Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
ダイナミック ARP インスペクションの設定
ダイナミック ARP インスペクションの設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ダイナミック ARP インスペクションの設定

この章では、Cisco NX-OS デバイスで Dynamic Address Resolution Protocol(ARP; アドレス解決プロトコル)Inspection(DAI; ダイナミック ARP インスペクション)を設定する方法について説明します。


(注)  


管理対象デバイスで稼働している Cisco NX-OS リリースでは、こので説明するすべての機能または設定がサポートされない場合があります。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースのマニュアルとリリース ノートを参照してください。


この章は、次の内容で構成されています。

DAI の概要

ARP

ARP では、IP アドレスを MAC アドレスにマッピングすることで、レイヤ 2 ブロードキャスト ドメイン内の IP 通信を実現します。 たとえば、ホスト B がホスト A に情報を送信しようとして、ホスト B の ARP キャッシュにホスト A の MAC アドレスがないという場合、 ARP の用語では、ホスト B が送信者、ホスト A はターゲットになります。

ホスト B は、ホスト A の IP アドレスに関連付けられた MAC アドレスを取得するため、このブロードキャスト ドメイン内の全ホストに対してブロードキャスト メッセージを送信します。 ブロードキャスト ドメイン内の全ホストはこの ARP 要求を受信し、これに対してホスト A は自身の MAC アドレスを返します。

ARP スプーフィング攻撃

ARP では、たとえ ARP 要求を受信していなくても、ホストからの応答が可能なので、ARP スプーフィング攻撃と ARP キャッシュ ポイズニングが発生する可能性があります。 攻撃が開始されると、攻撃を受けたデバイスからのすべてのトラフィックは、攻撃者のコンピュータを経由してルータ、スイッチ、またはホストに送信されるようになります。

ARP スプーフィング攻撃は、サブネットに接続されているデバイスの ARP キャッシュに偽りの情報を送信することにより、レイヤ 2 ネットワークに接続されているホスト、スイッチ、ルータに影響を及ぼす可能性があります。 ARP キャッシュに偽りの情報を送信することを ARP キャッシュ ポイズニングといいます。 スプーフ攻撃では、サブネット上の他のホストに対するトラフィックの代行受信も可能です。

図 1. ARP キャッシュ ポイズニング.

次の図に、ARP キャッシュ ポイズニングの例を示します。



ホスト A、B、C は、それぞれインターフェイス A、B、C を介してデバイスに接続されています。これらのインターフェイスは同一サブネットに属します。 カッコ内は、各ホストの IP および MAC アドレスを示します。たとえば、ホスト A は IP アドレス IA、および MAC アドレス MA を使用します。 ホスト A がホスト B に IP データを送信する必要がある場合、ホスト A は IP アドレス IB に関連付けられた MAC アドレスを求める ARP 要求をブロードキャストします。 デバイスとホスト B はこの ARP 要求を受信すると、IP アドレス IA および MAC アドレス MA を持つホストの ARP バインディングを、それぞれの ARP キャッシュ内に書き込みます。たとえば、IP アドレス IA は MAC アドレス MA にバインドされます。 ホスト B が応答すると、デバイスとホスト A は、IP アドレス IB および MAC アドレス MB を持つホストのバインディングを、それぞれの ARP キャッシュ内に書き込みます。

ホスト C は、バインディングを伴う 2 つの偽造 ARP 応答をブロードキャストすることにより、デバイス、ホスト A、ホスト B の ARP キャッシュをポイズニングできます。偽造 ARP 応答の 1 つは、IP アドレス IA と MAC アドレス MC を持つホストの応答、もう 1 つは IP アドレス IB と MAC アドレス MC を持つホストの応答です。 これにより、ホスト B とデバイスは、IA を宛先とするトラフィックの宛先 MAC アドレスとして、MAC アドレス MC を使用します。つまり、ホスト C がこのトラフィックを代行受信することになります。 同様に、ホスト A とデバイスは、IB を宛先とするトラフィックの宛先 MAC アドレスとして MAC アドレス MC を使用します。

ホスト C は IA および IB に関連付けられた本物の MAC アドレスを知っているため、正しい MAC アドレスを宛先として使用することで、代行受信したトラフィックをこれらのホストに転送できます。 このトポロジでは、ホスト C は、ホスト A からホスト B へのトラフィック ストリーム内に自身を割り込ませています。これは、man-in-the-middle 攻撃の典型的な例です。

DAI および ARP スプーフィング攻撃

DAI を使用することで、有効な ARP 要求および応答だけがリレーされるようになります。 DAI がイネーブルになり適切に設定されている場合、Cisco NX-OS デバイスは次のアクティビティを実行します。

  • 信頼できないポートを経由したすべての ARP 要求および ARP 応答を代行受信します。
  • 代行受信した各パケットが、IP アドレスと MAC アドレスの有効なバインディングを持つことを確認してから、ローカル ARP キャッシュを更新するか、または適切な宛先にパケットを転送します。
  • 無効な ARP パケットはドロップします。

DAI によって ARP パケットの有効性を判断するときの基準となる有効な IP-to-MAC バインディングは、Dynamic Host Configuration Protocol(DHCP)スヌーピング バインディング データベースに保存されています。 このデータベースは、VLAN とデバイス上で DHCP スヌーピングがイネーブルにされている場合に、DHCP スヌーピングによって構築されます。 また、このデータベースにはユーザが作成するスタティック エントリも保存できます。 ARP パケットを信頼できるインターフェイス上で受信した場合は、デバイスはこのパケットを検査せずに転送します。 信頼できないインターフェイス上では、デバイスは有効性を確認できたパケットだけを転送します。

DAI では、スタティックに設定した IP アドレスを持つホストに対し、ユーザ定義の ARP アクセス コントロール リスト(ACL)と照合することで ARP パケットを検証できます。 ドロップしたパケットはログに記録されます。

DAI では、パケット内の IP アドレスが無効な場合に ARP パケットをドロップするのか、または ARP パケット本体の MAC アドレスがイーサネット ヘッダーに指定されたアドレスと一致しない場合に ARP パケットをドロップするのかを設定できます。

インターフェイスの信頼状態とネットワーク セキュリティ

DAI は、デバイスの各インターフェイスに信頼状態を関連付けます。 信頼できるインターフェイス上で受信されたパケットは、DAI のすべての有効性検査をバイパスしますが、信頼できないインターフェイス上で受信されたパケットには、DAI の有効性検査が行われます。

一般的なネットワーク構成では、次のガイドラインに従ってインターフェイスの信頼状態を設定します。

信頼できない

ホストに接続されているインターフェイス

信頼できる

デバイスに接続されているインターフェイス

この設定では、デバイスからネットワークに送信される ARP パケットはすべて、セキュリティ検査をバイパスします。 VLAN 内、またはネットワーク内のその他の場所では、他の検査を実行する必要はありません。


注意    


信頼状態の設定は、慎重に行ってください。 信頼すべきインターフェイスを信頼できないインターフェイスとして設定すると、接続が失われる場合があります。


図 2. DAI をイネーブルにした VLAN での ARP パケット検証.

次の図では、デバイス A およびデバイス B の両方が、ホスト 1 およびホスト 2 を収容する VLAN 上で DAI を実行していると仮定します。 ホスト 1 およびホスト 2 が、デバイス A に接続されている DHCP サーバから IP アドレスを取得すると、デバイス A だけがホスト 1 の IP/MAC アドレスをバインドします。 デバイス A とデバイス B 間のインターフェイスが信頼できない場合は、ホスト 1 からの ARP パケットはデバイス B ではドロップされ、ホスト 1 およびホスト 2 の間の接続は切断されます。



信頼できないインターフェイスを信頼できるインターフェイスとして設定すると、ネットワークにセキュリティ ホールが生じる可能性があります。 デバイス A が DAI を実行していなければ、ホスト 1 はデバイス B の ARP キャッシュを簡単にポイズニングできます(デバイス間のリンクが信頼できるものとして設定されている場合はホスト 2 も同様)。 この状況は、デバイス B が DAI を実行している場合でも起こりえます。

DAI は、DAI が稼働するデバイスに接続されているホスト(信頼できないインターフェイス上)がネットワーク内の他のホストの ARP キャッシュをポイズニングしないように保証します。ただし、DAI が稼働するデバイスに接続されているホストのキャッシュがネットワークの他の部分のホストによってポイズニングされるのを防ぐことはできません。

VLAN 内の一部のデバイスで DAI が稼働し、他のデバイスでは稼働していない場合は、DAI が稼働しているデバイス上のインターフェイスの信頼状態を次のガイドラインに従って設定します。

信頼できない

ホスト、または DAI が稼働していないデバイスに接続されているインターフェイス

信頼できる

DAI が稼働しているデバイスに接続されているインターフェイス

DAI が稼働していないデバイスからのパケットのバインディングを検証するには、DAI が稼働しているデバイスに ARP ACL を設定します。 バインディングの有効性を判断できない場合は、DAI が稼働しているデバイスを DAI が稼働していないデバイスからレイヤ 3 で隔離します。


(注)  


ネットワークの設定によっては、VLAN 内の一部のデバイスで ARP パケットを検証できない場合もあります。


ARP ACL および DHCP スヌーピング エントリのプライオリティ

デフォルトでは、DAI は DAI パケットを、DHCP スヌーピング データベース内の IP-MAC アドレス バインディングと照合することにより、DAI トラフィックをフィルタリングします。

ARP ACL をトラフィックに適用すると、その ARP ACL はデフォルトのフィルタリング動作よりも優先されます。 デバイスはまず、ARP パケットを、ユーザが設定した ARP ACL と照合します。 ARP ACL が ARP パケットを拒否した場合、DHCP スヌーピング データベースに有効な IP-MAC バインディングがあるかどうかに関係なく、デバイスはそのパケットを拒否します。


(注)  


VLAN ACL(VACL)は、ARP ACL と DHCP スヌーピング エントリのどちらよりも優先されます。 たとえば、VACL と ARP ACL を VLAN に適用し、VACL が ARP トラフィックに作用するように設定した場合、デバイスは、ARP ACL や DHCP スヌーピングのエントリではなく、VACL に基づいて ARP トラフィックの許可または拒否を判断します。


DAI パケットのロギング

Cisco NX-OS は処理された DAI パケットについてのログ エントリのバッファを維持しています。 各ログ エントリには、受信側の VLAN、ポート番号、送信元 IP アドレスおよび宛先 IP アドレス、送信元 MAC アドレスおよび宛先 MAC アドレスといったフロー情報が記録されます。

ログに記録するパケットのタイプを指定することもできます。 デフォルトでは、Cisco NX-OS デバイスは DAI がドロップしたパケットだけをログに記録します。

ログ バッファがあふれると、デバイスは最も古い DAI ログ エントリを新しいエントリで上書きします。 バッファ内の最大エントリ数を設定できます。


(注)  


Cisco NX-OS は、ログに記録される DAI パケットに関するシステム メッセージを生成しません。


DAI のライセンス要件

次の表に、DAI のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

DAI には、LAN Enterprise ライセンスが必要です。 Cisco DCNM ライセンス方式について、およびライセンスの取得方法と適用方法についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

DAI にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

DAI の前提条件

  • DHCP を設定するには、その前に DAI 機能をイネーブルにする必要があります。

Cisco DCNM の機能を使用するための前提条件は、次のとおりです。 機能固有の前提条件については、プラットフォームのマニュアルを参照してください。

  • DAI 機能のシステム メッセージ ログ レベルが、Cisco DCNM 要件を満たすか上回ること。 デバイス検出時に、ログ レベルが不適切であることが検出された場合は、最低限必要なレベルまで Cisco DCNM によって引き上げられます。 ただし、Cisco Nexus 7000 シリーズ スイッチで Cisco NX-OS Release 4.0 を実行する場合は例外です。 Cisco NX-OS Release 4.0 の場合は、デバイスの検出を行う前に、コマンドライン インターフェイスを使用して Cisco DCNM の要件を満たすか、上回るようにログ レベルを設定してください。 詳細については、を参照してください。

DAI および ARP ACL をサポートしているプラットフォーム

この機能は、次のプラットフォームでサポートされています。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

DAI の設定

VLAN での DAI のイネーブル化とディセーブル化

VLAN に対して DAI をイネーブルまたはディセーブルにすることができます。 デフォルトでは、DAI はすべての VLAN でディセーブルです。

はじめる前に

DAI をイネーブルにする場合は、次の点を確認してください。

  • DAI をイネーブルにする VLAN が設定されている。
手順
    ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

    [Summary] ペインに使用可能なデバイスが表示されます。

    ステップ 2   [Summary] ペインで、DAI を設定する VLAN が属するデバイスをダブルクリックします。

    デバイス上にある VLAN が [Summary] ペインに表示されます。

    ステップ 3   [Summary] ペインで、DAI を設定する VLAN をクリックします。

    [Details] ペインに [DAI VLAN Details] タブが表示されます。

    ステップ 4   [DAI VLAN Details] タブから、次のいずれかを実行します。
    • 選択した VLAN で DAI をイネーブルにするには、[ARP Inspection] をオンにします。

    • 選択した VLAN で DAI をディセーブルにするには、[ARP Inspection] をオフにします。

    ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    レイヤ 2 インターフェイスの DAI 信頼状態の設定

    レイヤ 2 インターフェイスの DAI インターフェイス信頼状態を設定できます。 デフォルトでは、すべてのインターフェイスは信頼できません。

    デバイスは、信頼できるレイヤ 2 インターフェイス上で受信した ARP パケットを転送しますが、検査は行いません。

    信頼できないインターフェイス上では、デバイスはローカル キャッシュをアップデートして、パケットを適切な宛先に転送する前に、すべての ARP 要求および ARP 応答の IP-MAC アドレス バインディングが有効かどうかを検証します。 そのパケットのバインディングが無効であると判断すると、デバイスはそのパケットをドロップし、ロギングの設定に従ってログに記録します。

    手順
      ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

      [Summary] ペインに使用可能なデバイスが表示されます。

      ステップ 2   [Summary] ペインで、DAI 信頼状態を設定するレイヤ 2 インターフェイスが属するデバイスをクリックします。

      [Summary] ペインに [Details] タブが表示されます。

      ステップ 3   必要に応じて、[Details] タブで [ARP Trust State] セクションを展開します。

      選択したデバイス上にあるスロットのテーブルが [ARP Trust State] セクションに表示されます。

      ステップ 4   設定するレイヤ 2 インターフェイスが属するスロットをダブルクリックします。

      スロットのレイヤ 2 インターフェイスが表示されます。 各インターフェイスについて、[Trust State] カラムのチェックボックスが、デバイスがインターフェイスを信頼しているかを示しています。

      ステップ 5   設定するインターフェイスの [Trust State] カラムで、次のいずれかの手順を実行します。
      • インターフェイスを信頼できる DAI インターフェイスにするには、[Trust State] をオンにします。

      • インターフェイスを信頼できない DAI インターフェイスにするには、[Trust State] をオフにします。

      ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      DAI フィルタリングを目的とした ARP ACL の VLAN への適用

      1 つまたは複数の VLAN に ARP ACL を適用できます。 デバイスがパケットを許可するのは、ACL がそのパケットを許可する場合だけです。 デフォルトでは、どの VLAN にも ARP ACL は適用されません。

      はじめる前に

      適用する ARP ACL が正しく設定されていることを確認します。

      手順
        ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

        [Summary] ペインに使用可能なデバイスが表示されます。

        ステップ 2   [Summary] ペインで、ARP ACL を設定する VLAN が属するデバイスをダブルクリックします。

        デバイス上にある VLAN が [Summary] ペインに表示されます。

        ステップ 3   [Summary] ペインで、ARP ACL を設定する VLAN をクリックします。

        [Details] ペインに [DAI VLAN Details] タブが表示されます。 [DAI VLAN Details] タブに、[ARP ACL] ドロップダウン リストが表示されます。

        ステップ 4   [DAI VLAN Details] タブから、次のいずれかを実行します。
        • ARP ACL を VLAN に追加するには、[ARP ACL] ドロップダウン リストから適用する ACL を選択します。

        • ARP ACL を VLAN から削除するには、メニュー バーで [Actions] > [Remove ARP ACL from VLAN] を選択します。

        ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        追加検証のイネーブル化またはディセーブル化

        ARP パケットの追加検証をイネーブルまたはディセーブルにできます。 デフォルトでは、ARP パケットの追加検証はイネーブルになりません。

        DAI は、IP アドレスと MAC アドレスとの無効なバインディングを持つ ARP パケットを代行受信、記録、および廃棄します。 宛先 MAC アドレス、送信元および宛先 IP アドレス、送信元 MAC アドレスに対し、追加検証をイネーブルにすることができます。

        手順
          ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

          [Summary] ペインに使用可能なデバイスが表示されます。

          ステップ 2   (任意) [Summary] ペインで、error-disabled 回復を設定するデバイスをダブルクリックします。

          [Summary] ペインに [Details] タブが表示されます。

          ステップ 3   必要に応じて、[Details] タブの [Global Settings] セクションを展開します。
          ステップ 4   (任意)送信元 MAC アドレスの有効性確認をイネーブルまたはディセーブルにするには、[Source MAC Validation] をオンまたはオフにします。
          ステップ 5   (任意)宛先 MAC アドレスの有効性確認をイネーブルまたはディセーブルにするには、[Destination MAC Validation] をオンまたはオフにします。
          ステップ 6   (任意)送信元とターゲットの IP アドレスの有効性確認をイネーブルまたはディセーブルにするには、[IP Address Validation] をオンまたはオフにします。
          ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          DAI のログ バッファ サイズの設定

          DAI のログ バッファ サイズを設定できます。 デフォルトのバッファ サイズは 32 メッセージです。

          手順
            ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

            [Summary] ペインに使用可能なデバイスが表示されます。

            ステップ 2   [Summary] ペインで、設定する DAI のログ バッファ サイズが含まれるデバイスをクリックします。

            [Summary] ペインに [Details] タブが表示されます。

            ステップ 3   必要に応じて、[Details] タブの [Global Settings] セクションを展開します。

            [Global Settings] セクションに [Total Buffer Size] フィールドが表示されます。

            ステップ 4   [Total Buffer Size] フィールドをクリックして、バッファに保持できる DAI メッセージの最大数を入力します。
            ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            DAI システム ロギング レートの設定

            DAI システム ロギング レートを設定できます。 デフォルトの DAI システム ロギング レートは毎秒 5 メッセージです。


            (注)  


            DAI システム ロギング レートは Cisco NX-OS Release 4.0、4.1、4.2、および 5.0 では設定できません。
            手順
              ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

              [Summary] ペインに使用可能なデバイスが表示されます。

              ステップ 2   [Summary] ペインで、設定する DAI のログ バッファ サイズが含まれるデバイスをクリックします。

              [Summary] ペインに [Details] タブが表示されます。

              ステップ 3   (任意) 必要に応じて、[Details] タブの [Global Settings] セクションを展開します。

              [Log Messages] フィールドおよび [Log Interval (sec)] フィールドが [Global Settings] セクションに表示されます。 デバイスは、[Log Interval (sec)] フィールドの秒数ごとに [Log Messages] フィールドのメッセージ数のレートでメッセージを送信します。

              ステップ 4   (任意)[Log Messages] フィールドをクリックしてメッセージ数を入力します。
              ステップ 5   (任意)[Log Interval(sec)] フィールドをクリックして秒数を入力します。
              ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              DAI のログ フィルタリングの設定

              DAI パケットを記録するかどうかをデバイスが判断する方法を設定できます。 デフォルトでは、デバイスはドロップされる DAI パケットをログに記録します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Switching] > [Layer 2 Security] > [ARP Inspection] を選択します。

                [Summary] ペインに使用可能なデバイスが表示されます。

                ステップ 2   [Summary] ペインで、DAI のログ フィルタリングを設定する VLAN が属するデバイスをダブルクリックします。

                デバイス上にある VLAN が [Summary] ペインに表示されます。

                ステップ 3   [Summary] ペインで、DAI のログ フィルタリングを設定する VLAN をクリックします。

                [Details] ペインに [DAI VLAN Details] タブが表示されます。 [DAI VLAN Details] タブに、[DHCP Logging] ドロップダウン リストが表示されます。

                ステップ 4   [DHCP] ドロップダウン リストから、必要な DHCP バインディング ロギング オプションを選択します。
                ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                DAI の統計情報のモニタリングとクリア

                [Summary] ペインでデバイスまたは VLAN をクリックすると、[Details] ペインに [Statistics] タブが表示されます。 VLAN を選択すると、その VLAN に固有の DAI に関する情報が [Statistics] タブに表示されます。 デバイスを選択すると、DAI を実行するように設定されたすべての VLAN 上の DAI に関する情報が [Statistics] タブに表示されます。

                [Statistics] タブに次の情報が表示されます。

                • [DAI Statistics] には処理された ARP パケットに関する情報が表示されます。

                この機能のための統計情報収集の詳細については、を参照してください。

                DAI のフィールドの説明

                [Device]:[Details]:[Global Settings] セクション

                表 1 [Device]:[Details]:[Global Settings] セクション

                フィールド

                説明

                Source MAC Validation

                イーサネット ヘッダーの送信元 MAC アドレスが ARP メッセージの送信側 MAC アドレスと一致しない場合にデバイスが ARP パケットをドロップするかどうか。 このフィールドは ARP 要求および ARP 応答に適用されます。 デフォルトでは、このチェックボックスはオフになっています。

                Destination MAC Validation

                イーサネット ヘッダーの宛先 MAC アドレスが ARP メッセージのターゲット MAC アドレスと一致しない場合にデバイスが ARP パケットをドロップするかどうか。 このフィールドは ARP 応答だけに適用されます。 デフォルトでは、このチェックボックスはオフになっています。

                IP Address Validation

                デバイスが送信側またはターゲットに無効な IP アドレスを含む ARP パケットをドロップするかどうか。 このフィールドは ARP 要求および ARP 応答に適用されます。 デフォルトでは、このチェックボックスはオフになっています。

                Total Buffer Size

                DAI ログ バッファに格納できるメッセージ数。 デフォルトのバッファ サイズは 64 メッセージです。

                Log Messages

                DAI ロギング レート制限の DAI ログ メッセージ数。 デバイスは、このフィールドの値を [Log Interval (sec)] フィールドの値で割って制限値を求めます。 デフォルトでは、レート制限でのログ メッセージ数は 5 です。

                Log Interval(sec)

                DAI ロギング レート制限の秒数。 デバイスは、[Log Messages] フィールドの値をこのフィールドの値で割って制限値を求めます。 デフォルトでは、レート制限での秒数は 1 です。

                [Device]:[Details]:[ARP Trust State] セクション

                表 2  [Device]:[Details]:[ARP Trust State] セクション

                説明

                Interface

                表示のみ。 レイヤ 2 インターフェイスの名前またはレイヤ 2 インターフェイスを含むスロットの名前。

                Trust State

                インターフェイスが信頼されているかどうか。 このチェックボックスがオンの場合、デバイスはインターフェイスの ARP 送信元を信頼しません。 デフォルトでは、このチェックボックスはオフになっています。

                [VLAN]:[DAI VLAN Details] タブ

                表 3  [VLAN]:[DAI VLAN Details] タブ

                説明

                VLAN

                表示のみ。 VLAN の ID 番号。

                VLAN Name

                表示のみ。 VLAN に割り当てられた名前。 デフォルトでは、VLAN 1 には Default という名前が付けられ、他のすべての VLAN にはテキスト「VLAN」と 4 桁の VLAN ID を組み合わせた名前が付けられます。 たとえば、VLAN 50 のデフォルト VLAN 名は VLAN0050 です。

                ARP Inspection

                VLAN の ARP インスペクションがイネーブルかどうか。 このチェックボックスがオンの場合、デバイスは VLAN で受信した ARP パケットを検査します。 デフォルトでは、このチェックボックスはオフになっています。

                ARP Operational State

                表示のみ。 ARP インスペクションがインターフェイスでアクティブであるかどうか。

                ARP ACL

                VLAN に適用される ARP ACL の名前。 デフォルトでは、このリストは空白です。

                DHCP Logging

                VLAN 上の DAI パケットに対する DHCP バインディング ロギングのタイプ。 有効なオプションは次のとおりです。

                • [Permit]:DHCP バインディングで許可された DAI パケットがログに記録されます。
                • [All]:すべての DAI パケットがログに記録されます。
                • [Deny]:(デフォルト)DHCP バインディングで拒否された DAI パケットがログに記録されます。
                • [None]:DAI パケットはログに記録されません。

                ARP ACL の設定

                図 3. ARP ACL のコンテンツ ペイン.

                次の図に、ARP ACL のコンテンツ ペインを示します。



                ARP ACL の作成

                デバイスに ARP ACL を作成し、これにルールを追加できます。

                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [ARP ACL] を選択します。

                  [Summary] ペインに使用可能なデバイスが表示されます。

                  ステップ 2   [Summary] ペインで、ACL を追加するデバイスをダブルクリックします。
                  ステップ 3   メニュー バーの [File] > [New] > [ACL] を選択します。

                  [Summary] ペインに空白の行が表示されます。 [Details] ペインに [Details] タブが表示されます。

                  ステップ 4   [Details] タブの [Name] フィールドに、ACL の名前を入力します。
                  ステップ 5   ACL に追加するルールまたはコメントごとに、メニュー バーで [File] > [New] を選択して [Access Rule] または [Remark] を選択します。 [Details] タブで、必要に応じてフィールドを設定します。
                  ステップ 6   (任意)ACL のルールに一致するパケットをログに記録する場合は、[Log] をオンにします。
                  ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  ARP ACL の変更

                  既存の ARP ACL でルールの変更、順序変更、追加、および削除を行うことができます。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [ARP ACL] を選択します。

                    [Summary] ペインに使用可能なデバイスが表示されます。

                    ステップ 2   [Summary] ペインで、変更する ACL が設定されているデバイスをダブルクリックし、ACL をダブルクリックします。

                    デバイス上の ACL およびダブルクリックした ACL のルールが [Summary] ペインに表示されます。

                    ステップ 3   (任意) ルールの詳細を変更する場合は、[Summary] ペインでルールをクリックします。 [Details] タブで、必要に応じてフィールドを設定します。
                    ステップ 4   (任意)ルールまたはコメントを追加する場合は、[Summary] ペインで ACL をクリックし、メニュー バーで [File] > [New] を選択して [Access Rule] または [Remark] を選択します。 [Details] タブで、必要に応じてフィールドを設定します。
                    ステップ 5   (任意) ルールを削除する場合は、ルールをクリックしてからメニュー バーで [Actions] > [Delete] を選択します。
                    ステップ 6   (任意) ACL 内の別の位置にルールまたはコメントを移動する場合は、ルールまたはコメントをクリックしてから、メニュー バーで次のいずれかを適宜選択します。
                    • [Actions] > [Move Up]
                    • [Actions] > [Move Down]

                    選択に従ってルールが上下に移動します。 ルールのシーケンス番号は適宜調整されます。

                    ステップ 7   (任意) メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    ARP ACL の削除

                    ARP ACL をデバイスから削除できます。

                    はじめる前に

                    その ACL が VLAN に適用されているかどうかを確認します。 削除できるのは、現在適用されている ACL です。 ACL を削除しても、その ACL が適用されている VLAN の設定には影響しません。 デバイスは削除された ACL を空であると見なします。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [Access Control] > [ARP ACL] を選択します。

                      [Summary] ペインに使用可能なデバイスが表示されます。

                      ステップ 2   [Summary] ペインで、ACL を削除するデバイスをダブルクリックします。

                      現在デバイス上にある ACL が [Summary] ペインに表示されます。

                      ステップ 3   削除する ACL をクリックします。
                      ステップ 4   メニュー バーの [Actions] > [Delete] を選択します。

                      確認ダイアログボックスが表示されます。

                      ステップ 5   [Yes] を選択します。

                      DCNM によってデバイスから ARP ACL が削除され、[Summary] ペインに ACL が表示されなくなります。

                      変更内容を保存する必要はありません。


                      ARP ACL のフィールドの説明

                      [ARP ACL]:[ACL Details] タブ

                      表 4 [ARP ACL]:[ACL Details] タブ

                      フィールド

                      説明

                      Name

                      ARP ACL の名前。 名前には最大 64 文字の英数字を指定できますが、先頭の文字は英字にする必要があります。 デフォルトでは名前が割り当てられていません。

                      [ARP Access Rule]:[ACE Details] タブ

                      表 5  [ARP Access Rule]:[ACE Details] タブ

                      フィールド

                      説明

                      Sequence Number

                      ルールのシーケンス番号。 1 ~ 4294967295 の整数を指定します。 別のルールの後にルールを追加した場合、デフォルトのシーケンス番号は 1 つ前のルールよりも 10 大きい番号になります。 別のルールの前にルールを追加した場合、番号は 1 つ後のルールよりも 10 小さい番号になります。

                      Action

                      パケットにルールが適用されるとデバイスが判断したとき、そのデバイスで実行されるアクション。 有効な値は次のとおりです。

                      • [Deny]:パケットの処理を停止してパケットをドロップします。
                      • [Permit]:パケットの処理を続行します。 これがデフォルト値です。

                      Log

                      アクセス ルールの適用先トラフィックに関する統計情報をデバイスがログに記録するかどうか。 このチェックボックスは、デフォルトでオフになっています。

                      [ARP Access Rule]:[ACE Details]:[Source and Destination] セクション

                      表 6  [ARP Access Rule]:[ACE Details]:[Source and Destination] セクション

                      フィールド

                      説明

                      ARP Packet Type

                      ルールに一致する ARP パケットのタイプ。

                      • [Response]:このルールは ARP 応答だけに一致します。
                      • [Both]:(デフォルト)このルールは ARP 応答および ARP 要求のパケットに一致します。
                      • [Request]:このルールは ARP 要求だけに一致します。

                      Sender

                      IP Type

                      送信側の IP アドレス。[ARP Packet Type] リストで [Both] が選択されている場合は送信側とターゲットの IP アドレス。 次のオプション ボタンのうち、いずれかを選択できます。

                      • [Any]:このルールは、任意の IPv4 送信元から受信したパケットのうち、選択した ARP パケット タイプに一致します。 これがデフォルト値です。
                      • [Host]:このルールは、特定の IPv4 アドレスから受信したパケットのうち、選択した ARP パケット タイプに一致します。 このオプション ボタンを選択すると [IP Address] フィールドが表示されます。
                      • [Network]:このルールは、IPv4 ネットワークから受信したパケットのうち、選択した ARP パケット タイプに一致します。 このオプション ボタンを選択すると、[IP Address] フィールドおよび [Wildcard Mask] フィールドが表示されます。

                      IP Address

                      ホストまたはネットワークの IPv4 アドレス。 有効なアドレスはドット付き 10 進表記です。 このフィールドは、[Host] オプション ボタンまたは [Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      Wildcard Mask (IP Type)

                      IPv4 ネットワークのワイルドカード マスク。 有効なマスクはドット付き 10 進表記です。 たとえば、[IP Address] フィールドに 192.168.0.0 と指定した場合、このフィールドには 0.0.255.255 などと入力します。 このフィールドは、[Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      MAC Type

                      送信側の MAC アドレス。[ARP Packet Type] リストで [Both] が選択されている場合は送信側とターゲットの MAC アドレス。 次のオプション ボタンのうち、いずれかを選択できます。

                      • [Any]:このルールは、任意の MAC 送信元から受信したパケットのうち、選択した ARP パケット タイプに一致します。 これがデフォルト値です。
                      • [Host]:このルールは、特定の MAC アドレスから受信したパケットのうち、選択した ARP パケット タイプに一致します。 このオプション ボタンを選択すると [MAC Address] フィールドが表示されます。
                      • [Network]:このルールは、MAC ネットワークから受信したパケットのうち、選択した ARP パケット タイプに一致します。 このオプション ボタンを選択すると、[MAC Address] フィールドおよび [Wildcard Mask] フィールドが表示されます。

                      MAC Address

                      ホストまたはネットワークの MAC アドレス。 有効なアドレスはドット付き 16 進表記です。 このフィールドは、[Host] オプション ボタンまたは [Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      Wildcard Mask (MAC Type)

                      MAC ネットワークのワイルドカード マスク。 有効なマスクはドット付き 16 進表記です。 たとえば、[MAC Address] フィールドに 00c0.4f03.0000 と指定した場合、このフィールドには 0000.0000.ffff などと入力します。 このフィールドは、[Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      Target

                      IP Type

                      ターゲットの IP アドレス。 次のオプション ボタンのうち、いずれかを選択できます。

                      • [Any]:このルールは、任意のターゲット IPv4 アドレスの ARP 応答パケットに一致します。 これがデフォルト値です。
                      • [Host]:このルールは、特定のターゲット IPv4 アドレスの ARP 応答パケットに一致します。 このオプション ボタンを選択すると [IP Address] フィールドが表示されます。
                      • [Network]:このルールは IPv4 ネットワークの ARP 応答パケットに一致します。 このオプション ボタンを選択すると、[IP Address] フィールドおよび [Wildcard Mask] フィールドが表示されます。

                      IP Address

                      ターゲット ホストまたはネットワークの IPv4 アドレス。 有効なアドレスはドット付き 10 進表記です。 このフィールドは、[Host] オプション ボタンまたは [Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      Wildcard Mask (IP Type)

                      ターゲット IPv4 ネットワークのワイルドカード マスク。 有効なマスクはドット付き 10 進表記です。 たとえば、[IP Address] フィールドに 192.168.0.0 と指定した場合、このフィールドには 0.0.255.255 などと入力します。 このフィールドは、[Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      MAC Type

                      ターゲットの MAC アドレス。 次のオプション ボタンのうち、いずれかを選択できます。

                      • [Any]:このルールは、任意のターゲット MAC アドレスの ARP 応答パケットに一致します。 これがデフォルト値です。
                      • [Host]:このルールは、特定のターゲット MAC アドレスの ARP 応答パケットに一致します。 このオプション ボタンを選択すると [MAC Address] フィールドが表示されます。
                      • [Network]:このルールは、特定のターゲット MAC ネットワークの ARP 応答パケットに一致します。 このオプション ボタンを選択すると、[MAC Address] フィールドおよび [Wildcard Mask] フィールドが表示されます。

                      MAC Address

                      ターゲット ホストまたはネットワークの MAC アドレス。 有効なアドレスはドット付き 16 進表記です。 このフィールドは、[Host] オプション ボタンまたは [Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      Wildcard Mask (MAC Type)

                      ターゲット MAC ネットワークのワイルドカード マスク。 有効なマスクはドット付き 16 進表記です。 たとえば、[MAC Address] フィールドに 00c0.4f03.0000 と指定した場合、このフィールドには 0000.0000.ffff などと入力します。 このフィールドは、[Network] オプション ボタンを選択した場合に使用できます。 このフィールドは、デフォルトでは使用できません。

                      [ARP ACL Remark]:[Remark Details] タブ

                      表 7  [ARP ACL Remark]:[Remark Details] タブ

                      フィールド

                      説明

                      Sequence Number

                      コメントのシーケンス番号。 番号は、1 ~ 4294967295 の整数で指定する必要があります。 別のルールの後にルールを追加した場合、デフォルトのシーケンス番号は 1 つ前のルールよりも 10 大きい番号になります。 別のルールの前にルールを追加した場合、番号は 1 つ後のルールよりも 10 小さい番号になります。

                      Description

                      英数字で最大 100 文字のコメント テキスト。 デフォルトでは、このフィールドは空白です。

                      DAI に関する追加情報

                      標準

                      標準

                      タイトル

                      RFC-826

                      『An Ethernet Address Resolution Protocol』http://tools.ietf.org/html/rfc826

                      DAI の機能の履歴

                      次の表に、この機能のリリースの履歴を示します。

                      表 8 DAI の機能の履歴

                      機能名

                      リリース

                      機能情報

                      ダイナミック ARP インスペクション

                      5.2(1)

                      Release 5.1 以降、変更はありません。

                      ダイナミック ARP インスペクション

                      5.1(1)

                      Release 5.0 以降、変更はありません。

                      ダイナミック ARP インスペクション

                      5.0(2)

                      Release 4.2 以降、変更はありません。

                      ダイナミック ARP インスペクション

                      4.2(1)

                      Release 4.1 以降、変更はありません。