Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
ARP 検査の設定
ARP 検査の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ARP 検査の設定

DAI の概要

ARP の概要

ARP スプーフィング攻撃の概要

DAI および ARP スプーフィング攻撃の概要

インターフェイスの信頼状態とネットワーク セキュリティ

ARP ACL および DHCP スヌーピング エントリのプライオリティ

DAI パケットのロギング

バーチャライゼーション サポート

DAI のライセンス要件

DAI の前提条件

注意事項および制約事項

DAI の設定

VLAN での DAI のイネーブル化とディセーブル化

レイヤ 2 インターフェイスの DAI 信頼状態の設定

DAI フィルタリングを目的とした ARP ACL の VLAN への適用

DAI Error-Disabled 回復のイネーブル化またはディセーブル化

追加検証のイネーブル化またはディセーブル化

DAI のログ バッファ サイズの設定

DAI システム ロギング レートの設定

DAI のログ フィルタリングの設定

DAI 統計情報の表示

DAI のフィールドに関する説明

Device:Details:Global Settings セクション

Device:Details:ARP Trust State セクション

VLAN:DAI VLAN Configuration タブ

関連フィールド

ARP ACL の設定

ARP ACL の作成

ARP ACL の変更

ARP ACL の削除

ARP ACL のフィールドに関する説明

ARP ACL:ACL Details タブ

ARP Access Rule:ACE Details タブ

ARP Access Rule:ACE Details:Source:Destination セクション

ARP ACL Remark:Remark Details タブ

関連フィールド

その他の参考資料

関連資料

規格

ARP 検査の設定

この章では、Dynamic Address Resolution Protocol(ARP; アドレス解決プロトコル)Inspection(DAI; ダイナミック ARP 検査)の設定方法について説明します。

この章の内容は次のとおりです。

「DAI の概要」

「DAI のライセンス要件」

「DAI の前提条件」

「注意事項および制約事項」

「DAI の設定」

「DAI 統計情報の表示」

「DAI のフィールドに関する説明」

「ARP ACL の設定」

「ARP ACL のフィールドに関する説明」

「その他の参考資料」

DAI の概要

ここでは、次の内容について説明します。

「ARP の概要」

「ARP スプーフィング攻撃の概要」

「DAI および ARP スプーフィング攻撃の概要」

「インターフェイスの信頼状態とネットワーク セキュリティ」

「ARP ACL および DHCP スヌーピング エントリのプライオリティ」

「DAI パケットのロギング」

「バーチャライゼーション サポート」

ARP の概要

ARP では、IP アドレスを MAC(メディア アクセス制御)アドレスにマッピングすることで、レイヤ 2 ブロードキャスト ドメイン内の IP 通信を実現します。たとえば、ホスト B がホスト A に情報を送信しようとして、ホスト B の ARP キャッシュにホスト A の MAC アドレスがないという場合、ARP の用語では、ホスト B が送信者、ホスト A はターゲットになります。

ホスト B は、ホスト A の IP アドレスに関連付けられた MAC アドレスを取得するため、このブロードキャスト ドメイン内の全ホストに対してブロードキャスト メッセージを送信します。ブロードキャスト ドメイン内の全ホストはこの ARP 要求を受信し、これに対してホスト A は自身の MAC アドレスを返します。

ARP スプーフィング攻撃の概要

ARP では、たとえ ARP 要求を受信していなくても、ホストからの応答が可能なので、ARP スプーフィング攻撃と ARP キャッシュ ポイズニングが発生する可能性があります。攻撃が開始されると、攻撃を受けた機器からのすべてのトラフィックは、攻撃者のコンピュータを経由してルータ、スイッチ、またはホストに送信されるようになります。

ARP スプーフィング攻撃は、サブネットに接続されているデバイスの ARP キャッシュに偽りの情報を送信することにより、レイヤ 2 ネットワークに接続されているホスト、スイッチ、ルータに影響を及ぼす可能性があります。ARP キャッシュに偽りの情報を送信することを ARP キャッシュ ポイズニングといいます。スプーフ攻撃では、サブネット上の他のホストに対するトラフィックの代行受信も可能です。図12-1 に ARP キャッシュ ポイズニングの例を示します。

図12-1 ARP キャッシュ ポイズニング

 

ホスト A、B、C は、それぞれインターフェイス A、B、C を介してデバイスに接続されています。すべてのホストが同一サブネットに属します。カッコ内は、各ホストの IP および MAC アドレスを示します。たとえば、ホスト A は IP アドレス IA、および MAC アドレス MA を使用します。ホスト A がホスト B に IP データを送信する必要がある場合、ホスト A は IP アドレス IB に関連付けられた MAC アドレスを求める ARP 要求をブロードキャストします。デバイスとホスト B はこの ARP 要求を受信すると、IP アドレス IA および MAC アドレス MA を持つホストの ARP バインディングを、それぞれの ARP キャッシュ内に書き込みます。たとえば、IP アドレス IA は MAC アドレス MA にバインドされます。ホスト B が応答すると、デバイスとホスト A は、IP アドレス IB および MAC アドレス MB を持つホストのバインディングを、それぞれの ARP キャッシュ内に書き込みます。

ホスト C は、バインディングを伴う 2 つの偽造 ARP 応答をブロードキャストすることにより、デバイス、ホスト A、ホスト B の ARP キャッシュをポイズニングできます。偽造 ARP 応答の 1 つは、IP アドレス IA と MAC アドレス MC を持つホストの応答、もう 1 つは IP アドレス IB と MAC アドレス MC を持つホストの応答です。これにより、ホスト B とデバイスは、IA を宛先とするトラフィックの宛先 MAC アドレスとして、MAC アドレス MC を使用します。同様に、ホスト A とデバイスは、IB を宛先とするトラフィックの宛先 MAC アドレスとして MAC アドレス MC を使用します。

ホスト C は IA および IB に関連付けられた本物の MAC アドレスを知っているため、正しい MAC アドレスを宛先として使用することで、代行受信したトラフィックをこれらのホストに転送できます。このトポロジでは、ホスト C は、ホスト A からホスト B へのトラフィック ストリーム内に自身を割り込ませています。これは、 man-in-the-middle 攻撃の典型的な例です。

DAI および ARP スプーフィング攻撃の概要

DAI を使用することで、有効な ARP 要求および応答だけが中継されることを保証できます。DAI がイネーブルになり適切に設定されている場合、NX-OS デバイスは次のアクティビティを実行します。

信頼できないポートを経由したすべての ARP 要求および ARP 応答を代行受信します。

代行受信した各パケットが、IP アドレスと MAC アドレスの有効なバインディングを持つことを確認してから、ローカル ARP キャッシュを更新するか、または適切な宛先にパケットを転送します。

無効な ARP パケットはドロップします。

DAI は DHCP スヌーピング バインディング データベースに保存された有効な IP アドレスと MAC アドレスのバインディングに基づいて、ARP パケットの有効性を判断します。このデータベースは、VLAN と装置上で DHCP スヌーピングがイネーブルにされている場合に、DHCP スヌーピングによって構築されます。また、このデータベースにはユーザが作成するスタティック エントリも保存できます。ARP パケットを信頼できるインターフェイス上で受信した場合は、装置はこのパケットを検査せずに転送します。信頼できないインターフェイス上では、装置は有効性を確認できたパケットのみを転送します。

DAI では、スタティックに設定した IP アドレスを持つホストに対し、ユーザ定義の ARP Access Control List(ACL; アクセス コントロール リスト)と照合することで ARP パケットを検証できます(DAI フィルタリングを目的とした ARP ACL の VLAN への適用を参照)。デバイスは、ドロップされたパケットを記録します(DAI パケットのロギングを参照)。

DAI では、パケット内の IP アドレスが無効な場合に ARP パケットをドロップするのか、または ARP パケット本体の MAC アドレスがイーサネット ヘッダーに指定されたアドレスと一致しない場合に ARP パケットをドロップするのかを設定できます(追加検証のイネーブル化またはディセーブル化を参照)。

インターフェイスの信頼状態とネットワーク セキュリティ

DAI は、デバイスの各インターフェイスに信頼状態を関連付けます。信頼できるインターフェイス上で受信されたパケットは、DAI のすべての有効性検査をバイパスしますが、信頼できないインターフェイス上で受信されたパケットには、DAI の有効性検査が行われます。

一般的なネットワーク構成では、次のガイドラインに従って信頼状態を設定します。

Untrusted(信頼できない) ― ホストに接続されているインターフェイス

Trusted(信頼できる) ― デバイスに接続されているインターフェイス

この設定では、デバイスからネットワークに送信される ARP パケットはすべて、セキュリティ検査をバイパスします。VLAN 内、またはネットワーク内のその他の場所では、他の検査を実行する必要はありません。インターフェイスの信頼状態の設定については、「レイヤ 2 インターフェイスの DAI 信頼状態の設定」を参照してください。


注意 信頼状態の設定は、慎重に行ってください。信頼すべきインターフェイスを信頼できないインターフェイスとして設定すると、接続が失われる場合があります。

図12-2 では、デバイス A とデバイス B は両方とも、ホスト 1 およびホスト 2 を含む VLAN で DAI を実行しています。ホスト 1 とホスト 2 が、デバイス A に接続されている DHCP サーバからそれぞれの IP アドレスを取得する場合、デバイス A がバインドするのはホスト 1 の IP アドレスと MAC アドレスだけです。デバイス A とデバイス B の間のインターフェイスが信頼できない場合、ホスト 1 からの ARP パケットはデバイス B によってドロップされ、ホスト 1 とホスト 2 の間の接続は切断されます。

図12-2 DAI をイネーブルにした VLAN での ARP パケット検証

 

信頼できないインターフェイスを信頼できるインターフェイスとして設定すると、ネットワークにセキュリティ ホールが生じる可能性があります。デバイス A が DAI を実行していなければ、ホスト 1 はデバイス B の ARP キャッシュを簡単にポイズニングできます(デバイス間のリンクが信頼できるものとして設定されている場合はホスト 2 も同様)。この状況は、デバイス B が DAI を実行している場合でも起こりえます。

DAI は、DAI が稼働するデバイスに接続されているホスト(信頼できないインターフェイス上)がネットワーク内の他のホストの ARP キャッシュをポイズニングしないように保証します。ただし、DAI が稼働するデバイスに接続されているホストのキャッシュがネットワークの他の部分のホストによってポイズニングされるのを防ぐことはできません。

VLAN 内の一部のデバイスで DAI が稼働し、他のデバイスでは稼働していない場合は、DAI が稼働しているデバイス上のインターフェイスの信頼状態を次のガイドラインに従って設定します。

Untrusted(信頼できない) ― ホスト、または DAI が 稼働していない デバイスに接続されているインターフェイス

Trusted(信頼できる) ― DAI が 稼働している デバイスに接続されているインターフェイス

DAI が稼働していないデバイスからのパケットのバインディングを検証するには、DAI が稼働しているデバイスに ARP ACL を設定します。バインディングの有効性を判断できない場合は、DAI が稼働しているデバイスを DAI が稼働していないデバイスからレイヤ 3 で隔離します。


) ネットワークの設定によっては、VLAN 内の一部のデバイスで ARP パケットを検証できない場合もあります。


ARP ACL および DHCP スヌーピング エントリのプライオリティ

デフォルトでは、DAI は DAI パケットを、DHCP スヌーピング データベース内の IP-MAC アドレス バインディングと照合することにより、DAI トラフィックをフィルタリングします。

ARP ACL をトラフィックに適用すると、その ARP ACL はデフォルトのフィルタリング動作よりも優先されます。デバイスは、最初に ARP パケットをユーザ定義の ARP ACL と照合します。ARP ACL が ARP パケットを拒否した場合、DHCP スヌーピング データベースに有効な IP-MAC バインディングがあるかどうかに関係なく、デバイスはそのパケットを拒否します。


) VLAN ACL(VACL)は、ARP ACL と DHCP スヌーピング エントリのどちらよりも優先されます。たとえば、VACL と ARP ACL を VLAN に適用し、VACL が ARP トラフィックに作用するように設定した場合、デバイスは、ARP ACL や DHCP スヌーピングのエントリではなく、VACL に基づいて ARP トラフィックの許可または拒否を判断します。


ARP ACL の設定については、「ARP ACL の設定」を参照してください。ARP ACL の適用については、「DAI フィルタリングを目的とした ARP ACL の VLAN への適用」を参照してください。

DAI パケットのロギング

NX-OS は処理された DAI パケットについてのログ エントリのバッファを維持しています。各ログ エントリには、受信側の VLAN、ポート番号、送信元および宛先 IP アドレス、送信元および宛先 MAC アドレスといったフロー情報が記録されます。

ログに記録するパケットのタイプを指定することもできます。デフォルトでは、NX-OS デバイスは DAI がドロップしたパケットだけをログに記録します。設定の詳細については、「DAI のログ フィルタリングの設定」を参照してください。

ログ バッファがあふれると、デバイスは最も古い DAI ログ エントリを新しいエントリで上書きします。バッファ内の最大エントリ数を設定できます。詳細については、「DAI のログ バッファ サイズの設定」を参照してください。


) NX-OS は、ログに記録される DAI パケットに関して、システム メッセージを生成します。


バーチャライゼーション サポート

Virtual Device Context(VDC; バーチャル デバイス コンテキスト)で使用される DAI には、次の事項が適用されます。

IP-MAC アドレス バインディングは各 VDC に固有です。

ARP ACL は各 VDC に固有です。ある VDC に作成した ACL を別の VDC に使用することはできません。

ACL が複数の VDC に共有されることはないので、ACL 名は他の VDC に再利用できます。

システムは、ARP ACL や ルールを VDC 単位では制限しません。

DAI のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

DAI には LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide 』を参照してください。

NX-OS

DAI にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide 』を参照してください。

DAI の前提条件

DAI を設定する前に、次の事項について十分に理解しておく必要があります。

ARP(アドレス解決プロトコル)

DHCP スヌーピング

注意事項および制約事項

DAI に関する注意事項と制約事項は次のとおりです。

DAI は入力セキュリティ機能であり、出力検査は行いません。

DAI は、DAI をサポートしないデバイス、またはこの機能がイネーブルにされていないデバイスに接続されているホストに対しては、効果がありません。man-in-the-middle 攻撃は 1 つのレイヤ 2 ブロードキャスト ドメインに限定されるため、DAI が有効なドメインを、DAI が実行されないドメインから切り離す必要があります。これにより、DAI が有効なドメイン内のホストの ARP キャッシュをセキュリティ保護できます。

DAI では、受信する ARP 要求および ARP 応答内の IP および MAC アドレス バインディングを、DHCP スヌーピング バインディング データベース内のエントリに基づいて検証します。DAI が ARP パケットの有効性を判断するのにスタティック IP-MAC アドレス バインディングを使用するように設定する場合、DHCP スヌーピングの設定はイネーブルにするだけで済みます。DAI が ARP パケットの有効性を判断するのにダイナミック IP-MAC アドレス バインディングを使用するように設定する場合は、DAI を設定した VLAN と同じ VLAN に DHCP スヌーピングを設定する必要があります。設定の詳細については、「DHCP スヌーピングの設定」を参照してください。

DHCP スヌーピングをディセーブルにしている場合、または DHCP 以外の環境では、ARP ACL を使用してパケットの許可および拒否を行う必要があります。

DAI は、アクセス ポート、トランク ポート、ポート チャネル ポート、およびプライベート VLAN ポートでサポートされます。

ポート チャネルに対する DAI の信頼設定によって、そのポート チャネルに割り当てたすべての物理ポートの信頼状態が決まります。たとえば、ある物理ポートを信頼できるインターフェイスとして設定し、信頼できないインターフェイスであるポート チャネルにその物理ポートを追加した場合、その物理ポートは信頼できない状態になります。

ポート チャネルから物理ポートを削除した場合、その物理ポートはポート チャネルの DAI 信頼状態の設定を保持します。

ポート チャネルの信頼状態を変更すると、デバイスはそのチャネルを構成するすべての物理ポートに対し、新しい信頼状態を設定します。

DAI が ARP パケットの有効性を判断するためにスタティック IP-MAC アドレス バインディングを使用するように設定する場合は、DHCP スヌーピング機能がイネーブルになっていること、およびスタティック IP-MAC アドレス バインディングが設定されていることを確認します。設定の詳細については、「DHCP スヌーピングの設定」を参照してください。

DAI が ARP パケットの有効性を判断するためにダイナミック IP-MAC アドレス バインディングを使用するように設定する場合は、DHCP スヌーピングが設定されていることを確認します( DHCP スヌーピングの設定を参照)。

DAI を設定するために DCNM を使用する各デバイスに対して、DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されていることを確認します。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI(コマンドライン インターフェイス)にログインし、次のコマンドを使用します。

logging level dhcp 6

DAI の設定

図12-3 は、ARP Inspection のコンテンツ ペインを示しています。

図12-3 ARP Inspection のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「VLAN での DAI のイネーブル化とディセーブル化」

「レイヤ 2 インターフェイスの DAI 信頼状態の設定」

「DAI フィルタリングを目的とした ARP ACL の VLAN への適用」

「DAI Error-Disabled 回復のイネーブル化またはディセーブル化」

「追加検証のイネーブル化またはディセーブル化」

「DAI のログ バッファ サイズの設定」

「DAI のログ フィルタリングの設定」

VLAN での DAI のイネーブル化とディセーブル化

VLAN に対して DAI をイネーブルまたはディセーブルにすることができます。

作業を開始する前に

デフォルトでは、DAI はすべての VLAN でディセーブルです。

DAI をイネーブルにする場合は、次の点を確認してください。

DHCP スヌーピングがイネーブルになっている。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

DAI をイネーブルにする VLAN が設定されている。

デバイスの DHCP スヌーピングのログ レベルが 6(Informational)以上に設定されている。この必要最小限のログ レベルをデバイスに設定するには、デバイスの CLI にログインし、次のコマンドを使用します。

logging level dhcp 6

詳細な手順

VLAN の DAI をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、DAI の設定が必要な VLAN を持つデバイスをダブルクリックします。

そのデバイス上の VLAN が Summary ペインに表示されます。

ステップ 3 Summary ペインで、DAI を設定する VLAN をクリックします。

DAI VLAN Configuration タブが Details ペインに表示されます。

ステップ 4 DAI VLAN Configuration タブから、次のいずれかを実行します。

選択した VLAN の DAI をイネーブルにするには、 ARP Inspection のチェック ボックスをオンにします。

選択した VLAN の DAI をディセーブルにするには、 ARP Inspection のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

レイヤ 2 インターフェイスの DAI 信頼状態の設定

レイヤ 2 インターフェイスの DAI インターフェイス信頼状態を設定できます。

デバイスは、信頼できるレイヤ 2 インターフェイス上で受信した ARP パケットを転送しますが、検査は行いません。DAI の信頼状態についての詳細は、「インターフェイスの信頼状態とネットワーク セキュリティ」を参照してください。

信頼できないインターフェイス上では、デバイスはすべての ARP 要求および ARP 応答を代行受信します。デバイスは、ローカル キャッシュをアップデートして、代行受信したパケットを適切な宛先に転送する前に、そのパケットの IP-MAC アドレス バインディングが有効かどうかを検証します。そのパケットのバインディングが無効であると判断すると、デバイスはそのパケットをドロップし、ロギングの設定に従ってログに記録します。詳細については、「DAI のログ フィルタリングの設定」を参照してください。

作業を開始する前に

デフォルトでは、すべてのインターフェイスは信頼できない(untrusted)状態です。

DAI をイネーブルにする場合は、DHCP スヌーピングがイネーブルになっていることを確認します。詳細については、「DHCP スヌーピング機能のイネーブル化またはディセーブル化」を参照してください。

詳細な手順

レイヤ 2 インターフェイスの DAI の信頼状態を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DAI の信頼状態の設定が必要なレイヤ 2 インターフェイスを持つデバイスをクリックします。

Details タブが Summary ペインに表示されます。

ステップ 3 Details タブで、必要に応じて ARP Trust State セクションを展開表示します。

選択したデバイスのスロットのテーブルが、ARP Trust State セクションに表示されます。

ステップ 4 設定するレイヤ 2 インターフェイスを含むスロットをダブルクリックします。

そのスロットのレイヤ 2 インターフェイスが表示されます。インターフェイスごとに、Trust State カラムのチェック ボックスにより、デバイスがそのインターフェイスを信頼するかどうかが示されます。

ステップ 5 設定するインターフェイスの Trust State カラムで、次のいずれかを実行します。

信頼できる DAI インターフェイスとして設定するには、 Trust State のチェック ボックスをオンにします。

信頼できない DAI インターフェイスとして設定するには、 Trust State のチェック ボックスをオフにします。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DAI フィルタリングを目的とした ARP ACL の VLAN への適用

1 つまたは複数の VLAN に ARP ACL を適用できます。デバイスがパケットを許可するのは、ACL がそのパケットを許可する場合だけです。

作業を開始する前に

デフォルトでは、どの VLAN にも ARP ACL は適用されません。

適用したい ARP ACL が正しく設定されていることを確認します。ARP ACL の設定については、「ARP ACL の設定」を参照してください。

詳細な手順

DAI フィルタリングのために VLAN に ARP ACL を適用するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、ARP ACL の設定が必要な VLAN を持つデバイスをダブルクリックします。

そのデバイス上の VLAN が Summary ペインに表示されます。

ステップ 3 Summary ペインで、ARP ACL を設定する VLAN をクリックします。

DAI VLAN Configuration タブが Details ペインに表示されます。DAI VLAN Configuration タブに、ARP ACL ドロップダウン リストが表示されます。

ステップ 4 DAI VLAN Configuration タブから、次のいずれかを実行します。

その VLAN に ARP ACL を適用するには、ARP ACL ドロップダウン リストから、適用する ACL を選択します。

その VLAN から ARP ACL を削除するには、メニュー バーから、 ARP Inspection > Remove ARP ACL from VLAN を選択します。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DAI Error-Disabled 回復のイネーブル化またはディセーブル化

デバイスの DAI error-disabled 回復をイネーブルまたはディセーブルに設定できます。

作業を開始する前に

デフォルトでは、DAI error-disabled 回復はディセーブルです。

詳細な手順

デバイスの DAI error-disabled 回復をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、error-disabled 回復を設定するデバイスをダブルクリックします。

Details タブが Summary ペインに表示されます。

ステップ 3 Details タブで、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 Global Settings セクションから、次のいずれかを実行します。

DAI の error-disabled 回復をイネーブルに設定するには、 Error Disable Recovery のチェック ボックスをオンにします。

DAI の error-disabled 回復をディセーブルに設定するには、 Error Disable Recovery のチェック ボックスをオフにします。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

追加検証のイネーブル化またはディセーブル化

ARP パケットの追加検証をイネーブルまたはディセーブルにできます。

DAI は、IP アドレスと MAC アドレスとの無効なバインディングを持つ ARP パケットを代行受信、ログ記録、およびドロップします。宛先 MAC アドレス、送信元および宛先 IP アドレス、送信元 MAC アドレスに対し、追加検証をイネーブルにすることができます。

作業を開始する前に

デフォルトでは、ARP パケットの追加検証はイネーブルになりません。

詳細な手順

追加検証をイネーブルまたはディセーブルに設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、error-disabled 回復を設定するデバイスをダブルクリックします。

Details タブが Summary ペインに表示されます。

ステップ 3 Details タブで、必要に応じて Global Settings セクションを展開表示します。

ステップ 4 (任意)送信元 MAC アドレス検証をイネーブル化またはディセーブル化するには、 Source MAC Validation のチェック ボックスをオンまたはオフにします。

ステップ 5 (任意)宛先 MAC アドレス検証をイネーブル化またはディセーブル化するには、 Destination MAC Validation のチェック ボックスをオンまたはオフにします。

ステップ 6 (任意)送信元およびターゲットの IP アドレス検証をイネーブル化またはディセーブル化するには、 IP Address Validation のチェック ボックスをオンまたはオフにします。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DAI のログ バッファ サイズの設定

DAI のログ バッファ サイズを設定できます。

作業を開始する前に

デフォルトのバッファ サイズは 32 メッセージです。

詳細な手順

DAI のログ バッファ サイズを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DAI のログ バッファ サイズを設定するデバイスをクリックします。

Details タブが Summary ペインに表示されます。

ステップ 3 Details タブで、必要に応じて Global Settings セクションを展開表示します。

Global Settings セクションに Total Buffer Size フィールドが表示されます。

ステップ 4 Total Buffer Size フィールドをクリックし、バッファに保存できる DAI メッセージの最大数を入力します。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DAI システム ロギング レートの設定


) DAI システム ロギング レートは、NX-OS 4.0 では設定できません。


DAI システム ロギング レートを設定できます。

作業を開始する前に

デフォルトの DAI システム ロギング レートは、毎秒 5 メッセージです。

詳細な手順

DAI システム ロギング レートを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、DAI のログ バッファ サイズを設定するデバイスをクリックします。

Details タブが Summary ペインに表示されます。

ステップ 3 Details タブで、必要に応じて Global Settings セクションを展開表示します。

Log Messages フィールドと Log Interval (sec) フィールドが Global Settings セクションに表示されます。デバイスは、Log Interval (sec) フィールドの秒数ごとに、Log Messages フィールドのメッセージ数の割合でメッセージを送信します。

ステップ 4 (任意) Log Messages フィールドをクリックし、メッセージ数を入力します。

ステップ 5 (任意) Log Interval(sec) フィールドをクリックし、秒数を入力します。

ステップ 6 メニューバーから、 File > Save を選択してデバイスに変更を適用します。


 

DAI のログ フィルタリングの設定

DAI パケットを記録するかどうかをデバイスが判断する方法を設定できます。

作業を開始する前に

デフォルトでは、デバイスはドロップされる DAI パケットを記録します。

詳細な手順

DAI のログ フィルタリングを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Switching > Layer 2 Security > ARP Inspection を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、DAI のログ フィルタリングの設定が必要な VLAN を持つデバイスをダブルクリックします。

そのデバイス上の VLAN が Summary ペインに表示されます。

ステップ 3 Summary ペインで、DAI のログ フィルタリングを設定する VLAN をクリックします。

DAI VLAN Configuration タブが Details ペインに表示されます。DAI VLAN Configuration タブに、ACL Logging ドロップダウン リストと DHCP Logging ドロップダウン リストが表示されます。

ステップ 4 (任意)ACL Logging ドロップダウン リストから、ACL のログ記録のオプションを選択します。


) ACL Logging オプションは、NX-OS 4.0 ではサポートされていません。


ステップ 5 (任意)DHCP ドロップダウン リストから、DHCP バインディングのログ記録のオプションを選択します。

ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

DAI 統計情報の表示

Summary ペインでデバイスまたは VLAN をクリックすると、Details ペインに Statistics タブが表示されます。VLAN を選択した場合、その VLAN に固有の DAI に関する情報が Statistics タブに表示されます。デバイスを選択した場合、DAI を実行するように設定されたすべての VLAN の DAI に関する情報が Statistics タブに表示されます。

次のウィンドウが Statistics タブに表示されます。

DAI Statistics ― 処理された ARP パケットに関する情報を表示します。

この機能の統計情報収集に関する詳細情報は、『 Cisco DCNM Fundamentals Configuration Guide 』を参照してください。

DAI のフィールドに関する説明

「Device:Details:Global Settings セクション」

「Device:Details:ARP Trust State セクション」

「VLAN:DAI VLAN Configuration タブ」

「関連フィールド」

Device:Details:Global Settings セクション

 

表12-1 Device:Details:Global Settings セクション

フィールド
説明

Source MAC Validation

イーサネット ヘッダーの送信元 MAC アドレスが ARP メッセージの送信者 MAC アドレスと一致しない場合に、デバイスが ARP パケットをドロップするかどうかの指定。これは、ARP 要求および ARP 応答に適用されます。デフォルトでは、このチェック ボックスはオフです。

Destination MAC Validation

イーサネット ヘッダーの宛先 MAC アドレスが ARP メッセージのターゲット MAC アドレスと一致しない場合に、デバイスが ARP パケットをドロップするかどうかの指定。これは、ARP 応答にのみ適用されます。デフォルトでは、このチェック ボックスはオフです。

IP Address Validation

ARP メッセージに送信者またはターゲットのいずれかに対して無効な IP アドレスが含まれる場合に、デバイスがパケットをドロップするかどうかの指定。これは、ARP 要求および ARP 応答に適用されます。デフォルトでは、このチェック ボックスはオフです。

Error Disable Recovery

デバイスが DAI の error-disable 回復を実行するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

Total Buffer Size

DAI のログ バッファが保存できるメッセージの数。デフォルトでは、バッファ サイズは 64 メッセージです。

Log Messages

DAI のロギング レートに対する DAI のログ メッセージ数。デバイスは、このフィールドの値を Log Interval (sec) フィールドの値で割ることにより、制限を導き出します。デフォルトでは、レート制限に対するログ メッセージの数は 5 メッセージです。

Log Interval(sec)

DAI のロギング レート制限に対する秒数。デバイスは、Log Messages フィールドの値をこのフィールドの値で割ることにより、制限を導き出します。デフォルトでは、レート制限に対する秒数は 1 秒です。

Device:Details:ARP Trust State セクション

 

表12-2 Device:Details:ARP Trust State セクション

フィールド
説明

Interface

表示のみ 。レイヤ 2 インターフェイスの名前、またはレイヤ 2 インターフェイスを含むスロットの名前。

Trust State

インターフェイスを信頼するかどうかの指定。このチェック ボックスがオンのとき、デバイスはそのインターフェイスの ARP 送信元を信頼しません。デフォルトでは、このチェック ボックスはオフです。

VLAN:DAI VLAN Configuration タブ

 

表12-3 VLAN:DAI VLAN Configuration タブ

フィールド
説明

VLAN

表示のみ 。VLAN の ID 番号。

VLAN Name

表示のみ。 VLAN に割り当てられた名前。デフォルトでは、VLAN 1 は Default と名付けられ、その他の VLAN はすべて、「VLAN」と 4 桁の VLAN ID を組み合わせた名前が付けられます。たとえば、VLAN 50 のデフォルトの VLAN 名は、「VLAN0050」です。

ARP Inspection

VLAN の ARP 検査をイネーブルにするかどうかの指定。このチェック ボックスをオンにすると、デバイスは VLAN で受信された ARP パケットを検査します。デフォルトでは、このチェック ボックスはオフです。

ARP ACL

VLAN に適用された ARP ACL の名前。デフォルトでは、このリストはブランクです。

Explicit Deny

ARP ACL のいずれのルールにも一致しない ARP パケットが、そのパケットに対する有効な DHCP バインディングの有無に関係なくドロップされるかどうかの指定。

ACL Logging

VLAN 上の ARP トラフィックに適用される ARP ACL のログ フィルタリングのタイプ。有効なオプションは次のとおりです。

Match Log ― ロギングがイネーブルである ARP ACL のルールに一致するパケットが、ログに記録されます。

Deny ― (デフォルト)拒否された ARP パケットがログに記録されます。

None ― ARP パケットはログに記録されません。

DHCP Logging

VLAN 上の DHCP パケットに対するログのタイプ。有効なオプションは次のとおりです。

Permit ― 許可された DHCP パケットがログに記録されます。

All ― すべての DHCP パケットがログに記録されます。

Deny ― (デフォルト)拒否されたパケットがログに記録されます。

None ― DHCP パケットはログに記録されません。

関連フィールド

ARP ACL を設定するフィールドについては、「ARP ACL のフィールドに関する説明」を参照してください。

ARP ACL の設定

図12-4 は、ARP ACL のコンテンツ ペインを示しています。

図12-4 ARP ACL のコンテンツ ペイン

 

ここでは、次の内容について説明します。

「ARP ACL の作成」

「ARP ACL の変更」

「ARP ACL の削除」

ARP ACL の作成

デバイスに ARP ACL を作成し、これにルールを追加できます。

詳細な手順

デバイスに対して ARP ACL を作成するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > ARP ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、ACL を追加するデバイスをダブルクリックします。

ステップ 3 メニューバーから、 File > New > ACL を選択します。

ブランク行が Summary ペインに表示されます。Details タブが Details ペインに表示されます。

ステップ 4 Details タブで、Name フィールドに ACL の名前を入力します。

ステップ 5 ACL に追加するルールまたは備考ごとに、メニューバーから File > New を選択し、 ACE または Remark を選択します。Details タブで、必要に応じてフィールドを設定します。


) ルールに一致するパケットをログに記録するには、まず、Log のチェック ボックスをオンにして手順を完了します。それから、その ACL を適用する各 VLAN の DAI のログ記録に関して、パケットが ARP ACL のルールに一致するときにログが記録される設定となっていることを確認します。詳細については、「DAI のログ フィルタリングの設定」を参照してください。


ステップ 6 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

ARP ACL の変更

既存の ARP ACL に対して、ルールの変更、並べ替え、追加、および削除を行うことができます。

詳細な手順

ARP ACL を変更するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > ARP ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインから、変更する ACL を持つデバイスをダブルクリックし、ACL をダブルクリックします。

そのデバイス上の ACL と、ダブルクリックした ACL のルールが、Summary ペインに表示されます。

ステップ 3 (任意)ルールの詳細を変更する場合、Summary ペインでそのルールをクリックします。Details タブで、必要に応じてフィールドを設定します。


) ルールに一致するパケットをログに記録するには、まず、Log のチェック ボックスをオンにして手順を完了します。それから、ACL を適用する各 VLAN の DAI のログ記録に関して、パケットが ARP ACL のルールに一致するときにログが記録される設定となっていることを確認します。詳細については、「DAI のログ フィルタリングの設定」を参照してください。


ステップ 4 (任意)ルールまたは備考を追加する場合、Summary ペインで ACL をクリックし、メニューバーから File > New を選択し、 ACE または Remark を選択します。Details タブで、必要に応じてフィールドを設定します。

ステップ 5 (任意)ルールを削除する場合、そのルールをクリックし、メニューバーから ARP ACL > Delete を選択します。

ステップ 6 (任意)ACL の別の位置にルールまたは備考を移動する場合、そのルールまたは備考をクリックし、メニューバーから次のいずれかを適宜選択します。

ARP ACL > Move Up

ARP ACL > Move Down

選択に応じて、ルールが上下に移動します。ルールのシーケンス番号は、移動後の位置に従って調整されます。

ステップ 7 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

ARP ACL の削除

ARP ACL をデバイスから削除できます。

作業を開始する前に

その ACL が VLAN に適用されているかどうかを確認します。削除できるのは、現在適用されている ACL です。ACL を削除しても、その ACL が適用されている VLAN の設定には影響しません。デバイスは削除された ACL を空であるとみなします。

詳細な手順

デバイスから ARP ACL を削除するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Access Control > ARP ACL を選択します。

使用可能なデバイスが Summary ペインに表示されます。

ステップ 2 Summary ペインで、ACL を削除するデバイスをダブルクリックします。

現在そのデバイス上にある ACL が Summary ペインに表示されます。

ステップ 3 削除する ACL をクリックします。

ステップ 4 メニューバーから、 ARP ACL > Delete を選択します。

その ACL が Summary ペインから削除されます。

ステップ 5 メニューバーから、 File > Deploy を選択してデバイスに変更を適用します。


 

ARP ACL のフィールドに関する説明

「ARP ACL:ACL Details タブ」

「ARP Access Rule:ACE Details タブ」

「ARP Access Rule:ACE Details:Source:Destination セクション」

「ARP ACL Remark:Remark Details タブ」

「関連フィールド」

ARP ACL:ACL Details タブ

 

表12-4 ARP ACL:ACL Details タブ

フィールド
説明

Name

ARP ACL の名前。名前には最大 64 文字の英数字を使用できますが、先頭の文字は英字にする必要があります。デフォルトでは名前は割り当てられません。

ARP Access Rule:ACE Details タブ

 

表12-5 ARP Access Rule:ACE Details タブ

フィールド
説明

Sequence No.

ルールのシーケンス番号。1 ~ 4294967295 の整数で指定される必要があります。あるルールを別のルールの後に追加する場合、デフォルトのシーケンス番号は、先行するルールより 10 大きい番号となります。あるルールを別のルールの前に追加する場合、後続のルールより 10 小さい番号となります。

Action

パケットにそのルールが当てはまると判断された場合にデバイスが実行する処理。有効な値は次のとおりです。

Deny ― パケットの処理を停止し、ドロップします。

Permit ― パケットの処理を継続します。これがデフォルト値です。

Log

アクセス ルールが適用されるトラフィックの統計情報について、デバイスがログを記録するかどうかの指定。デフォルトでは、このチェック ボックスはオフです。

ARP Access Rule:ACE Details:Source:Destination セクション

 

表12-6 ARP Access Rule:ACE Details:Source:Destination セクション

フィールド
説明

ARP Packet Type

ルールに一致する ARP パケットのタイプ。

Response ― このルールに一致するのは ARP 応答のみです。

Both ― (デフォルト)このルールに一致するのは ARP 応答および ARP 要求のパケットです。

Request ― このルールに一致するのは ARP 要求のみです。

Sender

IP Type

送信者の IP アドレス。あるいは、ARP Packet Type リストで Both が選択されている場合には、送信者およびターゲットの IP アドレス。次のオプション ボタンのいずれかを選択できます。

Any ― このルールには、いずれの IPv4 送信元から選択された ARP パケット タイプも一致します。これがデフォルト値です。

Host ― このルールには、特定の IPv4 アドレスから選択された ARP パケット タイプが一致します。このオプション ボタンを選択すると、IP Address フィールドが表示されます。

Network ― このルールには、IPv4 ネットワークから選択された ARP パケット タイプが一致します。このオプション ボタンを選択すると、IP Address フィールドと Wildcard Mask フィールドが表示されます。

IP Address

ホストまたはネットワークの IPv4 アドレス。有効なアドレスは、ドット付き 10 進形式です。このフィールドは、Host または Network のオプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

Wildcard Mask (IP Type)

IPv4 ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 10 進形式です。たとえば、IP Address フィールドに 192.168.0.0 と指定した場合、このフィールドに 0.0.255.255 のように入力できます。このフィールドは、Network オプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

MAC Type

送信者の MAP アドレス。あるいは、ARP Packet Type リストで Both が選択されている場合には、送信者およびターゲットの MAC アドレス。次のオプション ボタンのいずれかを選択できます。

Any ― このルールには、いずれの MAC 送信元から選択された ARP パケット タイプも一致します。これがデフォルト値です。

Host ― このルールには、特定の MAC アドレスから選択された ARP パケット タイプが一致します。このオプション ボタンを選択すると、MAC Address フィールドが表示されます。

Network ― このルールには、MAC ネットワークから選択された ARP パケット タイプが一致します。このオプション ボタンを選択すると、MAC Address フィールドと Wildcard Mask フィールドが表示されます。

MAC Address

ホストまたはネットワークの MAC アドレス。有効なアドレスは、ドット付き 16 進形式です。このフィールドは、Host または Network のオプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

Wildcard Mask (MAC Type)

MAC ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 16 進形式です。たとえば、MAC Address フィールドに 00c0.4f03.0000 と指定した場合、このフィールドに 0000.0000.ffff のように入力できます。このフィールドは、Network オプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

Target

IP Type

ターゲットの IP アドレス。次のオプション ボタンのいずれかを選択できます。

Any ― このルールには、いずれの IPv4 ターゲット アドレスへの ARP 応答パケットも一致します。これがデフォルト値です。

Host ― このルールには、特定の IPv4 ターゲット アドレスへの ARP 応答パケットが一致します。このオプション ボタンを選択すると、IP Address フィールドが表示されます。

Network ― このルールには、IPv4 ネットワークへの ARP 応答パケットが一致します。このオプション ボタンを選択すると、IP Address フィールドと Wildcard Mask フィールドが表示されます。

IP Address

ターゲット ホストまたはネットワークの IPv4 アドレス。有効なアドレスは、ドット付き 10 進形式です。このフィールドは、Host または Network のオプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

Wildcard Mask (IP Type)

IPv4 ターゲット ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 10 進形式です。たとえば、IP Address フィールドに 192.168.0.0 と指定した場合、このフィールドに 0.0.255.255 のように入力できます。このフィールドは、Network オプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

MAC Type

ターゲットの MAC アドレス。次のオプション ボタンのいずれかを選択できます。

Any ― このルールには、いずれの MAC ターゲット アドレスへの ARP 応答パケットも一致します。これがデフォルト値です。

Host ― このルールには、特定のターゲット MAC アドレスへの ARP 応答パケットが一致します。このオプション ボタンを選択すると、MAC Address フィールドが表示されます。

Network ― このルールには、特定のターゲット MAC ネットワークへの ARP 応答パケットが一致します。このオプション ボタンを選択すると、MAC Address フィールドと Wildcard Mask フィールドが表示されます。

MAC Address

ターゲット ホストまたはネットワークの MAC アドレス。有効なアドレスは、ドット付き 16 進形式です。このフィールドは、Host または Network のオプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

Wildcard Mask (MAC Type)

ターゲット MAC ネットワークのワイルドカード マスク。有効なマスクは、ドット付き 16 進形式です。たとえば、MAC Address フィールドに 00c0.4f03.0000 と指定した場合、このフィールドに 0000.0000.ffff のように入力できます。このフィールドは、Network オプション ボタンを選択したときに使用可能です。デフォルトではこのフィールドは使用できません。

ARP ACL Remark:Remark Details タブ

 

表12-7 ARP ACL Remark:Remark Details タブ

フィールド
説明

Sequence No.

備考のシーケンス番号。1 ~ 4294967295 の整数で指定する必要があります。あるルールを別のルールの後に追加する場合、デフォルトのシーケンス番号は、先行するルールより 10 大きい番号となります。あるルールを別のルールの前に追加する場合、後続のルールより 10 小さい番号となります。

Description

備考のテキスト。最大 100 文字の英数字で指定します。デフォルトでは、このフィールドは空です。

関連フィールド

ARP ACL を適用するフィールドについては、「VLAN:DAI VLAN Configuration タブ」を参照してください。

その他の参考資料

DAI の実装に関する詳細情報については、次を参照してください。

「関連資料」

「規格」

関連資料

関連事項
タイトル

DHCP スヌーピング

「DHCP スヌーピングの概要」

規格

規格
タイトル

RFC -826

An Ethernet Address Resolution Protocol 』(http://tools.ietf.org/html/rfc826)