できたパケットだけを 転 送 します DAI では スタティックに 設 定 した IP アドレスを 持 つホストに 対 し ユーザ 設 定 の ARP アクセス コ ントロール リスト(ACL)に 照 合 することで ARP パケットを 検 証 できます( DAI フィルタリングの ための ARP ACL の 適 用 (P.56-9)を 参 照 ) スイッチは ドロップされたパケットを 記 録 します ( ドロップ パケットのロギング (P.56-5)を 参 照 ) DAI では パケット 内 の IP アドレスが 無 効 な 場 合 に ARP パケットをドロップするのか ARP パケッ ト 本 体 の MAC アドレスがイーサネット ヘッダーに 指 定 されたアドレスと 一 致 しない 場 合 に ARP パ ケットをドロップするのかを 設 定 できます( 追 加 検 証 のイネーブル 化 (P.56-11)を 参 照 ) インターフェイスの 信 頼 状 態 とネットワーク セキュリティ DAI は スイッチの 各 インターフェイスに 信 頼 状 態 を 関 連 付 けます 信 頼 できるインターフェイス 上 で 受 信 されたパケットは DAI のすべての 有 効 性 検 査 をバイパスしますが 信 頼 できないインター フェイス 上 で 受 信 されたパケットには DAI の 有 効 性 検 査 が 行 われます 一 般 的 なネットワーク 構 成 では ホスト ポートに 接 続 されているすべてのスイッチ ポートを 信 頼 でき ないポートとして スイッチに 接 続 されているすべてのスイッチ ポートは 信 頼 できるポートとして 設 定 します この 構 成 では 特 定 スイッチからネットワークに 送 信 されるすべての ARP パケットは セ キュリティ 検 査 をバイパスします VLAN 内 またはネットワーク 内 のその 他 の 場 所 では 他 の 検 査 を 実 行 する 必 要 はありません 信 頼 状 態 を 設 定 するには ip arp inspection trust インターフェイス コ ンフィギュレーション を 使 用 します 注 意 信 頼 状 態 の 設 定 は 慎 重 に 行 ってください 信 頼 すべきインターフェイスを 信 頼 できないインター フェイスとして 設 定 すると 接 続 が 失 われる 場 合 があります 図 56-2 では スイッチ A と スイッチ B の 両 方 が ホスト 1 とホスト 2 を 収 容 する VLAN 上 で DAI を 実 行 していると 仮 定 します ホスト 1 とホスト 2 がスイッチ A に 接 続 されている DHCP サーバから IP アドレスを 取 得 すると スイッチ A だけがホスト 1 の IP アドレスと MAC アドレスをバインドしま す したがって スイッチ A とスイッチ B 間 のインターフェイスが 信 頼 できない 場 合 は ホスト 1 か らの ARP パケットはスイッチ B ではドロップされます こうして ホスト 1 とホスト 2 の 間 の 接 続 が 失 われます 56-3

DAI の 概 要 第 56 章 図 56-2 DAI をイネーブルにした VLAN での ARP パケット 検 証 DHCP A 6/3 3/3 B 1 2 130194 実 際 には 信 頼 できないインターフェイスを 信 頼 できるインターフェイスとして 設 定 すると ネットワー ク 内 にセキュリティ ホールが 生 じます スイッチ A が DAI を 実 行 していなければ ホスト 1 は ス イッチ B(スイッチ 間 のリンクが 信 頼 可 能 として 設 定 されている 場 合 はホスト 2 も 同 様 )の ARP キャッシュを 簡 単 にポイズニングできます この 状 況 は スイッチ B が DAI を 実 行 している 場 合 でも 発 生 する 場 合 があります DAI は DAI を 実 行 するスイッチに 接 続 された 信 頼 できないインターフェイス 上 のホストが ネッ トワーク 内 の 他 のホストの ARP キャッシュをポイズニングしないようにします ただし ネットワー クのその 他 の 場 所 にあるホストが DAI を 実 行 するスイッチに 接 続 されたホストのキャッシュをポイ ズニングする 可 能 性 は 防 止 できません VLAN 内 の 一 部 のスイッチが DAI を 実 行 し 他 のスイッチは DAI を 実 行 していない 状 況 では これら のスイッチに 接 続 されたインターフェイスを 信 頼 できないインターフェイスとして 設 定 します ただ し DAI が 設 定 されていないスイッチからのパケットのバインディングを 検 証 するには DAI を 実 行 するスイッチ 上 で ARP ACL を 設 定 します こうしたバインディングを 判 断 できない 場 合 は レイヤ 3 において DAI を 実 行 するスイッチを DAI を 実 行 しないスイッチから 切 り 離 します 設 定 の 詳 細 につ いては 例 2:1 つのスイッチが DAI をサポートする 場 合 (P.56-21)を 参 照 してください ( 注 ) DHCP サーバとネットワークのセットアップ 方 法 によっては VLAN 内 のすべてのスイッチで 特 定 の ARP パケットを 検 証 できない 場 合 もあります ARP パケットのレート 制 限 スイッチは DAI 有 効 性 検 査 を 実 行 することで 着 信 ARP パケットをレート 制 限 して サービス 拒 否 攻 撃 を 防 止 します デフォルトでは 信 頼 できないインターフェイスのレートは 15 パケット / 秒 (pps) です 信 頼 できるインターフェイスは レート 制 限 されません この 設 定 を 変 更 するには ip arp inspection limit インターフェイス コンフィギュレーション を 使 用 します 着 信 ARP パケットのレートが 設 定 したレート 制 限 を 超 えると スイッチはこのポートを errdisable ステートにします ユーザが 介 入 するまで ポートはこの 状 態 を 維 持 します errdisable recovery グ ローバル コンフィギュレーション を 使 用 すると errdisable ステートの 回 復 をイネーブルにで きます これによって ポートは 指 定 のタイムアウト 時 間 が 経 過 すると この 状 態 から 自 動 的 に 回 復 す るようになります 設 定 の 詳 細 については ARP パケットのレート 制 限 の 設 定 (P.56-10)を 参 照 してください 56-4

第 56 章 DAI のデフォルト 設 定 ARP ACL および DHCP スヌーピング エントリの 相 対 的 なプライオリティ DAI では DHCP スヌーピング バインディング データベースを 使 用 して IP アドレスと MAC アドレ スとの 有 効 なバインディングのリストを 維 持 します DHCP スヌーピング バインディング データベース 内 のエントリより ARP ACL の 方 が 優 先 されます ip arp inspection filter グローバル コンフィギュレーション を 使 用 して 設 定 している 場 合 に 限 り ACL はスイッチに 適 用 されます スイッチはまず ARP パケットを ユーザが 設 定 した ARP ACL と 照 合 します ARP パケットが ARP ACL によって 拒 否 される 場 合 は DHCP スヌーピングに よって 読 み 込 まれた 有 効 なバインディングがデータベース 内 に 存 在 する 場 合 であっても スイッチはこ のパケットを 拒 否 します ドロップ パケットのロギング スイッチはパケットをドロップすると ログ バッファ 内 にエントリを 作 成 して レート 制 限 に 基 づく システム メッセージを 生 成 します メッセージが 生 成 されたあとは スイッチはこのエントリをログ バッファから 消 去 します 各 ログ エントリには 受 信 側 の VLAN ポート 番 号 送 信 元 および 宛 先 IP アドレス 送 信 元 および 宛 先 MAC アドレスといったフロー 情 報 が 記 録 されます ip arp inspection log-buffer グローバル コンフィギュレーション を 使 用 して バッファ 内 の エントリ 数 や システム メッセージ 生 成 までの 指 定 のインターバルに 必 要 とされるエントリ 数 を 設 定 します 記 録 されるパケットの 種 類 を 指 定 するには ip arp inspection vlan logging グローバル コン フィギュレーション を 使 用 します 設 定 の 詳 細 については DAI ログ 機 能 の 設 定 (P.56-13)を 参 照 してください DAI のデフォルト 設 定 表 56-1 に DAI のデフォルト 設 定 を 示 します 表 56-1 DAI のデフォルト 設 定 機 能 DAI インターフェイスの 信 頼 状 態 着 信 ARP パケットのレート 制 限 デフォルト 設 定 すべての VLAN でディセーブル すべてのインターフェイスは untrusted 信 頼 できないインターフェイスでは レートを 15 pps に 制 限 ネットワークがレイヤ 2 スイッチド ネット ワークであり ホストが 1 秒 間 に 15 の 新 規 ホストに 接 続 することが 前 提 です 信 頼 できるすべてのインターフェイスでは レート 制 限 は 行 われません 非 DHCP 環 境 に 対 する ARP ACL 有 効 性 検 査 バースト インターバルは 1 秒 です ARP ACL は 定 義 されません 検 査 は 実 行 されません 56-5

DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 第 56 章 表 56-1 DAI のデフォルト 設 定 ( 続 き) 機 能 ログ バッファ VLAN 単 位 のロギング デフォルト 設 定 DAI をイネーブルにした 場 合 は 拒 否 またはドロップ されたすべての ARP パケットが 記 録 されます ログ 内 のエントリ 数 は 32 です システム メッセージ 数 は 毎 秒 5 つに 制 限 されます ロギングレート インターバルは 1 秒 です 拒 否 またはドロップされたすべての ARP パケットが 記 録 されます DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 DAI を 設 定 する 場 合 次 の 注 意 事 項 および 制 約 事 項 に 従 ってください DAI は 入 力 セキュリティ 機 能 であり 出 力 検 査 は 行 いません DAI は DAI をサポートしないスイッチ またはこの 機 能 がイネーブルにされていないスイッチ に 接 続 されたホストに 対 しては 効 果 がありません 中 間 者 攻 撃 は 1 つのレイヤ 2 ブロードキャス ト ドメインに 限 定 されるため DAI 検 査 が 有 効 なドメインを DAI 検 査 の 行 われないドメインか ら 切 り 離 します これにより DAI をイネーブルにしたドメイン 内 のホストの ARP キャッシュを セキュリティ 保 護 できます DAI では 着 信 ARP 要 求 および ARP 応 答 内 の IP アドレスと MAC アドレスとのバインディング を DHCP スヌーピング バインディング データベース 内 のエントリに 基 づいて 検 証 します IP ア ドレスがダイナミックに 割 り 当 てられた ARP パケットを 許 可 する 際 は DHCP スヌーピングをイ ネーブルにしてください 設 定 については 第 54 章 DHCP スヌーピングの 設 定 を 参 照 してく ださい DHCP スヌーピングをディセーブルにしている 場 合 または DHCP 以 外 の 環 境 では ARP ACL を 使 用 してパケットの 許 可 または 拒 否 を 行 います DAI は アクセス ポート トランク ポート EtherChannel ポート およびプライベート VLAN ポートでサポートされます 物 理 ポートを EtherChannel ポート チャネルに 結 合 するには この 物 理 ポートとチャネル ポートの 信 頼 状 態 が 一 致 する 必 要 があります 逆 に ポート チャネルの 信 頼 状 態 を 変 更 すると スイッチはチャネルを 構 成 するすべての 物 理 ポートに 対 し 新 たにこの 信 頼 状 態 を 設 定 します ポート チャネルの 動 作 レートは チャネル 内 のすべての 物 理 ポートによる 累 積 値 です たとえば ポート チャネルの ARP レート 制 限 を 400 pps に 設 定 した 場 合 このチャネルに 結 合 されたすべて のインターフェイスは 合 計 で 400 pps を 受 信 します EtherChannel ポートの 着 信 ARP パケット のレートは 全 チャネル メンバーからのパケットの 着 信 レートを 合 計 したものです EtherChannel ポートのレート 制 限 は 各 チャネル ポート メンバーが 受 信 する ARP パケットの レートを 確 認 してから 設 定 してください 物 理 ポートで 受 信 されるパケットのレートは 物 理 ポートの 設 定 ではなく ポート チャネルの 設 定 に 照 合 して 検 査 されます ポート チャネル 上 のレート 制 限 設 定 は 物 理 ポートの 設 定 に 依 存 し ません EtherChannel が 設 定 したレートより 多 くの ARP パケットを 受 信 すると このチャネル(すべて の 物 理 ポートを 含 む)は errdisable ステートとなります 56-6

第 56 章 DAI の 設 定 着 信 トランク ポートでは ARP パケットを 必 ずレート 制 限 してください トランク ポートは 各 ポートの 集 約 を 考 慮 し DAI をイネーブルにした 複 数 の VLAN でパケットを 処 理 できるように 高 い 値 に 設 定 します また ip arp inspection limit none インターフェイス コンフィギュレー ション を 使 用 して レートを 無 制 限 に 設 定 することもできます 1 つの VLAN に 高 い レート 制 限 値 を 設 定 すると ソフトウェアによってこのポートが errdisable ステートにされた 場 合 に 他 の VLAN へのサービス 拒 否 攻 撃 を 招 く 可 能 性 があります DAI の 設 定 ここでは DAI の 設 定 手 順 について 説 明 します VLAN での DAI のイネーブル 化 (P.56-7) DAI インターフェイスの 信 頼 状 態 の 設 定 (P.56-8) DAI フィルタリングのための ARP ACL の 適 用 (P.56-9) ARP パケットのレート 制 限 の 設 定 (P.56-10) DAI errdisable ステート 回 復 のイネーブル 化 (P.56-11) 追 加 検 証 のイネーブル 化 (P.56-11) DAI ログ 機 能 の 設 定 (P.56-13) DAI 情 報 の 表 示 (P.56-15) VLAN での DAI のイネーブル 化 VLAN で DAI をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection vlan {vlan_id vlan_range} VLAN で DAI をイネーブルにします ステップ 3 Router(config-if)# do show ip arp inspection vlan {vlan_id vlan_range} begin Vlan 目 的 設 定 を 確 認 します DAI は 1 つの VLAN または 特 定 の VLAN 範 囲 でイネーブルにできます 1 つの VLAN でイネーブルにするには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 でイネーブルにするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 します 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつなげて 入 力 することもできます 次 に VLAN 10 ~ 12 で DAI をイネーブルにする 例 を 示 します Router(config)# ip arp inspection vlan 10-12 次 に VLAN 10 ~ 12 で DAI をイネーブルにするもう 1 つの 方 法 を 示 します Router(config)# ip arp inspection vlan 10,11,12 56-7

DAI の 設 定 第 56 章 次 に VLAN 10 ~ 12 および VLAN 15 で DAI をイネーブルにする 例 を 示 します Router(config)# ip arp inspection vlan 10-12,15 次 に 設 定 を 確 認 する 例 を 示 します Router(config)# do show ip arp inspection vlan 10-12,15 begin Vlan Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 10 Enabled Inactive 11 Enabled Inactive 12 Enabled Inactive 15 Enabled Inactive Vlan ACL Logging DHCP Logging ---- ----------- ------------ 10 Deny Deny 11 Deny Deny 12 Deny Deny 15 Deny Deny DAI インターフェイスの 信 頼 状 態 の 設 定 スイッチは 信 頼 できるインターフェイス 上 で 受 信 した ARP パケットを 転 送 しますが 検 査 は 行 いま せん 信 頼 できないインターフェイスでは スイッチはすべての ARP 要 求 および ARP 応 答 を 代 行 受 信 しま す ルータは 代 行 受 信 した 各 パケットが IP アドレスと MAC アドレスとの 有 効 なバインディング を 持 つことを 確 認 してから ローカル キャッシュを 更 新 するか 適 切 な 宛 先 にパケットを 転 送 します スイッチは 無 効 なパケットをドロップし ip arp inspection vlan logging グローバル コンフィギュ レーション で 指 定 されたロギング 設 定 に 基 づき ログ バッファにドロップ パケットを 記 録 し ます 詳 細 については DAI ログ 機 能 の 設 定 (P.56-13)を 参 照 してください DAI インターフェイスの 信 頼 状 態 を 設 定 するには 次 の 作 業 を 行 います 目 的 ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# interface {type 1 slot/port port-channel number} 1. type = fastethernet gigabitethernet または tengigabitethernet 別 のスイッチに 接 続 されているインターフェイスを 指 定 して インターフェイス コンフィギュレーション モー ドを 開 始 します ステップ 3 Router(config-if)# ip arp inspection trust スイッチ 間 の 接 続 を trusted として 設 定 します ステップ 4 Router(config-if)# do show ip arp inspection interfaces DAI の 設 定 を 確 認 します 次 に ファスト イーサネット ポート 5/12 を 信 頼 できるポートとして 設 定 する 例 を 示 します Router(config)# interface fastethernet 5/12 Router(config-if)# ip arp inspection trust Router(config-if)# do show ip arp inspection interfaces include Int -- 5/12 Interface Trust State Rate (pps) Burst Interval 56-8

第 56 章 DAI の 設 定 --------------- ----------- ---------- -------------- Fa5/12 Trusted None N/A DAI フィルタリングのための ARP ACL の 適 用 ( 注 ) arp access-list の 詳 細 については リファレンスを 参 照 してください ARP ACL を 適 用 するには 次 の 作 業 を 行 います 目 的 ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router# ip arp inspection filter arp_acl_name vlan {vlan_id vlan_range} [static] ARP ACL を VLAN に 適 用 します ステップ 3 Router(config)# do show ip arp inspection vlan {vlan_id vlan_range} 入 力 を 確 認 します ARP ACL を 適 用 する 場 合 次 の 点 に 注 意 してください vlan_range には 1 つの VLAN または 特 定 の VLAN 範 囲 を 指 定 できます 1 つの VLAN を 指 定 するには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 で 指 定 にするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 し ます 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつな げて 入 力 することもできます ( 任 意 )static を 指 定 すると ARP ACL 内 の 暗 黙 的 な 拒 否 が 明 示 的 な 拒 否 と 見 なされ それ 以 前 に 指 定 された ACL 句 に 一 致 しないパケットはドロップされます DHCP バインディングは 使 用 され ません このキーワードを 指 定 しない 場 合 は ACL 内 にはパケットを 拒 否 する 明 示 的 な 拒 否 が 存 在 しない ことになります この 場 合 は ACL 句 に 一 致 しないパケットを 許 可 するか 拒 否 するかは DHCP バインディングによって 決 定 されます IP アドレスと MAC アドレスとのバインディングしか 持 たない ARP パケットは ACL に 照 合 され ます パケットは アクセス リストで 許 可 された 場 合 だけに 許 可 されます 次 に example_arp_acl という 名 前 の ARP ACL を VLAN 10 ~ 12 および VLAN 15 に 適 用 する 例 を 示 します Router(config)# ip arp inspection filter example_arp_acl vlan 10-12,15 Router(config)# do show ip arp inspection vlan 10-12,15 begin Vlan Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 10 Enabled Inactive example_arp_acl No 11 Enabled Inactive example_arp_acl No 12 Enabled Inactive example_arp_acl No 15 Enabled Inactive example_arp_acl No Vlan ACL Logging DHCP Logging ---- ----------- ------------ 10 Deny Deny 11 Deny Deny 56-9

DAI の 設 定 第 56 章 12 Deny Deny 15 Deny Deny ARP パケットのレート 制 限 の 設 定 DAI をイネーブルにすると スイッチは ARP パケットの 有 効 性 検 査 を 実 行 します これにより ス イッチは ARP パケットのサービス 拒 否 攻 撃 を 受 けやすくなります ARP パケットをレート 制 限 するこ とで ARP パケットのサービス 拒 否 攻 撃 を 防 止 できます ARP パケットのレート 制 限 をポートに 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# interface {type 1 slot/port 設 定 するインターフェイスを 選 択 します port-channel number} ステップ 3 ステップ 4 Router(config-if)# ip arp inspection limit {rate pps [burst interval seconds] none} Router(config-if)# do show ip arp inspection interfaces 目 的 1. type = fastethernet gigabitethernet または tengigabitethernet ( 任 意 )ARP パケットのレート 制 限 を 設 定 します 設 定 を 確 認 します ARP パケットのレート 制 限 を 設 定 する 場 合 次 の 点 に 注 意 してください デフォルト レートは 信 頼 できないインターフェイスでは 15 pps 信 頼 できるインターフェイス では 無 制 限 です rate pps には 1 秒 あたりに 処 理 される 着 信 パケット 数 の 上 限 を 指 定 します 有 効 な 範 囲 は 0 ~ 2048 pps です rate none キーワードは 処 理 できる 着 信 ARP パケットのレートに 上 限 がないことを 指 定 します ( 任 意 )burst interval seconds(デフォルトは 1)には インターフェイスをモニタして 高 レート の ARP パケットの 有 無 を 確 認 するための 連 続 するインターバルを 秒 単 位 で 指 定 します 有 効 な 範 囲 は 1 ~ 15 です 着 信 ARP パケットのレートが 設 定 したレート 制 限 を 超 えると スイッチはこのポートを errdisable ステートにします ポートは errdisable ステートの 回 復 がイネーブルにされるまで errdisable ステートを 維 持 します errdisable ステートの 回 復 をイネーブルにすると 指 定 のタイ ムアウト 時 間 が 経 過 した 時 点 で ポートは errdisable ステートから 回 復 します インターフェイスのレート 制 限 値 を 設 定 しない 限 り インターフェイスの 信 頼 状 態 を 変 更 すると このレート 制 限 値 も 設 定 した 信 頼 状 態 に 対 応 するデフォルト 値 に 変 更 されます レート 制 限 値 を 設 定 すると 信 頼 状 態 を 変 更 した 場 合 でも インターフェイスはこのレート 制 限 値 を 維 持 します no ip arp inspection limit インターフェイス コンフィギュレーション を 入 力 すると イ ンターフェイスはデフォルトのレート 制 限 値 に 戻 ります トランク ポートおよび EtherChannel ポートで 受 信 される ARP パケットのレート 制 限 を 設 定 する うえでの 注 意 事 項 については DAI 設 定 時 の 注 意 事 項 および 制 約 事 項 (P.56-6)を 参 照 してくだ さい 次 に ファスト イーサネット ポート 5/14 に ARP パケットのレート 制 限 を 設 定 する 例 を 示 します Router(config)# interface fastethernet 5/14 Router(config-if)# ip arp inspection limit rate 20 burst interval 2 56-10

第 56 章 DAI の 設 定 Router(config-if)# do show ip arp inspection interfaces include Int -- 5/14 Interface Trust State Rate (pps) Burst Interval --------------- ----------- ---------- -------------- Fa5/14 Untrusted 20 2 DAI errdisable ステート 回 復 のイネーブル 化 DAI の errdisable ステート 回 復 をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# errdisable recovery cause arp-inspection ステップ 3 Router(config)# do show errdisable recovery include Reason --- arp- 目 的 ( 任 意 )DAI の errdisable ステート 回 復 をイネーブルに します 設 定 を 確 認 します 次 に DAI の errdisable ステート 回 復 をイネーブルにする 例 を 示 します Router(config)# errdisable recovery cause arp-inspection Router(config)# do show errdisable recovery include Reason --- arp- ErrDisable Reason Timer Status ----------------- -------------- arp-inspection Enabled 追 加 検 証 のイネーブル 化 DAI は IP アドレスと MAC アドレスとの 無 効 なバインディングを 持 つ ARP パケットを 代 行 受 信 記 録 および 廃 棄 します 宛 先 MAC アドレス 送 信 元 および 宛 先 IP アドレス 送 信 元 MAC アドレス に 対 し 追 加 検 証 をイネーブルにすることができます 追 加 検 証 をイネーブルにするには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection validate {[dst-mac] [ip] [src-mac]} ( 任 意 ) 追 加 検 証 をイネーブルにします ステップ 3 Router(config)# do show ip arp inspection include abled$ 目 的 設 定 を 確 認 します 56-11

DAI の 設 定 第 56 章 追 加 検 証 では 以 下 を 実 行 します dst-mac:イーサネット ヘッダー 内 の 宛 先 MAC アドレスを ARP 本 体 のターゲット MAC アドレ スと 比 較 して 検 査 します この 検 査 は ARP 応 答 に 対 して 実 行 されます イネーブルにすると 異 なる MAC アドレスを 持 つパケットは 無 効 パケットとして 分 類 され 廃 棄 されます ip:arp 本 体 を 検 査 し 無 効 かつ 予 期 されない IP アドレスの 有 無 を 確 認 します アドレスには 0.0.0.0 255.255.255.255 およびすべての IP マルチキャスト アドレスが 含 まれます 送 信 元 IP アドレスはすべての ARP 要 求 および ARP 応 答 内 で 検 査 され 宛 先 IP アドレスは ARP 応 答 内 だ けで 検 査 されます src-mac:イーサネット ヘッダー 内 の 送 信 元 MAC アドレスを ARP 本 体 の 送 信 元 MAC アドレス と 比 較 して 検 査 します この 検 査 は ARP 要 求 および ARP 応 答 の 両 方 に 対 して 実 行 されます イ ネーブルにすると 異 なる MAC アドレスを 持 つパケットは 無 効 パケットとして 分 類 され 廃 棄 さ れます 追 加 検 証 をイネーブルにする 場 合 次 の 点 に 注 意 してください 少 なくとも 1 つのキーワードを 指 定 する 必 要 があります 各 ip arp inspection validate は それまでに 指 定 したの 設 定 を 上 書 きします ip arp inspection validate によって src -mac および dst-mac 検 証 をイネーブルにし 2 つめの ip arp inspection validate で IP 検 証 だけをイネーブルにした 場 合 は 2 つめのコ マンドの 結 果 によって src-mac および dst-mac 検 証 がディセーブルになります 次 に src-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Disabled IP Address Validation : Disabled 次 に dst-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate dst-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Disabled Destination Mac Validation : Enabled IP Address Validation : Disabled 次 に ip 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate ip Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Enabled 次 に src-mac および dst-mac 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac dst-mac Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Enabled IP Address Validation : Disabled 56-12

第 56 章 DAI の 設 定 次 に src-mac dst-mac および ip 追 加 検 証 をイネーブルにする 例 を 示 します Router(config)# ip arp inspection validate src-mac dst-mac ip Router(config)# do show ip arp inspection include abled$ Source Mac Validation : Enabled Destination Mac Validation : Enabled IP Address Validation : Enabled DAI ログ 機 能 の 設 定 ここでは DAI ログ 機 能 について 説 明 します DAI ログ 機 能 の 概 要 (P.56-13) DAI のログ バッファ サイズの 設 定 (P.56-13) DAI のログ システム メッセージの 設 定 (P.56-14) DAI のログ フィルタリングの 設 定 (P.56-14) DAI ログ 機 能 の 概 要 DAI はパケットをドロップすると ログ バッファ 内 にエントリを 作 成 して レート 制 限 に 基 づくシス テム メッセージを 生 成 します メッセージが 生 成 されたあとは DAI はこのエントリをログ バッファ から 消 去 します 各 ログ エントリには 受 信 側 の VLAN ポート 番 号 送 信 元 および 宛 先 IP アドレ ス 送 信 元 および 宛 先 MAC アドレスといったフロー 情 報 が 記 録 されます ログ バッファ エントリは 複 数 のパケットを 表 すことができます たとえば 同 じ ARP パラメータを 持 つ 同 一 VLAN 上 で 1 つのインターフェイスが 多 数 のパケットを 受 信 した 場 合 は DAI のログ バッ ファではこれらのパケットが 1 つのエントリとして 結 合 され このエントリに 対 して 1 つのシステム メッセージが 生 成 されます ログ バッファでオーバーフローが 生 じた 場 合 は 1 つのログ イベントがログ バッファ 内 に 収 まらな かったことを 意 味 し show ip arp inspection log 特 権 EXEC による 出 力 が 影 響 を 受 けます この 場 合 は パケット 数 と 時 間 だけが 表 示 され あとはデータの 代 わりに 2 つのダッシュ(--)が 表 示 されます このエントリに 対 しては その 他 の 統 計 情 報 は 表 示 されません 出 力 にこのようなエントリ が 表 示 される 場 合 ログ バッファ 内 のエントリ 数 を 増 やすか ロギング レートを 増 やします DAI のログ バッファ サイズの 設 定 DAI のログ バッファ サイズを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection log-buffer entries number ステップ 3 Router(config)# do show ip arp inspection log include Size 目 的 DAI のログ バッファ サイズを 設 定 します( 有 効 範 囲 は 0 ~ 1024) 設 定 を 確 認 します 次 に DAI ログ バッファを 64 メッセージに 設 定 する 例 を 示 します 56-13

DAI の 設 定 第 56 章 Router(config)# ip arp inspection log-buffer entries 64 Router(config)# do show ip arp inspection log include Size Total Log Buffer Size : 64 DAI のログ システム メッセージの 設 定 DAI のログ システム メッセージを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection log-buffer logs number_of_messages interval length_in_seconds DAI のログ バッファを 設 定 します 目 的 ステップ 3 Router(config)# do show ip arp inspection log 設 定 を 確 認 します DAI のログ システム メッセージを 設 定 する 場 合 次 の 点 に 注 意 してください logs number_of_messages の 有 効 範 囲 は 0 ~ 1024 です(デフォルトは 5) 0 は エントリはログ バッファ 内 に 入 力 されますが システム メッセージが 生 成 されないことを 意 味 します interval length_in_seconds の 有 効 範 囲 は 0 ~ 86400 秒 (1 日 )です(デフォルトは 1) 0 は シ ステム メッセージがただちに 生 成 されることを 意 味 します この 場 合 ログ バッファは 常 に 空 と なります インターバル 値 を 0 に 設 定 すると ログ 値 0 は 上 書 きされます システム メッセージは length_in_seconds あたり number_of_messages のレートで 送 信 されます 次 に 2 秒 おきに 12 メッセージが 送 信 されるように DAI のロギングを 設 定 する 例 を 示 します Router(config)# ip arp inspection log-buffer logs 12 interval 2 Router(config)# do show ip arp inspection log include Syslog Syslog rate : 12 entries per 2 seconds. 次 に 60 秒 おきに 20 メッセージが 送 信 されるように DAI のロギングを 設 定 する 例 を 示 します Router(config)# ip arp inspection log-buffer logs 20 interval 60 Router(config)# do show ip arp inspection log include Syslog Syslog rate : 20 entries per 60 seconds. DAI のログ フィルタリングの 設 定 DAI のログ フィルタリングを 設 定 するには 次 の 作 業 を 行 います ステップ 1 グローバル コンフィギュレーション モードを 開 始 しま す ステップ 2 Router(config)# ip arp inspection vlan vlan_range logging {acl-match {matchlog none} dhcp-bindings {all none permit}} 各 VLAN に 対 するログ フィルタリングを 設 定 します ステップ 3 Router(config)# do show running-config include ip arp inspection vlan vlan_range 目 的 設 定 を 確 認 します 56-14

第 56 章 DAI の 設 定 DAI のログ フィルタリングを 設 定 する 場 合 次 の 点 に 注 意 してください デフォルトでは 拒 否 されたすべてのパケットが 記 録 されます vlan_range には 1 つの VLAN または 特 定 の VLAN 範 囲 を 指 定 できます 1 つの VLAN を 指 定 するには 1 つの VLAN 番 号 を 入 力 します 特 定 の VLAN 範 囲 で 指 定 にするには 一 組 の VLAN 番 号 をダッシュ(-)でつなげて 入 力 し ます 複 数 の VLAN 番 号 をカンマで 区 切 って 入 力 することも 一 組 の VLAN 番 号 をダッシュでつな げて 入 力 することもできます acl-match matchlog:dai ACL の 設 定 に 基 づきパケットを 記 録 します このに matchlog キーワードを 指 定 して さらに permit または deny ARP アクセス リスト コンフィギュ レーション に log キーワードを 指 定 すると ACL によって 許 可 または 拒 否 された ARP パ ケットが 記 録 されます acl-match none:acl と 一 致 したパケットを 記 録 しません dhcp-bindings all:dhcp バインディングと 一 致 したすべてのパケットが 記 録 されます dhcp-bindings none:dhcp バインディングと 一 致 したパケットは 記 録 されません dhcp-bindings permit:dhcp バインディングによって 許 可 されたパケットが 記 録 されます 次 に VLAN 100 の DAI ログ フィルタリングを ACL と 一 致 したパケットを 記 録 しないように 設 定 する 例 を 示 します Router(config)# ip arp inspection vlan 100 logging acl-match none Router(config)# do show running-config include ip arp inspection vlan 100 ip arp inspection vlan 100 logging acl-match none DAI 情 報 の 表 示 DAI 情 報 を 表 示 するには 表 56-2 に 示 す 各 特 権 EXEC を 使 用 します 表 56-2 DAI 情 報 を 表 示 するための show arp access-list [acl_name] show ip arp inspection interfaces [interface_id] show ip arp inspection vlan vlan_range 説 明 ARP ACL についての 詳 細 情 報 を 表 示 します 指 定 されたインターフェイスまたはすべてのイン ターフェイスの ARP パケットの 信 頼 状 態 および レート 制 限 を 表 示 します 指 定 の VLAN に 対 し DAI の 設 定 内 容 および 動 作 状 態 を 表 示 します VLAN を 指 定 しない 場 合 ま たは VLAN を 範 囲 で 指 定 した 場 合 は DAI がイ ネーブル(アクティブ)にされている VLAN だけ の 情 報 が 表 示 されます 56-15

DAI の 設 定 例 第 56 章 DAI 統 計 情 報 を 消 去 または 表 示 するには 表 56-3 に 示 す 各 特 権 EXEC を 使 用 します 表 56-3 DAI 統 計 情 報 を 消 去 または 表 示 するための clear ip arp inspection statistics show ip arp inspection statistics [vlan vlan_range] 説 明 DAI 統 計 情 報 を 消 去 します 指 定 の VLAN において 転 送 されたパケット ド ロップされたパケット MAC 検 証 に 失 敗 したパ ケット IP 検 証 に 失 敗 したパケット ACL によっ て 許 可 および 拒 否 されたパケット DHCP によっ て 許 可 および 拒 否 されたパケットの 統 計 情 報 を 表 示 します VLAN を 指 定 しない 場 合 または VLAN を 範 囲 で 指 定 した 場 合 は DAI がイネーブ ル(アクティブ)にされている VLAN だけの 情 報 が 表 示 されます show ip arp inspection statistics では スイッチは 信 頼 できる DAI ポートにおいて 個 々の ARP 要 求 および 応 答 パケットに 対 して 転 送 されたパケット 数 を 増 分 します スイッチは 送 信 元 MAC 宛 先 MAC または IP 検 証 の 結 果 拒 否 された 各 パケットに 対 し ACL によって 許 可 されたパケット または DHCP によって 許 可 されたパケットの 数 を 増 分 します また スイッチは 該 当 する 失 敗 回 数 の 値 も 増 分 します DAI ログ 情 報 を 消 去 または 表 示 するには 表 56-4 に 示 す 各 特 権 EXEC を 使 用 します 表 56-4 DAI ログ 情 報 を 消 去 または 表 示 するための clear ip arp inspection log show ip arp inspection log 説 明 DAI のログ バッファを 消 去 します DAI ログ バッファの 設 定 および 内 容 を 表 示 します DAI の 設 定 例 ここでは 次 の 例 について 説 明 します 例 1:2 つのスイッチが DAI をサポートする 場 合 (P.56-16) 例 2:1 つのスイッチが DAI をサポートする 場 合 (P.56-21) 例 1:2 つのスイッチが DAI をサポートする 場 合 この 手 順 は 2 つのスイッチが DAI 機 能 をサポートする 場 合 の DAI の 設 定 方 法 を 示 します 図 56-2 (P.56-4)に 示 すように ホスト 1 はスイッチ A に ホスト 2 はスイッチ B にそれぞれ 接 続 されていま す 両 方 のスイッチは 各 ホストが 属 する VLAN 1 上 で DAI を 実 行 しています DHCP サーバは ス イッチ A に 接 続 されています 両 方 のホストは 同 一 の DHCP サーバから IP アドレスを 取 得 します スイッチ A はホスト 1 およびホスト 2 のバインディングを 持 ち スイッチ B はホスト 2 のバインディ ングを 持 ちます スイッチ A のファスト イーサネット ポート 6/3 は スイッチ B のファスト イーサ ネット ポート 3/3 に 接 続 されています 56-16

第 56 章 DAI の 設 定 例 ( 注 ) DAI では 着 信 ARP 要 求 および ARP 応 答 内 の IP アドレスと MAC アドレスとのバインディング を DHCP スヌーピング バインディング データベース 内 のエントリに 基 づいて 検 証 します IP ア ドレスがダイナミックに 割 り 当 てられた ARP パケットを 許 可 する 際 は DHCP スヌーピングをイ ネーブルにしてください 設 定 については 第 54 章 DHCP スヌーピングの 設 定 を 参 照 してく ださい この 構 成 は DHCP サーバがスイッチ A から 別 の 場 所 に 移 動 されてしまうと 機 能 しません この 構 成 によってセキュリティが 損 なわれないようにするには スイッチ A のファスト イーサ ネット ポート 6/3 およびスイッチ B のファスト イーサネット ポート 3/3 を 信 頼 できるポート として 設 定 します スイッチ A の 設 定 スイッチ A において DAI をイネーブルにし ファスト イーサネット ポート 6/3 を 信 頼 できるポートと して 設 定 するには 次 の 作 業 を 行 います ステップ 1 スイッチ A およびスイッチ B 間 の 接 続 を 確 認 します SwitchA# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchB Fas 6/3 177 R S I WS-C6506 Fas 3/3 SwitchA# ステップ 2 VLAN 1 で DAI をイネーブルにし 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# ip arp inspection vlan 1 SwitchA(config)# end SwitchA# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 1 Enabled Active Vlan ACL Logging DHCP Logging ---- ----------- ------------ 1 Deny Deny SwitchA# ステップ 3 ファスト イーサネット ポート 6/3 を 信 頼 できるポートとして 設 定 します SwitchA# configure terminal SwitchA(config)# interface fastethernet 6/3 SwitchA(config-if)# ip arp inspection trust SwitchA(config-if)# end SwitchA# show ip arp inspection interfaces fastethernet 6/3 Interface Trust State Rate (pps) 56-17

DAI の 設 定 例 第 56 章 --------------- ----------- ---------- Fa6/3 Trusted None SwitchA# ステップ 4 ステップ 5 バインディングを 確 認 します SwitchA# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:02:00:02:00:02 1.1.1.2 4993 dhcp-snooping 1 FastEthernet6/4 SwitchA# DAI がパケットを 処 理 する 前 後 の 統 計 情 報 を 調 べます SwitchA# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 0 0 0 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 0 0 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchA# このあと ホスト 1 が IP アドレス 1.1.1.2 および MAC アドレス 0002.0002.0002 を 持 つ 2 つの ARP 要 求 を 送 信 すると 両 方 の 要 求 が 許 可 されます これは 次 の 統 計 情 報 で 確 認 できます SwitchA# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 2 0 0 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 2 0 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchA# ホスト 1 がこのあと IP アドレス 1.1.1.3 を 持 つ ARP 要 求 を 送 信 しようとすると このパケットはド ロップされ エラー メッセージが 記 録 されます 00:12:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 2 Invalid ARPs (Req) on Fa6/4, vlan 1.([0002.0002.0002/1.1.1.3/0000.0000.0000/0.0.0.0/02:42:35 UTC Tue Jul 10 2001]) SwitchA# show ip arp inspection statistics vlan 1 SwitchA# この 場 合 に 表 示 される 統 計 情 報 は 次 のようになります Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 2 2 2 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 2 0 0 56-18

第 56 章 DAI の 設 定 例 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchA# スイッチ B の 設 定 スイッチ B において DAI をイネーブルにし ファスト イーサネット ポート 3/3 を 信 頼 できるポートと して 設 定 するには 次 の 作 業 を 行 います ステップ 1 接 続 を 確 認 します SwitchA# show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone Device ID Local Intrfce Holdtme Capability Platform Port ID SwitchB Fas 3/3 120 R S I WS-C6506 Fas 6/3 SwitchB# ステップ 2 VLAN 1 で DAI をイネーブルにし 設 定 を 確 認 します SwitchB# configure terminal SwitchB(config)# ip arp inspection vlan 1 SwitchB(config)# end SwitchB# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 1 Enabled Active Vlan ACL Logging DHCP Logging ---- ----------- ------------ 1 Deny Deny SwitchB# ステップ 3 ファスト イーサネット ポート 3/3 を 信 頼 できるポートとして 設 定 します SwitchB# configure terminal SwitchB(config)# interface fastethernet 3/3 SwitchB(config-if)# ip arp inspection trust SwitchB(config-if)# end SwitchB# show ip arp inspection interfaces Interface Trust State Rate (pps) --------------- ----------- ---------- Gi1/1 Untrusted 15 Gi1/2 Untrusted 15 Gi3/1 Untrusted 15 Gi3/2 Untrusted 15 Fa3/3 Trusted None Fa3/4 Untrusted 15 Fa3/5 Untrusted 15 56-19

DAI の 設 定 例 第 56 章 Fa3/6 Untrusted 15 Fa3/7 Untrusted 15 <output truncated> SwitchB# ステップ 4 ステップ 5 DHCP スヌーピング バインディングのリストを 確 認 します SwitchB# show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- -------------------- 00:01:00:01:00:01 1.1.1.1 4995 dhcp-snooping 1 FastEthernet3/4 SwitchB# DAI がパケットを 処 理 する 前 後 の 統 計 情 報 を 調 べます SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 0 0 0 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 0 0 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchB# ホスト 2 がこのあと IP アドレス 1.1.1.1 および MAC アドレス 0001.0001.0001 を 持 つ ARP 要 求 を 送 信 すると このパケットは 転 送 され 統 計 情 報 も 適 切 に 更 新 されます SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 1 0 0 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 1 0 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchB# ホスト 2 が IP アドレス 1.1.1.2 を 持 つ ARP 要 求 を 送 信 しようとすると この 要 求 はドロップされ シ ステム メッセージが 記 録 されます 00:18:08: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa3/4, vlan 1.([0001.0001.0001/1.1.1.2/0000.0000.0000/0.0.0.0/01:53:21 UTC Fri May 23 2003]) SwitchB# この 場 合 に 表 示 される 統 計 情 報 は 次 のようになります SwitchB# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 1 1 1 0 Vlan DHCP Permits ACL Permits Source MAC Failures 56-20

第 56 章 DAI の 設 定 例 ---- ------------ ----------- ------------------- 1 1 0 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 SwitchB# 例 2:1 つのスイッチが DAI をサポートする 場 合 この 手 順 では 図 56-2(P.56-4)に 示 すスイッチ B が DAI または DHCP スヌーピングをサポートし ていない 場 合 に DAI を 設 定 する 方 法 を 示 します スイッチ B が DAI または DHCP スヌーピングをサポートしていない 場 合 は スイッチ A のファスト イーサネット ポート 6/3 を 信 頼 できるポートとして 設 定 すると セキュリティ ホールが 生 じます こ れは スイッチ A およびホスト 1 が スイッチ B またはホスト 2 によって 攻 撃 される 可 能 性 があるた めです この 可 能 性 を 排 除 するには スイッチ A のファスト イーサネット ポート 6/3 を 信 頼 できないポートと して 設 定 する 必 要 があります ホスト 2 からの ARP パケットを 許 可 するには ARP ACL を 設 定 して VLAN 1 に 適 用 する 必 要 があります ホスト 2 の IP アドレスがスタティックではない 場 合 は スイッ チ A に ACL 設 定 を 適 用 できなくなるため レイヤ 3 でスイッチ B からスイッチ A を 切 り 離 す 必 要 が あります これらのルータ 間 では ルータを 使 用 してパケットをルーティングします スイッチ A に 対 して ARP ACL をセットアップするには 次 の 作 業 を 行 います ステップ 1 ステップ 2 IP アドレス 1.1.1.1 および MAC アドレス 0001.0001.0001 を 許 可 するアクセス リストを 設 定 して 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# arp access-list H2 SwitchA(config-arp-nacl)# permit ip host 1.1.1.1 mac host 1.1.1 SwitchA(config-arp-nacl)# end SwitchA# show arp access-list ARP access list H2 permit ip host 1.1.1.1 mac host 0001.0001.0001 VLAN 1 に ACL を 適 用 して 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# ip arp inspection filter H2 vlan 1 SwitchA(config)# end SwitchA# SwitchA# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Vlan Configuration Operation ACL Match Static ACL ---- ------------- --------- --------- ---------- 1 Enabled Active H2 No Vlan ACL Logging DHCP Logging ---- ----------- ------------ 56-21

DAI の 設 定 例 第 56 章 1 Deny Deny SwitchA# ステップ 3 ファスト イーサネット ポート 6/3 を 信 頼 できないポートとして 設 定 し 設 定 を 確 認 します SwitchA# configure terminal SwitchA(config)# interface fastethernet 6/3 SwitchA(config-if)# no ip arp inspection trust SwitchA(config-if)# end Switch# show ip arp inspection interfaces fastethernet 6/3 Interface Trust State Rate (pps) --------------- ----------- ---------- Fa6/3 Untrusted 15 Switch# ホスト 2 がスイッチ A のファスト イーサネット ポート 6/3 から 5 つの ARP 要 求 を 送 信 し 1 つの get 要 求 がスイッチ A によって 許 可 された 場 合 は 統 計 情 報 は 次 のように 適 切 に 更 新 されます Switch# show ip arp inspection statistics vlan 1 Vlan Forwarded Dropped DHCP Drops ACL Drops ---- --------- ------- ---------- ---------- 1 5 0 0 0 Vlan DHCP Permits ACL Permits Source MAC Failures ---- ------------ ----------- ------------------- 1 0 5 0 Vlan Dest MAC Failures IP Validation Failures ---- ----------------- ---------------------- 1 0 0 Switch# ヒント Cisco Catalyst 6500 シリーズ スイッチの 詳 細 ( 設 定 例 およびトラブルシューティング 情 報 を 含 む)については 次 のページに 示 されるドキュメントを 参 照 してください http://www.cisco.com/en/us/products/hw/switches/ps708/tsd_products_support_series_home.html 56-22