Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
ブリッジング パラメータおよびARP検 査の設定
ブリッジング パラメータおよびARP検査の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ブリッジング パラメータおよびARP検査の設定

MACアドレス テーブルのカスタマイズ

MACアドレス テーブルの概要

スタティックMACアドレスの追加

MACアドレス タイムアウトの設定

MACアドレス学習のディセーブル設定

MACアドレス テーブルの表示

ARP検査の設定

ARP検査の概要

スタティックARPエントリの追加

ARP検査のイネーブル設定

ブリッジング パラメータおよびARP検査の設定

トランスペアレント ファイアウォール モード限定

この章では、ブリッジング動作をカスタマイズし、トランスペアレント ファイアウォールでARPを使用できるようにする方法について説明します。この章で説明する内容は、次のとおりです。

「MACアドレス テーブルのカスタマイズ」

「ARP検査の設定」

MACアドレス テーブルのカスタマイズ

ここでは、次の内容について説明します。

「MACアドレス テーブルの概要」

「スタティックMACアドレスの追加」

「MACアドレス タイムアウトの設定」

「MACアドレス学習のディセーブル設定」

「MACアドレス テーブルの表示」

MACアドレス テーブルの概要

FWSMは、通常のブリッジまたはスイッチと同様に、MACアドレスを学習してMACアドレス テーブルを作成します。装置がFWSMを介してパケットを送信すると、FWSMがMACアドレスをアドレス テーブルに追加します。このテーブルでMACアドレスと送信元インターフェイスが対応付けられるので、FWSMは適切なインターフェイスから装置宛てのパケットを送信できます。

FWSMはファイアウォールなので、パケットの宛先MACアドレスがテーブルに含まれていなくても、通常のブリッジのように、すべてのインターフェイスに元のパケットをFWSMがフラッディングすることはありません。その代わり、直接接続された装置またはリモート装置用に次のパケットを生成します。

直接接続装置用のパケット ― FWSMは宛先IPアドレスへのARP要求を生成し、FWSMにARP応答を受信するインターフェイスがわかるようにします。

リモート装置用のパケット ― FWSMは宛先IPアドレスへのpingを生成し、FWSMにping応答を受信するインターフェイスがわかるようにします。

元のパケットは廃棄されます。


) マルチコンテキスト モードの場合、コンテキスト クラスにおけるMACアドレス テーブル エントリの最大数を制限できます。詳細については、「クラスの設定」を参照してください。


スタティックMACアドレスの追加

MACアドレスは通常、特定のMACアドレスからのトラフィックがインターフェイスに届いたときに、MACアドレス テーブルに動的に追加されます。MACアドレス テーブルには、必要に応じてスタティックMACアドレスを追加できます。


 

MACアドレス テーブルにスタティックMACアドレスを追加するには、次のコマンドを入力します。

FWSM/contexta(config)# mac-address-table static interface_name mac_address
 

interface_name は送信元インターフェイスです。


 

MACアドレス タイムアウトの設定

ダイナミックMACアドレス テーブル エントリのタイムアウト値は、デフォルトで5分です。このタイムアウト値は変更可能です。


 

タイムアウト値を変更するには、次のコマンドを入力します。

FWSM/contexta(config)# mac-address-table aging-time timeout_value
 

timeout_value (分)は、5~720分(12時間)です。5分がデフォルトです。


 

MACアドレス学習のディセーブル設定

デフォルトでは、各インターフェイスが着信トラフィックのMACアドレスを自動的に学習し、FWSMが対応するエントリをMACアドレス テーブルに追加します。必要に応じて、MACアドレス学習をディセーブルに設定できます。


 

MACアドレス学習をディセーブルにするには、次のコマンドを入力します。

FWSM/contexta(config)# mac-learn interface_name disable
 

このコマンドの no 形式を使用すると、MACアドレス学習が再びイネーブルになります。


 

MACアドレス テーブルの表示

MACアドレス テーブル全体を(両方のインターフェイスのスタティックおよびダイナミック エントリを含めて)表示することも、または特定のインターフェイスのMACアドレス テーブルを表示することもできます。


 

MACアドレス テーブルを表示するには、次のコマンドを入力します。

FWSM/contexta# show mac-address-table [interface_name]
 


 

MACアドレス テーブル全体の例を示します。

FWSM/contexta# show mac-address-table
interface mac address type Time Left
-----------------------------------------------------------------------
outside 0009.7cbe.2100 static -
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10
 

内部インターフェイスのMACアドレス テーブルの例を示します。

FWSM/contexta# show mac-address-table inside
interface mac address type Time Left
-----------------------------------------------------------------------
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10

ARP検査の設定

ここでは、ARP検査およびARP検査をイネーブルにする方法について説明します。

「ARP検査の概要」

「スタティックARPエントリの追加」

「ARP検査のイネーブル設定」

ARP検査の概要

デフォルトでは、ARP検査はすべてのインターフェイスでディセーブルです。すべてのARPパケットがFWSMを通過できます。

ARP検査をイネーブルにすると、FWSMはすべてのARPパケットについて、MACアドレス、IPアドレス、および送信元インターフェイスをARPテーブルのスタティック エントリと照合して、次の動作を実行します。

IPアドレス、MACアドレス、および送信元インターフェイスがARPエントリと一致した場合、パケットを通過させます。

MACアドレス、IPアドレス、または送信元インターフェイスが一致しない場合、FWSMはそのパケットを廃棄します。

ARPパケットのエントリがスタティックARPテーブルのエントリと1つも一致しなかった場合に、FWSMがそのパケットをすべてのインターフェイスに転送するように(フラッディング)、またはパケットを廃棄するように設定できます。

ARP検査によって、不正なユーザが他のホストまたはルータになりすます(ARPスプーフィング)ことが防止されます。ARPスプーフィングは「Man-In-The-Middle(MITM;仲介者)」攻撃を引き起こします。たとえば、ホストからゲートウェイ ルータにARP要求を送ると、ゲートウェイ ルータはゲートウェイ ルータのMACアドレスで応答します。ところが、攻撃側は、ルータのMACアドレスの代わりに攻撃側のMACアドレスを使用して別のARP応答をホストに送ります。これにより、攻撃側は、ルータに転送される前にあらゆるホスト トラフィックを代行受信できるようになります。

ARP検査により、スタティックARPテーブルに正しいMACアドレスとそれに対応するIPアドレスが指定されているかぎり、攻撃側が自分のMACアドレスを使用してARP応答を送信できないことが保証されます。

スタティックARPエントリの追加

ARP検査では、ARPパケットと、ARPテーブルに登録されたスタティックARPエントリを照合します。


 

スタティックARPエントリを追加するには、次のコマンドを入力します。

FWSM/contexta(config)# arp interface_name ip_address mac_address
 


 

たとえば、MACアドレス0009.7cbe.2100を持つルータの外部インターフェイス10.1.1.1からのARP応答を許可するには、次のコマンドを入力します。

FWSM/contexta(config)# arp outside 10.1.1.1 0009.7cbe.2100

ARP検査のイネーブル設定


 

ARP検査をイネーブルにするには、次のコマンドを入力します。

FWSM/contexta(config)# arp-inspection interface_name enable [flood | no-flood]
 

flood (デフォルト)を使用すると、一致しなかったARPパケットはすべてのインターフェイスに転送されます。 no-flood を使用すると、一致しなかったパケットは廃棄されます。


 

たとえば、外部インターフェイス上でARP検査をイネーブルにして、一致しなかったすべてのARPパケットを廃棄する場合は、次のコマンドを入力します。

FWSM/contexta(config)# arp-inspection outside enable no-flood