Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド
ARP 情報のモニタリングおよびメンテナンス
ARP 情報のモニタリングおよびメンテナンス
発行日;2012/02/01 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ARP 情報のモニタリングおよびメンテナンス

機能情報の入手方法

この章の構成

に関する制約事項

ARP ハイ アベイラビリティ

ARP 攻撃に備える ARP セキュリティ

について

の概要

ARP 情報の表示に関する機能拡張

ARP 情報のリフレッシュに関する機能拡張

ARP デバッグ トレースの機能拡張

ARP セキュリティの機能拡張

アドレス解決プロトコル

ARP のブロードキャストおよび応答のプロセス

ARP キャッシング

ARP テーブル

ARP テーブル エントリ モード

基本 ARP テーブル エントリ モード

アプリケーション特有の ARP テーブル エントリ モード

ARP テーブル エントリのサブブロック

ARP テーブル エントリと Cisco Express Forwarding 隣接との同期化

ARP テーブル サイズのインターフェイス単位のモニタリング

ARP ハイ アベイラビリティ

ステートフル スイッチオーバーとの共存

同期化キュー

バックアップ ARP テーブル

ARP HA ステート マシン

ARP 情報のモニタリングおよびメンテナンスの手順

ARP テーブル エントリ情報の表示

ARP HA ステータスおよび統計情報の表示

ダイナミックに学習した ARP テーブル エントリのリフレッシュ

学習した ARP テーブル エントリに対する上限の設定

前提条件

制約事項

ARP HA 統計情報のリセット

ARP トランザクションのデバッグ トレースのイネーブル化

インターフェイスで学習したエントリ数についての ARP トラップのイネーブル化

予期される ARP 攻撃のインジケータとしての ARP テーブル サイズ

前提条件

ARP 情報のモニタリングおよびメンテナンスの設定例

学習する ARP テーブル エントリ数の上限の設定:例

学習する ARP テーブル エントリ数の上限の表示:例

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

の機能情報

用語集

ARP 情報のモニタリングおよびメンテナンス

ARP 情報のモニタリングおよびメンテナンスに関するこのドキュメントは、arp 情報のモニタリングおよびメンテナンスに関する実践について説明します。

Address Resolution Protocol(ARP; アドレス解決プロトコル)は、IP アドレスを MAC アドレスにマッピングするためのインターネット プロトコルです。ARP は、IP ルーテッド ホストの持つハードウェア アドレスとも呼ばれる MAC アドレスを既知の IP アドレスから検索し、このマッピング情報をテーブルに保持します。ルータはこの IP アドレスと MAC アドレスのマッピング情報を使用してネットワークのネクストホップ ルータに IP パケットを送信します。

ARP 情報のモニタリングおよびメンテナンスの機能により、次に挙げる Cisco IOS 環境で ARP をサポートする管理ツールの性能が向上します。

ARP 分析アクティビティのサポート機能をさらに高めるための ARP 管理機能で詳細情報が提供され、ARP 情報を介したより粒度の高い制御ができます。この情報は、ARP パケットのトラフィック、ARP の High Availability(HA; ハイ アベイラビリティ)、または Cisco Express Forwarding 隣接を使用した ARP 同期などの各種の問題を調査するためにも使用できます。

ARP デバッグ トレース ファシリティにより、ARP イベントのタイプごとに ARP パケットのデバッグをトレースできます。ARP デバッグは、指定したインターフェイスおよびアクセス リストに一致するホストのいずれかまたは両方に基づいて ARP エントリをフィルタリングできます。

ARP 攻撃に備えるセキュリティ機能の向上のため、トラップベースの ARP システム メッセージのロギングをインターフェイスごとに設定して、予期される異常についてネットワーク管理者に警告できます。

メモリ不足が原因でシステムが不安定になるのを防ぐために、システムが学習できる ARP エントリの数を制限できます。この機能は、Cisco 7600 プラットフォームの Cisco IOS Release 12.2(33)SRD3 以降だけでサポートされます。

ARP 情報のモニタリングおよびメンテナンスのこれらの追加機能に関する設定作業はありません。この機能で導入された ARP 関連の機能拡張は、既存の ARP 管理作業を拡張したものです。

機能情報の入手方法

ご使用のソフトウェア リリースで、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ARP 情報のモニタリングおよびメンテナンスの機能情報」 を参照してください。

プラットフォームのサポートと Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

ARP 情報のモニタリングおよびメンテナンスに関する制約事項

Cisco IOS Release 12.4(11)T では、ARP 情報のモニタリングおよびメンテナンス機能に、次の各項で説明する制約が適用されます。

「ARP ハイ アベイラビリティ」

「ARP 攻撃に備える ARP セキュリティ」

ARP ハイ アベイラビリティ

ARP サブシステムは、デュアル Route Processors(RP; ルート プロセッサ)対応のシスコのネットワーキング デバイスに対し、冗長処理機能を提供する ARP HA をサポートします。ただし、ARP HA は、アクティブ RP からスタンバイ RP へとダイナミックに学習した ARP エントリの同期化に限定されます。スタティックに設定された ARP エントリは、スタンバイ RP に対して同期されません。

ARP 攻撃に備える ARP セキュリティ

ARP サブシステムは、特定のインターフェイスでの ARP テーブル エントリ数のモニタリングにより、予期される ARP 攻撃の検出方法をサポートします。ただし、ルータレベルのセキュリティ機能では、Man-in-the-Middle(MiM)タイプの ARP スプーフィング攻撃を防止できません。これは盗聴による攻撃の一種で、攻撃者が移動中のデータを傍受したり選択的に変更したりして、関係する通信で 1 つ以上のエンティティになりすますものです。このセキュリティ問題を解決するための ARP 機能はまだ実装されていません。ARP 攻撃からルータを保護する最良の方法は、ルータ レベルではなくスイッチで ARP Access Control List(ACL; アクセス コントロール リスト)フィルタを使用して対処することです。

ARP 情報のモニタリングおよびメンテナンスについて

ARP 情報のモニタリングおよびメンテナンスを始める前に、次の概念を理解する必要があります。

「ARP 情報のモニタリングおよびメンテナンスの概要」

「アドレス解決プロトコル」

「ARP テーブル」

「ARP テーブル エントリ モード」

「ARP テーブル エントリのサブブロック」

「ARP テーブル エントリと Cisco Express Forwarding 隣接との同期化」

「ARP テーブル サイズのインターフェイス単位のモニタリング」

「ARP ハイ アベイラビリティ」

ARP 情報のモニタリングおよびメンテナンスの概要

ARP 情報のモニタリングおよびメンテナンス機能により、Cisco IOS 環境で ARP をサポートする管理ツールの機能が向上します。ARP の全機能の詳細については、「その他の関連資料」を参照してください。次の各項では、Cisco IOS Release 12.4(11)T で導入された ARP サブシステムの機能拡張の概要を示します。

「ARP 情報の表示に関する機能拡張」

「ARP 情報のリフレッシュに関する機能拡張」

「ARP デバッグ トレースの機能拡張」

「ARP セキュリティの機能拡張」

ARP 情報の表示に関する機能拡張

ARP の情報表示機能が拡張され、選択した ARP エントリ、ARP エントリの詳細、および他の ARP 情報の表示がサポートされるようになりました。

選択した ARP エントリの表示

表示する ARP テーブルのエントリを、次の条件に基づいて選択できます。

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)Routing and Fowarding(VRF; VPN ルーティング/転送)インスタンス

ARP モード タイプ

ホストまたはネットワーク

ルータ インターフェイス

Release 12.4(11)T よりも前の Cisco IOS ソフトウェアの場合、 show arp コマンドを実行すると ARP の全テーブルが表示されます。

ARP エントリの詳細の表示

次の ARP の詳細情報を表示できます。

隣接の通知:この情報を使用すると、ARP パケットのトラフィック、ARP HA、または Cisco Express Forwarding 隣接の ARP 通知に関する問題を調査できます。ARP サブシステムで ARP エントリと Cisco Express Forwarding 隣接とを同期させる必要がある場合、表示される関連エントリにこの情報が含まれます。

浮動スタティック ARP エントリに関連するインターフェイス:ARP サブシステムで、浮動スタティック ARP エントリに関連するインターフェイスを検索できた場合は、表示される関連エントリにこの情報が含まれます。

アプリケーションのサブブロック:アプリケーション特有の ARP エントリを表示する場合、サブブロック データに関する情報がこの表示に含まれます。

Cisco IOS Release 9.0 で導入された show ip arp コマンドを使用すると、特定の条件(IP アドレス、インターフェイス、またはハードウェア アドレス)に基づいた特定の ARP テーブル エントリだけを表示できます。ただし、このコマンドは ARP エントリ モード、Cisco Express Forwarding 隣接の通知情報、または浮動スタティック ARP エントリの関連インターフェイスは表示しません。

他の ARP 情報の表示

ARP テーブルのエントリの内容以外にも次の ARP 情報を表示できます。

ARP テーブルの要約統計情報:モード タイプ別およびインターフェイスあたりのテーブルのエントリ数。

ARP HA のステータスおよび統計情報:現在のステートおよび RP の最近のアクティビティに基づいてさまざまな種類のスイッチオーバー統計情報が表示されます。

ARP 情報のリフレッシュに関する機能拡張

Release 12.4(11)T よりも前の Cisco IOS ソフトウェアの場合、 clear arp コマンドを実行すると、ARP テーブルに含まれるスタティックでないすべてのエントリがリフレッシュされます。ARP 情報のリフレッシュ ファシリティを次のように使用することで、選択した ARP 情報を管理できます。

スタティックでないすべての ARP テーブル エントリをリフレッシュ

特定のインターフェイスに関連付けられているスタティックでない ARP テーブル エントリをリフレッシュ

特定の VRF の特定の IP アドレスに関するスタティックでない ARP テーブル エントリをリフレッシュ

ARP HA 統計情報をリセット

ARP デバッグ トレースの機能拡張

Release 12.4(11)T よりも前の Cisco IOS ソフトウェアの場合、 debug arp コマンドを実行すると、ARP パケットのトラフィックについてだけ情報のデバッグをサポートします。現在、ARP デバッグ トレース ファシリティには、ARP デバッグ トレース用の詳細な選択オプションとフィルタリング オプションが提供されています。

選択した ARP イベントに実行するデバッグ トレース

次のタイプの ARP イベントについて、ARP デバッグ情報をイネーブルにできます。

ARP テーブル エントリ イベント

ARP テーブル イベント

ARP インターフェイス通信

ARP HA イベント

インターフェイスまたはアクセス リストによる、デバッグ トレースのフィルタリング サポート

debug arp コマンドは、 debug list コマンドで定義されたデバッグ トレースのフィルタリングをサポートします。この機能拡張により、特定のルータ インターフェイスと IP アドレスのアクセス リストのいずれかまたは両方を基準とした、必要なデバッグ情報に絞って ARP の情報のデバッグを行えるようになります。

ARP セキュリティの機能拡張

ARP システム メッセージのロギング(syslog)出力をトラップベースでイネーブルに設定すると、ルータは各インターフェイスでダイナミックに学習された ARP テーブル エントリの数をモニタし、特定のインターフェイスで学習された ARP エントリが事前の設定値を超過したときに ARP ロギングをトリガーします。

このような syslog トラップは、次はネットワーク管理者にアラートを通知します(Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)などのプロトコルを通じて)。ここでは影響を受けるインターフェイスの ID と、そのインターフェイスで学習された ARP エントリの数も通知されます。すると、管理者は、当該の ARP テーブルが設定済みのしきい値を超過するまでに拡大した原因を調べ、予期されるセキュリティ侵犯を解決するために必要な措置を講じます。また、ルータは、リフレッシュの頻度を増やすことからインターフェイス ポートをシャットダウンするに至るまで、重大度に応じたアクションを取るという自衛措置を自動的に行えます。


) このルータレベルのセキュリティ機能は、MiM ARP スプーフィング攻撃の検出には役立ちますが、この種の攻撃を未然に防ぐことはできません。このセキュリティ問題を解決するための ARP 機能はまだ実装されていません。ARP 攻撃からルータを保護する最良の方法は、ルータ レベルではなくスイッチで ARP ACL フィルタを使用して対処することです。


アドレス解決プロトコル

ARP は、RFC 826 に定義されているように、インターネットワーク通信での対話を実現するために開発されました。ルータとレイヤ 3 スイッチは、IP アドレスと MAC ハードウェア アドレスをマップするために ARP が必要です。マッピングによってネットワーク経由で IP パケットが送信できます。次の項では、ARP の背景情報を説明します。

「ARP のブロードキャストおよび応答のプロセス」

「ARP キャッシング」

ARP のブロードキャストおよび応答のプロセス

デバイスは他のデバイスにデータグラムを送信する前に、自身の ARP 情報を検索して、宛先デバイスの MAC アドレスや対応する IP アドレスがあるかどうか確認します。エントリがない場合、発信元のデバイスは、ネットワーク上のすべてのデバイスにブロードキャスト メッセージを送信します。各デバイスは、IP アドレスをそれぞれ自身の IP アドレスと比較します。一致する IP アドレスを持つデバイスだけが発信元のデバイスに対し、このデバイスの MAC アドレスを含むパケットを送信して応答します。送信元デバイスは、以降の参照用に宛先デバイスの MAC アドレスを自身の ARP テーブルに追加し、データリンク ヘッダーの作成とパケットをカプセル化するトレーラの作成を行った後、データ転送を開始します。

宛先デバイスがリモート ネットワーク、つまり、別のルータを経由した先にある場合、プロセスはほぼ同じですが、発信元のデバイスがデフォルト ゲートウェイの MAC アドレスの ARP 要求を送信する点だけが異なります。アドレスが解決し、デフォルト ゲートウェイがパケットを受信すると、デフォルト ゲートウェイは、そこに接続されているネットワーク全体に宛先 IP アドレスをブロードキャストします。宛先デバイスのネットワーク上のルータは、ARP を使用して宛先デバイスの MAC アドレスを取得し、パケットを配信します。

ARP キャッシング

IP アドレスの MAC アドレスへのマッピングは、データグラムがインターネットワークを越えて送信されるたびにネットワーク上の各ホップ(ルータ)で行われるため、ネットワークのパフォーマンスが低下する可能性があります。ブロードキャストを最小限に抑え、ネットワーク リソースの無駄な使用を制限するために、ARP キャッシングが実装されました。

ARP キャッシングとは、ネットワーク アドレスを学習するたびにそのアドレスと関連するデータリンク アドレスをメモリに一定期間保存する手法です。この手法を使えば、データグラムの送信のたびに同じアドレスをブロードキャストするという貴重なネットワーク リソースの使用を最小限に抑えることができます。キャッシュ エントリは、情報が古くなる可能性があるため、メンテナンスする必要があります。つまり、キャッシュ エントリに定期的な期限を設定することが重要です。ネットワーク上のすべてのデバイスは、アドレスがブロードキャストされるとそれぞれのテーブルを更新します。

ARP テーブル

ARP テーブルは、シスコのルータがルートマッピング情報をキャッシュに学習および設定したデータベースを提供します。ARP テーブルの各エントリは、ローカル IP アドレス(ルータが所有するデバイスを表す)または、リモート ホスト IP アドレス(外部デバイスを表す)のいずれかに関連付けられます。エントリの内容によって次の ARP 固有の情報が定義されます。

当該ポートの 32 ビットの IP アドレスと 48 ビットの MAC アドレスとの関連

Cisco IOS 環境の ARP をサポートするために必要な他の情報(リンク タイプ、VRF テーブル ID、およびカプセル化のタイプ)

ルータが Cisco Express Forwarding などの IP スイッチング テクノロジーを使用してパケットを転送すると、ARP テーブルのエントリから MAC リライト情報が提供されます。

ARP テーブル エントリ モード

ARP テーブルの各エントリにはモード タイプが指定されています。ARP サブシステムは、基本 ARP テーブル エントリ モードをサポートし、また、新しいアプリケーション特有のモードを導入しています。

基本 ARP テーブル エントリ モード

ARP サブシステムでは、次のような基本 ARP テーブル エントリ モードを使用して、ARP の内部処理を行うための ARP エントリを構成します。

エイリアス:このモードは、管理者がローカル IP アドレス、サブネット マスク、ゲートウェイ、および対応する MAC アドレスを使用して明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュ テーブルに永続して保持されます。同一ネットワーク内の他のデバイスと日常的に接続する必要があるローカル アドレスでの利用に適しています。

ダイナミック:このモードは、ARP 要求によって開始し、外部ホストに関連付けられている、ダイナミックに学習されたエントリに割り当てられます。ダイナミック ARP エントリは、Cisco IOS ソフトウェアによって自動的に追加され、一定の期間メンテナンスされた後、削除されます。時間の制限が追加された場合を除き、管理作業は不要です。デフォルトの時間制限は 4 時間です。ネットワークでキャッシュに追加またはキャッシュから削除されるルートが大量にある場合は、この時間制限を調整する必要があります。ダイナミック ARP エントリが「完了した」と見なされるのは、ARP 応答によって外部ホストの MAC アドレスがこのエントリに提供されたときです。

不完全:このモードは、ダイナミック ARP エントリの一時モードです。このモードは、エントリが ARP 要求で開始され、外部ホストに関連付けられたが、MAC アドレスが含まれていないことを示します。

インターフェイス:このモードは、インターフェイスから得られたローカル IP アドレスのエントリに割り当てられます。

スタティック:このモードは、管理者が外部 IP アドレス、サブネット マスク、ゲートウェイ、および対応する MAC アドレスを使用して明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュ テーブルに永続して保持されます。同一ネットワーク内の他のデバイスと日常的に接続する必要がある外部デバイスでの利用に適しています。スタティック ARP エントリは、設定されたときにいずれのインターフェイスにも関連付けられていない場合、「浮動」であるとされます。

ダイナミックに学習されたルートの妥当性を保つために、ARP サブシステムはダイナミック ARP エントリを定期的(設定どおりまたはデフォルトの 4 時間ごと)にリフレッシュします。このようにすると、変更済み、期限切れ、または削除済みのすべてのダイナミック ルートが ARP テーブルに反映されます。

スタティックに設定されたルートの妥当性を保つために、ARP サブシステムはスタティック ARP エントリおよびエイリアス ARP エントリを 1 分間ごとに更新します。これで変更済みまたは削除済みのスタティック設定のすべてのルートが ARP テーブルに反映されます。

アプリケーション特有の ARP テーブル エントリ モード

ARP サブシステムは、アプリケーション特有の ARP テーブル エントリ モードを使用して、解決のために ARP テーブル エントリを追加する必要のあるアプリケーションをサポートします。ARP アプリケーションは ARP サブシステムに登録して、アプリケーション タイプ ハンドルを取得できます。アプリケーションは、取得したハンドルを使用して、当該アプリケーション特有の次のエントリ モードに、ARP エントリを挿入できます。

シンプル アプリケーション:このモードは、アプリケーションで作成された、外部デバイスを表すエントリに割り当てられます。

アプリケーション エイリアス:このモードは、アプリケーションで作成された、ローカル アドレスに関連付けられているエントリに割り当てられます。

アプリケーション タイマー:このモードは、アプリケーションで作成された、外部デバイスに関連付けられているエントリに割り当てられます。ARP サブシステムは、このモードのエントリを作成するアプリケーションにタイマーベースのサービスを提供します。

アプリケーション特有のエントリは期限切れになりませんが、その代わりにアプリケーションがメンテナンスします。

ARP テーブル エントリのサブブロック

ARP エントリのサブブロック構造は、非 ARP 固有のデータを選択した ARP エントリに添付する手段を提供します。ARP エントリを ARP テーブルに挿入する場合、ARP テーブルでは特殊な、ARP 内部での処理が必要です。この特殊な処理を行うプロセスで必要な情報がサブブロックに定義され、これが ARP エントリに添付されます。

ARP サブシステムは、必要に応じて、次のタイプの ARP エントリにサブブロックを添付します。

エイリアス、ダイナミック、およびスタティックな ARP エントリ:ARP タイマー プロセスで必要な情報を指定するために、このタイプを持つすべてのエントリにサブブロックが 1 つ添付され、これによって定期的にリフレッシュが実行されるように調整されます。これでエントリで定義された IP アドレスと MAC アドレス間の関連性が妥当であるか検証されます。

インターフェイス ARP エントリ:インターフェイスに関する情報を保存するために、すべてのインターフェイス ARP エントリにサブブロックが 1 つ添付されます。

シンプル アプリケーション、アプリケーション エイリアス、およびアプリケーション タイマーの各エントリ:ARP エントリを作成するアプリケーションには、アプリケーション特有のデータを含めることができます。たとえば、タイマー サービスのためのタイマー構成や、関連するサブブロックをグループ化するためのデータ構成ポインタなど、アプリケーションでの作業に必要なデータです。

ARP テーブル エントリと Cisco Express Forwarding 隣接との同期化

Cisco Express Forwarding をルータでイネーブルにしている場合、ルータは隣接するノードの転送情報(発信インターフェイスおよび MAC ヘッダーのリライト)を保持します。リンク レイヤ(レイヤ 2)を経由した単一のホップで別のノードに到達できるノードは、先のノードと隣接関係にあるとされます。Cisco Express Forwarding では、転送情報を隣接するデータベースに保存するため、レイヤ 2 のアドレッシング情報を、ARP パケットに添付されるリンクレイヤ ヘッダーに挿入できます。

ARP テーブル情報は、Cisco Express Forwarding 隣接の基本情報の 1 つです。ARP サブシステムが有効なハードウェア アドレスを使用して ARP テーブル エントリを発信インターフェイスに添付するたびに、サブシステムは内部の「ARP 隣接」通知を発行します。この通知により、ARP バックグラウンド プロセスは、隣接するデータベースを通じた Cisco Express Forwarding 隣接によって、ARP エントリと同期します。

発信インターフェイスへの添付は、次のモードのエントリだけで発生します。

エイリアス

ダイナミック

浮動スタティック

アプリケーション シンプル

アプリケーション タイマー

ARP サブシステムは、添付先となるインターフェイスを検索するために、それぞれの浮動スタティック ARP エントリを処理します。これは、接続済みまたはプロキシ ARP のインターフェイスを見つけるためのエントリ内の IP アドレスを使用して行います。このインターフェイス情報を追加することで、ARP エントリは完成され、Cisco Express Forwarding 隣接と同期できます。

ARP テーブル サイズのインターフェイス単位のモニタリング

ARP プロトコルは、ルータ システムを攻撃する手段として使用される場合があります。ARP 攻撃の 1 つの手法にスプーフィングがありますが、これは、ホストの ID を偽造するためにメディアに適用されます。Cisco IOS ルータには、ルータ自体のインターフェイス アドレスを保護するための自己防衛スキームが実装されています。他にも、ARP ラーニングの範囲を制限するためのセキュア ARP や認証済み ARP ラーニングといった機能が一部の Cisco IOS リリースに実装されています。

もう 1 つの ARP 攻撃手法である Denial-of-Service(DoS; サービス拒絶)は、ルータに ARP パケットを送信して ARP パケットを処理する CPU に過剰な負荷をかけようとしたり、ARP パケットの送信結果として作成される ARP テーブル エントリによってシステム メモリを使い果たさせようとしたりします。その結果、ネットワーク サービスが停止します。大量の ARP パケットが着信した場合も ARP 入力キューがすぐに満杯になり、最大デフォルト容量またはルータに設定された容量を超過してサービス不能状態に陥ります。

ルータでの ARP 攻撃を通じて予期されるセキュリティ侵犯の試みを検出する 1 つの方法は、ARP テーブルのサイズをモニタして、エントリ数が設定されたしきい値に達したらアラートを発生させることです。しかし、ARP テーブルの全体的なサイズを単に制限しても、正規の ARP パケットと偽造パケットを区別するのは困難です。着信パケットをより正確に確認するために、ARP サブシステムはインターフェイス レベルで ARP テーブル サイズをモニタします。ルータがサービスを提供するノード数とインターフェイス上のホスト数に基づくと、インターフェイス特有のエントリの最大数を決定できます。あるインターフェイスの ARP テーブル エントリの数が事前に決定したしきい値を超過した場合、その状況は、ルータでの ARP 攻撃を通じたセキュリティ侵犯が試行されたことを示している可能性があります。

ARP ハイ アベイラビリティ

ARP HA は、Cisco IOS ソフトウェアが持つ Cisco NonStop Forwarding(NSF; ノンストップ フォワーディング)機能の一種です。デュアル RP を含み、Stateful Switchover(SSO; ステートフル スイッチオーバー)が設定されているシスコのネットワーキング デバイスでは、ARP HA によって ARP エントリを処理するためにネットワーク アベイラビリティを強化する手法が提供されます。

この項では、次に挙げる ARP HA を実装するために、ARP サブシステムが使用する内部プロセスおよびデータ構造の概要を説明します。

「ステートフル スイッチオーバーとの共存」

「同期化キュー」

「バックアップ ARP テーブル」

「ARP HA ステート マシン」

ステートフル スイッチオーバーとの共存

デュアル RP をサポートするシスコ ネットワーキング デバイスでは、ARP は Cisco IOS ソフトウェアでステートフル スイッチオーバー(SSO)機能を使用します。SSO は多数の Cisco IOS アプリケーションおよび機能に冗長性と同期を提供します。SSO は、1 つの RP をアクティブなプロセッサとして確立する一方で、他の RP をスタンバイ プロセッサに指定してから、ステートに関する重要な情報をそれぞれの間で同期させることで、RP の冗長性を活用します。

最初に 2 つのプロセッサ間で実行される同期化の後、SSO は RP のステート情報をプロセッサ間でダイナミックに保持します。アクティブな RP に障害が発生したときに発生した、アクティブなプロセッサからスタンバイ プロセッサへのスイッチオーバーは、ネットワーキング デバイスから削除されるか、メンテナンスのために手動で停止されます。

同期化キュー

アクティブな RP は同期化キューを保持します。このキューには、次の 2 種類の ARP テーブル エントリのリストが含まれています。

スタンバイ RP に同期する予定のメイン ARP テーブルの ARP エントリ。

すでにスタンバイ RP に同期済みのメイン ARP テーブルからの ARP エントリ。


) 同期化キューは、メイン ARP テーブルのエントリへのリンクのリスト 2 つで構成されます。


スイッチオーバーが発生すると、ARP HA プロセスは、まだ同期していないエントリのリストを使用して、新規スタンバイ RP(元はアクティブの RP)の冗長 ARP テーブルのいずれのエントリをメインの ARP テーブルと同期させるかを判別します。

スタンバイ RP がリロードした場合、ARP HA プロセスは、スタンバイ RP がリブートした時点で、同期化キュー全体を(両リストのエントリから)スタンバイ RP とバルク同期します。

バックアップ ARP テーブル

スタンバイ RP はバックアップ ARP テーブルを保守し、このテーブルには、スタンバイ RP がアクティブ RP から受け取るバックアップ ARP エントリが保存されます。スイッチオーバー中、ARP HA プロセスはインターフェイスの活動化イベントをモニタします。インターフェイスが活動化すると、プロセスは関連する ARP エントリについて新しくアクティブになった RP(元はスタンバイの RP)をバックアップ テーブルから検索します。その後、プロセスは、関連するバックアップ ARP エントリをメイン ARP テーブルに追加します。

ARP HA ステート マシン

ARP HA プロセスは、イベント駆動のステート マシンによって制御されます。このマシンは、半分がアクティブ RP、もう半分がスタンバイ RP の 2 つで構成されます。スイッチオーバーが発生すると、スタンバイ RP はステート マシンのアクティブな半分に移行します。ステート マシンは、アクティブ/スタンバイの同期およびスイッチオーバーのステータスを追跡します。

ステート マシンのアクティブな半分は、次のいずれかのステートになる場合があります。

ARP_HA_ST_A_BULK:バルク同期の操作で送信されたエントリ処理が終了したことを知らせるスタンバイ RP からの信号をアクティブ RP が待機している一時的なステート。

ARP_HA_ST_A_SSO:新規アクティブ RP が、完全に操作可能になったことを示す信号を待機している一時的なステート。

ARP_HA_ST_A_UP:アクティブ ステート。アクティブ RP はスタンバイ RP にエントリを送信していません。スタンバイ RP がアップしていないか、直前の同期が失敗したかのいずれかが原因で、アクティブ RP がこのステートに移行します。

ARP_HA_ST_A_UP_SYNC:同期化キューからアクティブ RP がスタンバイ RP にエントリを送信するアクティブ ステート。同期する予定のエントリ数がしきい値に達するか、同期タイマーの期限切れのいずれかが先に発生した時点で、アクティブ RP がこのステートに移行します。

ステート マシンの残り半分のスタンバイ部分には、次のステートが含まれます。

ARP_HA_ST_S_BULK:バルク同期操作によって送信されたエントリをスタンバイ RP が処理する一時的なステート。アクティブ RP が、エントリ送信が終了したという信号を通知すると、スタンバイ RP は ARP_HA_ST_S_UP ステートに移行し、バルク同期操作で送信されたエントリの処理が終了したという信号をアクティブ RP に戻します。

ARP_HA_ST_S_UP:スタンバイ RP がアクティブ RP からの増分 ARP 同期エントリを処理しているアクティブ ステート。スイッチオーバーが発生すると、スタンバイ RP は ARP_HA_ST_A_SSO ステートに移行します。

ARP HA アクティビティのモニタリングで、各種のステートと RP の最近のアクティビティを表示できます。

ARP 情報のモニタリングおよびメンテナンスの手順

ここでは、次の各手順について説明します。

「ARP テーブル エントリ情報の表示」(任意)

「ARP HA ステータスおよび統計情報の表示」(任意)

「ダイナミックに学習した ARP テーブル エントリのリフレッシュ」(任意)

「学習した ARP テーブル エントリに対する上限の設定」(任意)

「ARP HA 統計情報のリセット」(任意)

「ARP トランザクションのデバッグ トレースのイネーブル化」(任意)

「インターフェイスで学習したエントリ数についての ARP トラップのイネーブル化」(任意)

ARP テーブル エントリ情報の表示

ARP テーブル エントリ情報を表示するには、 show arp summary show arp 、および show arp application の各コマンドを実行します。

ステップ 2 は、ARP テーブルの内容の概要を表示する場合に便利です。

ステップ 3 およびステップ 4 は、すべての ARP テーブルのエントリの内容と任意のエントリのサブブロックを表示する場合に便利です。

ステップ 5 は、登録したクライアント上で動作し、ARP でサポートされる外部アプリケーションに関する ARP テーブルの情報を表示する場合に便利です。

手順の概要

1. enable

2. show arp summary

3. show interfaces [ summary ]

4. show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]]
[ detail ]

5. show arp application [ application-id ] [ detail ]

手順の詳細


ステップ 1 enable

このコマンドは特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 show arp summary

このコマンドは ARP テーブル エントリの合計数、ARP エントリ モードごとの ARP テーブル エントリの数、およびルータ上のインターフェイスごとの ARP テーブル エントリの数を表示します。

Router# show arp summary
 
Total number of entries in the ARP table: 10.
Total number of Dynamic ARP entries: 4.
Total number of Incomplete ARP entries: 0.
Total number of Interface ARP entries: 4.
Total number of Static ARP entries: 2.
Total number of Alias ARP entries: 0.
Total number of Simple Application ARP entries: 0.
Total number of Application Alias ARP entries: 0.
Total number of Application Timer ARP entries: 0.
 
Interface Entry Count
Ethernet3/2 1
Ethernet3/1 4
Ethernet3/0 3
 

ステップ 3 show interfaces [ summary ]

このコマンドは、ルータまたはアクセス サーバに設定されているすべてのインターフェイスをリストします。有効なインターフェイス タイプおよび数は、ルータおよびルータ上のインターフェイスによって異なる場合があります。特定のルータに設定されているすべてのインターフェイスをリストするには、 show interfaces コマンドに summary キーワードを指定して実行します。この情報は、特定のルータ インターフェイスの ARP テーブルのエントリを表示する場合に便利です。

Router# show interfaces summary
 
*: interface is up
IHQ: pkts in input hold queue IQD: pkts dropped from input queue
OHQ: pkts in output hold queue OQD: pkts dropped from output queue
RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec)
TXBS: tx rate (bits/sec) TXPS: tx rate (pkts/sec)
TRTL: throttle count
 
Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL
-------------------------------------------------------------------------
FastEthernet1/0 0 0 0 0 0 0 0 0 0
ATM2/0 0 0 0 0 0 0 0 0 0
* Ethernet3/0 0 0 0 0 0 0 0 0 0
* Ethernet3/1 0 0 0 0 0 0 0 0 0
* Ethernet3/2 0 0 0 0 0 0 0 0 0
Ethernet3/3 0 0 0 0 0 0 0 0 0
Serial4/0 0 0 0 0 0 0 0 0 0
Serial4/1 0 0 0 0 0 0 0 0 0
Serial4/2 0 0 0 0 0 0 0 0 0
Serial4/3 0 0 0 0 0 0 0 0 0
Fddi5/0 0 0 0 0 0 0 0 0 0
* Loopback0 0 0 0 0 0 0 0 0 0
 

ステップ 4 show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]]
[ detail ]

このコマンドはすべての ARP テーブルのエントリまたは、オプションの選択条件を満たしている ARP テーブルのエントリだけを表示します。


ヒント 有効なインターフェイス タイプおよび数は、ルータおよびルータ上のインターフェイスによって異なる場合があります。show arp コマンドを実行して interface-type 引数と interface-number 引数を置換するには、適切なインターフェイス仕様を使用し、show interfaces コマンド出力のインターフェイス列に表示されるとおりに入力します。


Router# show arp vrf vrf1 dynamic 209.165.200.225 e3/1 detail
 
ARP entry for 209.165.200.225, link type IP.
Dynamic, via Ethernet3/1, last updated 147 minutes ago.
Encap type is ARPA, hardware address is 0050.d173.e881, 6 bytes long.
ARP subblocks:
* Dynamic ARP Subblock
Entry will be refreshed in 109 minutes and 52 seconds.
It has 2 chances to be refreshed before it is purged.
Entry is complete.
* IP ARP Adjacency
Adjacency (for 209.165.200.225 on Ethernet3/1) was installed.
Connection ID: 0
 

ステップ 5 show arp application [ application-id ] [ detail ]

このコマンドは、特定の ARP アプリケーションの ARP テーブル情報または、ARP でサポートされ、登録されたクライアントで動作するすべてのアプリケーションの ARP テーブル情報を表示します。

Router# show arp application detail
 
Number of clients registered: 8
 
Application ID Num of Subblocks
ARP Backup 200 0
 
Application ID Num of Subblocks
IP ARP Adj Conn ID 201 0
 
Application ID Num of Subblocks
IP Subscriber 202 0
 
Application ID Num of Subblocks
LEC 203 0
 
Application ID Num of Subblocks
DHCPD 204 0
 
Application ID Num of Subblocks
DSS 205 0
 
Application ID Num of Subblocks
IP Mobility 206 0
 
Application ID Num of Subblocks
IP ARP Adjacency 207 5
ARP entry for 209.165.200.226, link type IP.
Static.
Subblock data:
Adjacency (for 209.165.200.226 on Ethernet3/1) was withdrawn.
Connection ID: 0
ARP entry for 209.165.200.227, link type IP.
Dynamic, via Ethernet3/0.
Subblock data:
Adjacency (for 209.165.200.227 on Ethernet3/0) was installed.
Connection ID: 0
ARP entry for 209.165.200.228, link type IP.
Dynamic, via Ethernet3/0.
Subblock data:
Adjacency (for 209.165.200.228 on Ethernet3/0) was installed.
Connection ID: 0
ARP entry for 209.165.200.225, link type IP.
Dynamic, via Ethernet3/1, in VRF vrf1.
Subblock data:
Adjacency (for 209.165.200.225 on Ethernet3/1) was installed.
Connection ID: 0
ARP entry for 209.165.200.229, link type IP.
Dynamic, via Ethernet3/1, in VRF vrf1.
Subblock data:
Adjacency (for 209.165.200.229 on Ethernet3/1) was installed.
Connection ID: 0

ARP HA ステータスおよび統計情報の表示

デュアル RP が含まれ、SSO が設定されているシスコのネットワーキング デバイスの ARP HA ステータスおよび統計情報を表示するには、 show arp ha コマンドを実行します。次に挙げる現在の RP のステートに応じて、表示される HA の詳細が異なる場合があります。

前回ルータがリブートしたときにアクティブ RP になった、アクティブ RP

SSO の発生後にスタンバイ RP からアクティブ RP になった、アクティブ RP

スタンバイ RP

手順の概要

1. enable

2. show arp ha

手順の詳細


ステップ 1 enable

このコマンドは特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 show arp ha

このコマンドは、Cisco 7600 シリーズ ルータなどの SSO が設定されている、HA 対応のプラットフォームについて収集した ARP HA のステータスおよび統計情報を表示します。このコマンドの出力は、RP の現在および最新のステートによって異なります。

アクティブ RP

次に、前回ルータがリブートして以来アクティブになっているアクティブ RP に対して show arp ha コマンドを実行した場合の出力例を示します。ARP HA 統計情報は、アクティブ ステートについてだけ表示されます。

Router# show arp ha
 
ARP HA in active state (ARP_HA_ST_A_UP_SYNC).
4 ARP entries in the synchronization queue.
No ARP entry waiting to be synchronized.
4022 synchronization packets sent.
No error in allocating synchronization packets.
No error in sending synchronization packets.
No error in encoding interface names.

以前はスタンバイ RP だったアクティブ RP

次に、最近の SSO の発生後にスタンバイ RP からアクティブ RP になった RP に対して show arp ha コマンドを実行した場合の出力例を示します。アクティブ ステートおよび以前のスタンバイ ステートにおける ARP HA 統計情報が表示されます。

Router# show arp ha
 
ARP HA in active state (ARP_HA_ST_A_UP_SYNC).
4 ARP entries in the synchronization queue.
No ARP entry waiting to be synchronized.
4022 synchronization packets sent.
No error in allocating synchronization packets.
No error in sending synchronization packets.
No error in encoding interface names.
 
Statistics collected when ARP HA in standby state:
No ARP entry in the backup table.
5 synchronization packets processed.
No synchronization packet dropped in invalid state.
No error in decoding interface names.
4 ARP entries restored before timer.
No ARP entry restored on timer.
No ARP entry purged since interface is down.
No ARP entry purged on timer.

スタンバイ RP

次に、スタンバイ RP に対して show arp ha コマンドを実行した場合の出力例を示します。ARP HA 統計情報は、スタンバイ ステートについてだけ表示されます。

Router# show arp ha
 
ARP HA in standby state (ARP_HA_ST_S_UP).
4 ARP entries in the backup table.
4005 synchronization packets processed.
No synchronization packet dropped in invalid state.
No error in decoding interface names.
 


 

ダイナミックに学習した ARP テーブル エントリのリフレッシュ

ダイナミックに学習した ARP テーブル エントリをリフレッシュすることで、IP アドレスおよび MAC アドレスのマッピング情報の妥当性を確認したり、古くなった任意のエントリ(期限切れになったが、デフォルトまたはタイマーベースのプロセスによってまだエージング アウトされていないダイナミック ARP エントリ)を即座にエージング アウトしたりします。

リフレッシュ操作の範囲は、次の選択条件の任意の 1 つに一致するエントリに制限することができます。

特定のインターフェイスの ARP キャッシュ エントリ

グローバル VRF および特定のホストの ARP キャッシュ エントリ

名前付き VRF および特定のホストの ARP キャッシュ エントリ

手順の概要

1. enable

2. show interfaces [ summary ]

3. clear arp-cache [ interface type number | [ vrf vrf-name ] ip-address ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show interfaces [ summary ]

 

Router# show interfaces summary

(任意)ルータまたはアクセス サーバ上に設定されたすべてのインターフェイスをリストします。

要約テーブルにあるインターフェイスをリストするには、 summary キーワードを使用します。この形式のコマンド出力は、特定のルータ インターフェイスについての ARP テーブル エントリをリフレッシュする場合に便利です。

ステップ 3

clear arp-cache [ interface type number | [ vrf vrf-name ] ip-address ]

 

Router# clear arp-cache 192.0.2.240

ダイナミックに作成されたすべての ARP テーブル エントリまたは、ダイナミックに作成された ARP テーブル エントリで選択条件を満たしているものだけをリフレッシュします。

学習した ARP テーブル エントリに対する上限の設定

システムが学習できる ARP エントリの数を制限すると、メモリ不足が原因でシステムが不安定になるのを防ぐために役立ちます。

システムのデフォルトの動作では、システムで学習する ARP エントリ数の上限など、いかなる制限も適用しません。通常の状況では、各インターフェイスで学習される ARP エントリの数は、LAN に直接接続するホストの数に関連します。ARP エントリの数が大きく増加すると、デバイスに次のような影響がおよぶ可能性があります。

ARP パケットを処理したり、ARP エントリをエージングしたりするための CPU 時間が増える。

システム メモリのメモリおよびハードウェア テーブル メモリ(ハードウェアの転送プラットフォームでの使用)の消費量が大幅に増え、メモリ フラグメンテーションの発生またはメモリの空きがなくなる可能性がある。

システムで作成できる ARP エントリの数に制限がない場合は、メモリ不足からシステムが不安定になる場合があります。学習する ARP テーブル エントリの数に上限を設定すると、この状況が発生するのを防ぐ手助けになる場合があります。

一度上限を設定すると、学習する ARP エントリのしきい値の制限または設定した上限の 80% に達した時点で、システムは syslog メッセージを生成し、プライオリティをレベル 3(LOG_NOTICE)に設定します。設定した上限に到達すると、システムは次の処理を実行します。

新しく学習した ARP エントリの廃棄を開始する。

syslog メッセージを作成し、プライオリティをレベル 3(LOG_NOTICE)に設定する。管理者は適切な措置を講じる必要があります。

ARP テーブル内の学習した ARP エントリ数が上限を下回って許容されるしきい値の制限数または上限の 95% になったときは、ARP テーブルが通常の動作ステートに戻ったことをシステム管理者に通知する syslog メッセージが作成されます。

前提条件

学習可能で ARP テーブルに入力できる ARP エントリの最大数を決定するには、Command-Line Interface(CLI; コマンドライン インターフェイス)に設定する前にルータのサポート マニュアルを参照してください。

制約事項

学習する ARP エントリ数の上限は、プラットフォームによって異なります。


) 学習する ARP テーブル エントリ数の上限を設定する制限機能は、Cisco 7600 プラットフォームだけでサポートされます。このサポートは、Cisco IOS Release 12.2(33)SRD3 から開始されました。


手順の概要

1. enable

2. configure terminal

3. ip arp entry learn max-limit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip arp entry learn max-limit

 

Router# ip arp entry learn 256

プラットフォームで学習される ARP エントリの最大数の設定です。

ARP HA 統計情報のリセット

この作業を実行すると、ARP HA の統計情報をリセットできます。ARP HA サブシステムをデバッグするときに便利な場合があります。

手順の概要

1. enable

2. clear arp-cache counters ha

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear arp-cache counters ha

 

Router# clear arp-cache counters ha

ARP HA 統計情報をリセットします。

ARP トランザクションのデバッグ トレースのイネーブル化

ARP サブシステムをモニタするために ARP トランザクションのデバッグ トレースをイネーブルにします。

デバッグ トレースは、すべての IP ARP パケットのトラフィックについてイネーブルにすることも、次に挙げる ARP イベントの個々のタイプについてイネーブルにすることもできます。

ARP エントリ イベント

任意のダイナミック ARP エントリ イベント

任意のインターフェイス ARP エントリ イベント

任意のスタティック ARP エントリ イベント

任意の ARP エントリ サブブロック イベント

ARP テーブル イベント

ARP テーブル操作(エントリの挿入、変更、または削除)

ARP テーブル タイマー イベント

ARP テーブル データベース イベント(データベースの読み取り/書き込みのイベント)

ARP HA イベント

ARP インターフェイス イベント

ARP/Cisco Express Forwarding 隣接のインターフェイスのトランザクション

ARP アプリケーション インターフェイス トランザクション

デバッグ フィルタリングのサポート

ARP デバッグ情報の表示量を、 debug list コマンドを実行して指定されたインターフェイスおよびアクセス リストに従ってフィルタリングします。

手順の概要

1. enable

2. debug list [ list ] [ interface ]

3. debug arp [ arp-entry-event | arp-table-event | ha | interface-interaction ]

4. show debugging

5. no debug arp [ arp-entry-event | arp-table-event | ha | interface-interaction ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug list [ list ] [ interface ]

 

Router# debug list 1102 serial

(任意)次に挙げる条件のいずれかまたは両方を使用して、ARP デバッグ情報(またはこのコマンドでサポートされている他の任意のプロトコルのデバッグ情報)のフィルタリングをイネーブルにします。

ルータ上のすべてのインターフェイスではなく、特定のインターフェイスのデバッグ情報を表示するには、 interface 引数を使用してインターフェイスを特定します。インターフェイスを設定する必要がある場合は、 interface コマンドを実行します。

すべてのパケットではなく、特定のタイプのパケットの情報を表示するには、パケットの詳細を特定する list 引数を使用して拡張 ACL を特定します。発信元の MAC イーサネット アドレス、宛先 MAC イーサネット アドレス、およびパケット内の任意のバイトを ACL で指定します。拡張アクセス リストを設定する必要がある場合は、 access-list (extended-ibm)コマンドを実行します。

ステップ 3

debug arp [ arp-entry-event | arp-table-event |
ha | interface-interaction ]

 

Router# debug arp static

ARP パケットのデバッグ トレースをイネーブルにします。

このコマンドはキーワードを使用すると、次に挙げる特定のタイプの ARP イベントいずれかに対するデバッグ トレースをイネーブルにします。

ARP エントリ イベント

ARP テーブル イベント

ARP HA イベント(HA 対応プラットフォーム上)

ARP インターフェイス上の通信

ステップ 4

show debugging

 

Router# show debugging

このルータでイネーブルのデバッグ オプションをリストします。

ステップ 5

no debug arp [ arp-entry-event |
arp-table-event | ha | interface-interaction ]

 

Router# no debug arp static

(任意)ARP パケットのデバッグ トレースをディセーブルにします。

このコマンドはキーワードを使用すると、次に挙げる特定のタイプの ARP イベントいずれかに対するデバッグ トレースをディセーブルにします。

ARP エントリ イベント

ARP テーブル イベント

ARP HA イベント(HA 対応プラットフォーム上)

ARP インターフェイス上の通信

 

インターフェイスで学習したエントリ数についての ARP トラップのイネーブル化

インターフェイスで ARP エントリの数が設定したしきい値に到達したときにネットワーク管理者がアラート通知される場合、ダイナミックに学習した一定数の arp エントリに対する ARP トラップまたはしきい値をイネーブルにします。このアラートは、インターフェイス特有の ARP syslog 出力の形式になります。

予期される ARP 攻撃のインジケータとしての ARP テーブル サイズ

あるインターフェイスで ARP テーブル エントリの数が高レベル(ルータがサービス提供するノード数およびそのインターフェイス上のホスト数が基準)に到達した場合、インターフェイスを経由するルータ上で発生している ARP DoS 攻撃が原因の可能性があります。この状況の詳細については、「ARP テーブル サイズのインターフェイス単位のモニタリング」を参照してください。

前提条件

インターフェイスで予想される最大エントリ数を判別します。このような予想は通常、次の情報に基づいて行われます。

ルータがサービスを提供するノード数

インターフェイス上のホスト数

ネットワーク設定に応じて、プロキシ ARP がイネーブルかどうかなど、他の要因が指定のインターフェイスの ARP テーブル エントリの数に影響する場合があります。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. arp log threshold entries entry-count

5. end

6. show running-config interface type number

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface ethernet 0/0

インターフェイス タイプを設定してインターフェイス コンフィギュレーション モードを開始し、特定のインターフェイスを設定できるようにします。

ステップ 4

arp log threshold entries entry-count

 

Router(config-if)# arp log threshold entries 1000

ARP トラップをイネーブルにします。これにより、ルータのインターフェイスでダイナミックに学習されたエントリの特定の数に達すると ARP ログがトリガーされます。

ステップ 5

end

 

Router(config-if) end

特権 EXEC モードに戻ります。

ステップ 6

show running-config interface type number

 

Router# show running-config interface ethernet 0/0

特定のインターフェイス上の現行の動作設定に関する情報を表示します。

指定のインターフェイスについて ARP トラップをイネーブルにすると、 interface コマンドの情報に arp log threshold entries コマンドが含まれ、しきい値が続きます。

ARP 情報のモニタリングおよびメンテナンスの設定例

ここでは、次の例について説明します。

「学習する ARP テーブル エントリ数の上限の設定:例」

「学習する ARP テーブル エントリ数の上限の表示:例」

学習する ARP テーブル エントリ数の上限の設定:例

次に、学習する ARP テーブル エントリ数の上限を設定する例を示します。学習する ARP エントリ数の上限は 512,000 に設定されます。

Router> enable
Router# configure terminal
Router(config)# ip arp entry learn 512000
 

学習する ARP テーブル エントリ数の上限の表示:例

次に、学習する ARP テーブル エントリ数の上限が CLI の設定後に表示される例を示します。

Router# show arp summary
 
Total number of entries in the ARP table: 4.
Total number of Dynamic ARP entries: 0.
Total number of Incomplete ARP entries: 0.
Total number of Interface ARP entries: 3.
Total number of Static ARP entries: 1.
Total number of Alias ARP entries: 0.
Total number of Simple Application ARP entries: 0.
Total number of Application Alias ARP entries: 0.
Total number of Application Timer ARP entries: 0.
Maximum limit of Learn ARP entry : 512000.
Maximum configured Learn ARP entry limit : 512000.
Learn ARP Entry Threshold is 409600 and Permit Threshold is 486400.
Total number of Learn ARP entries: 0.
Interface Entry Count
GigabitEthernet4/7 1
GigabitEthernet4/1.1 1
GigabitEthernet4/1 1
EOBC0/0
 

上限は設定どおりの 512,000 として表示されています(Maximum configured Learn ARP entry limit: 512000.)。学習される ARP テーブル エントリに許可される最大数は 512,000 です(Maximum limit of Learn ARP entry: 512000)。この数字より大きい上限は設定できません。

その他の関連資料

次に、ARP 情報のモニタリングおよびメンテナンスに関する関連資料を示します。

関連資料

関連項目
参照先

Cisco IOS コマンド

Cisco IOS Master Commands List, All Releases

ARP コマンド:すべてのコマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

『Cisco IOS IP Addressing Services Command Reference』

IP アドレッシング作業

Configuring IPv4 Addresses 」モジュール

ARP の設定作業

Configuring Address Resolution Protocol Options 」モジュール

規格

規格
タイトル

この機能によりサポートされた新規標準または改訂標準はありません。またこの機能による既存標準のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 1812

Requirements for IP Version 4 Routers

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、資料やツールなど幅広いオンライン リソースが用意されており、シスコの製品およびテクノロジーに関するトラブルシューティングや技術的な問題の解決などに役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/cisco/web/support/index.html

ARP 情報のモニタリングおよびメンテナンスの機能情報

表 1 に、この機能のリリース履歴を示します。

すべてのコマンドがご使用の Cisco IOS ソフトウェア リリースで使用できるとは限りません。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator により、Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していない限り、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ARP 情報のモニタリングおよびメンテナンスに関する機能情報

機能名
リリース
機能情報

ARP 情報のモニタリングおよびメンテナンス

12.4(11)T
12.2(31)SB2
12.2(33)SRB
12.2(33)SRD3
12.2(33)SRE

Cisco IOS 環境の ARP サポートに次の機能拡張が追加されました。

新規 ARP テーブル エントリ タイプ。アプリケーション特有のデータを個々のエントリに追加する機能をサポートします。

特定の ARP イベントに対する ARP デバッグ トレースのイネーブル化

インターフェイス単位またはアクセス リスト単位での ARP デバッグ トレースのフィルタリング

多様な選択条件に基づいてダイナミックに学習される ARP テーブル エントリの表示またはリフレッシュ

HA 対応プラットフォームの ARP HA ステータスおよび統計情報の表示またはリセット

ARP/Cisco Express Forwarding 隣接の通知ステータスの表示

特定のルータ インターフェイスでダイナミックに学習されたエントリが特定の数に到達したときに ARP ログをイネーブルにします。

次のコマンドが追加されました。

arp log threshold entries

clear arp-cache counters ha

show arp application

show arp ha

show arp summary

次のコマンドが変更されました。

clear arp-cache

debug arp

show arp

この機能は製品化されておらず、Feature Navigator に装備されていません。

12.2(33)SRD3 では、Cisco 7600 プラットフォームで学習される ARP テーブル エントリの上限を設定する機能のサポートが追加されました。

ip arp entry learn コマンドおよび show arp summary コマンドが新たに導入または変更されました。

この機能が Cisco IOS Release 12.2(33)SRE に統合されました。

debug arp コマンドが新たに導入または変更されました。

用語集

ACL :Access Control List(アクセス コントロール リスト)。さまざまなサービスについてルータを出入りするアクセスを制御する(たとえば、特定の IP アドレスを持ったパケットがルータ上の特定のインターフェイスから送出されないようにする)ためにルータが保持するリスト。

ARP :Address Resolution Protocol(アドレス解決プロトコル)。IP アドレスを MAC アドレスにマッピングするインターネット プロトコル。論理アドレスが既知の場合だけ物理アドレスを取得するために使用されます。RFC 826 で定義されています。

ARPA :Advanced Research Projects Agency。Department of Defense(DoD; 米国国防総省)の機関の 1 つである研究開発組織。ARPA は、通信およびネットワーキングにおけるさまざまな高等技術の研究機関です。ARPA は DARPA へと発展しましたが、1994 年に再び ARPA に戻りました。

Cisco Express Forwarding :レイヤ 3 のスイッチング テクノロジー Cisco Express Forwarding は、Cisco Express Forwarding に 2 つある動作モードのうちの 1 つの Central Cisco Express Forwarding モードを指す場合もあります。Cisco Express Forwarding は、ルート プロセッサによる高速の転送をイネーブルにします。Distributed Cisco Express Forwarding は、Cisco Express Forwarding のもう 1 つの動作モードです。

DHCP :Dynamic Host Configuration Protocol。ホストで IP アドレスが不要になったときにその IP アドレスを再利用できるようにダイナミックに割り当てるためのメカニズムを提供します。

IP :Internet Protocol(IP; インターネット プロトコル)。TCP/IP プロトコル群のネットワーク レイヤ。インターネット プロトコルのバージョン 4 は、コネクションレスでベストエフォート型のパケット スイッチング プロトコルです。RFC 791 で定義されています。

IP データグラム :インターネットを通じてやりとりされる情報の基本単位。1 つの IP データグラムには、発信元および宛先のアドレスおよびデータの他に、データグラムの長さ、ヘッダー チェックサム、データグラムを断片化できる(または断片化された)かどうかを示すフラグなどを定義する数種類のフィールドが含まれています。

MAC :Media Access Control(MAC; メディア アクセス コントロール)。IEEE で定義されているデータ リンク レイヤの 2 つのサブレイヤのうち下位のもの。MAC サブレイヤは、トークンの受け渡しやコンテンションを使用するかどうかなど、共有メディアに対するアクセス制御を行います。

MAC アドレス :Media Access Control(メディア アクセス コントロール)アドレス LAN に接続するすべてのポートまたはデバイスに必要な標準のデータ リンク レイヤ アドレスです。ハードウェア アドレス、MAC レイヤ アドレス、物理アドレスとも呼ばれます。

MiM :Man-in-the-Middle。別のデバイス(デフォルト ゲートウェイなど)になりすました攻撃者が攻撃先のデバイスに ARP パケットを送信する ARP 攻撃の一種で、エンド ステーションまたはルータが偽のデバイス ID を学習します。この不正により、悪意のあるユーザが ARP スプーフィング攻撃を開始できる仲介デバイスに見せかけることができます。

RP :Route Processor(ルート プロセッサ)。Cisco 7000 シリーズ ルータのプロセッサ モジュールで、CPU、システム ソフトウェア、およびルータで使用されるメモリ コンポーネントの大部分が含まれています。 スーパーバイザ プロセッサ と呼ばれる場合もあります。

SSO :Stateful Switchover(ステートフル スイッチオーバー)。SSO は、数多くの Cisco IOS アプリケーションおよび機能に対して冗長性および同期化を提供する手段の 1 つです。SSO は、Cisco IOS ファイアウォールによってネットワークの冗長性ステートを認識し、内部アプリケーション ステートと冗長ピアを同期化するうえで必要となるものです。SSO によって、アクティブ ルータとスタンバイ ルータがファイアウォールのセッション ステートの情報を共有できるようになり、その結果各ルータは、その情報を基にいつでもアクティブ ルータになれます。

VPN :Virtual Private Network(バーチャル プライベート ネットワーク)。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。VPN は、IP レベルですべてのデータを対象にトンネリングと暗号化を行うプロトコルを使用して、着信および発信ネットワーク トラフィックを保護します。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。VPN を使用すると、ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では、「トンネリング」が使用され、すべての情報が IP レベルで暗号化されます。

VRF :VPN Routing and Forwarding(VPN ルーティング/転送)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。PE ルータでインスタンス化された各 VPN には固有の VRF があります。

アクティブ RP :システムを制御し、ルーティング プロトコルを実行し、システム管理インターフェイスであることを示す RP。

スタンバイ RP :アクティブ RP に障害が発生したときに待機する RP。

プロキシ ARP :プロキシ アドレス解決プロトコル ARP プロトコルの一種で、中間デバイス(ルータなど)がこのプロトコルを使用してエンド ノードに代わって要求ホストに ARP 応答を送信します。プロキシ ARP を使用すると低速 WAN リンクでの使用帯域幅が削減されます。「 ARP 」も参照してください。

ホップ :2 つのネットワーク ノード間(2 つのルータ間など)でのデータ パケットの受け渡し。

隣接 :ルーティング情報の交換を目的に形成される、選択済みのネイバー ルータとエンド ノードとの隣接関係。隣接は、関係するルータとノードが共通のメディア セグメントを使用することを基本としています。