Home | Skip to Main Content | Skip to Search | Skip to Navigation | Skip to Footer |
Japan [変更] ユーザ登録 |シスコについて |日本のオフィス
Guest

Hierarchical Navigation

スイッチ : Cisco Catalyst 3550 シリーズ スイッチ

Catalyst 2970、3550、3560、および 3750 シリーズ スイッチでの MAC アクセス リストと VLAN アクセス マップを使用した ARP パケットのブロック

機械翻訳のご利用について
機械翻訳版 - July 31, 2006
ライター翻訳版 - July 31, 2006
英語版 - July 31, 2006
Document ID: 64844

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      設定例
検証
トラブルシューティング
NetPro ディスカッション フォーラム - 特集対話
関連情報

概要

ネットワークで、Address Resolution Protocol(ARP)要求パケットをブロックして、ユーザ アクセスを制限できます。 いくつかのネットワークシナリオでは、に、ないIPアドレスに、レイヤ2 MACアドレス基づいてARPパケットをブロックしたいと思います。か。このタイプの制限は、MAC アドレスの Access Control List(ACL; アクセス コントロール リスト)と VLAN のアクセス マップを作成し、それらを VLAN インターフェイスに適用することで実現できます。

このドキュメントでは、Cisco Catalyst 3550 シリーズ スイッチ用の設定を説明しています。 このシナリオでいずれの Catalyst 2970、3560、または 3750 シリーズ スイッチを使用しても、同じ結果が得られます。 資料にVLAN内のデバイス間のコミュニケーションをブロックするためにMAC ACLを設定する方法を示されています。か。ホストの Network Interface Card(NIC; ネットワーク インターフェイス カード)アダプタの製造元に基づいて、単一のホストや、ある範囲内のホストをブロックできます。 IEEEの組織固有識別子(OUI)およびcompany_idの割り当てに基づいてこれらのデバイスから起こすARPパケットを拒否する場合ホストの範囲をブロックできます。か。

前提条件

要件

IEEE OUI および company_id の割り当てを確認するには、『IEEE OUI and Company_id Assignments』を参照してください。leavingcisco.com

使用するコンポーネント

このドキュメントの情報は、Cisco Catalyst 3550 スイッチに基づくものです。

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 この文書で使用するデバイスは、すべて初期(デフォルト)の設定で起動しています。 コマンドが実稼動中のネットワークに与える影響について理解しておいてください。

関連製品

この設定でこれらのコマンドをサポートしているスイッチには、他に次のものがあります。

  • Catalystか。2970、3560、か3750シリーズスイッチ

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能の設定に必要な情報を提供します。

MAC アドレスによるフィルタリングを設定して、これを VLAN インターフェイスに適用するには、いくつかの手順を実行する必要があります。 まず、フィルタリングが必要なトラフィックのタイプごとに VLAN アクセス マップを作成します。 ブロックする MAC アドレスを 1 つまたは範囲で選択します。 また、アクセス リストでは ARP トラフィックを識別する必要があります。 RFC 826 の指定では、ARP フレームは値が 0x806 のイーサネット プロトコル タイプを使用しています。leavingcisco.com アクセス リストで対象トラフィックとして、このプロトコル タイプをフィルタリングできます。

  1. グローバル コンフィギュレーション モードで、ARP_Packet という名前の、名前付き MAC 拡張アクセス リストを作成します。

    mac access-list extended ACL_name コマンドを発行して、ブロックするホストの MAC アドレス(複数可)を追加します。

    Switch(config)#mac access-list extended ARP_Packet
Switch(config-ext-nacl)#permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0
Switch(config-ext-nacl)#end
Switch(config)#

  2. vlan access-map map_ name コマンドを発行し、さらに実行するアクションとして action drop コマンドを発行します。

    vlan access-map map_ name コマンドでは、ホストから ARP トラフィックをブロックするために作成した MAC アクセス リストが使用されます。

    Switch(config)#vlan access-map block_arp 10

Switch (config-access-map)#action drop
Switch (config-access-map)#match mac address ARP_Packet

  3. 同じ VLAN アクセス マップに、それ以外のトラフィックを転送するための行を追加します。

    Switch(config)#vlan access-map block_arp 20
Switch (config-access-map)#action forward

  4. VLAN アクセス マップを選択して、VLAN インターフェイスに適用します。

    VLAN filter vlan_access_map_name vlan-list vlan_number コマンドを発行します。

    Switch(config)#vlan filter block_arp vlan-list 2

設定例

この設定例では、3 つの MAC アクセス リストと 3 つの VLAN アクセス マップを作成します。 この設定では、3 つ目の VLAN アクセス マップを VLAN インターフェイス 2 に適用します。

3550 スイッチ

 
mac access-list extended ARP_Packet
permit host 0000.861f.3745 host 0006.5bd8.8c2f 0x806 0x0

!--- This blocks communication between hosts with this MAC.

!
mac access-list extended ARP_ONE_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from this vendor OUI.

!
mac access-list extended ARP_TWO_OUI
permit 0000.8600.0000 0000.00ff.ffff any 0x806 0x0
permit 0006.5b00.0000 0000.00ff.ffff any 0x806 0x0

!--- This blocks any ARP packet that originates from these two vendor OUIs.

!
vlan access-map block_arp 10
action drop
match mac address ARP_Packet
vlan access-map block_arp 20
action forward


vlan access-map block_one_oui 10
action drop
match mac address ARP_ONE_OUI
vlan access-map block_one_oui 20
action forward


vlan access-map block_two_oui 10
action drop
match mac address ARP_TWO_OUI
vlan access-map block_two_oui 20
action forward


!
vlan filter block_two_oui vlan-list 2

!--- This applies the MAC ACL name “block_two_oui” to VLAN 2.

検証

このセクションを使用して、設定が正しく動作していることを確認します。

MAC ACL を適用する前に、スイッチが MAC アドレスまたは ARP エントリを学習しているかどうかを確認できます。 次の例に示すように、show mac-address-table コマンドを発行します。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

switch#show mac-address-table dynamic vlan 2
?????? ????Mac Address Table
-------------------------------------------

Vlan??? Mac Address?????? Type??????? Ports
----??? -----------?????? --------??? -----
??? 2??? 0000.861f.3745??? DYNAMIC???? Fa0/21
??? 2??? 0006.5bd8.8c2f??? DYNAMIC???? Fa0/22
Total Mac Addresses for this criterion: 2

switch#show ip arp
Protocol? Address????????? Age (min)? Hardware Addr?? Type?? Interface
Internet? 10.1.1.2?????????????? 26?? 0000.861f.3745? ARPA?? Vlan2
Internet? 10.1.1.3?????????????? 21?? 0006.5bd8.8c2f? ARPA?? Vlan2
Internet? 10.1.1.1??????????????? -?? 000d.65b6.9700? ARPA?? Vlan2

トラブルシューティング

現時点では、この設定に対して使用可能な特定のトラブルシューティング情報はありません。

NetPro ディスカッション フォーラム - 特集対話

Networking Professionals Connection はネットワーキング プロフェッショナルが、ネットワーキングに関するソリューション、製品、およびテクノロジーについての質問、提案、情報を共有するためのフォーラムです。 特集リンクでは、このテクノロジー分野での最新の対話を取り上げています。
NetPro ディスカッション フォーラム - LAN に関する特集対話
Network Infrastructure: LAN ルーティングと切り替え
Network Infrastructure: LAN 入門

関連情報