Cisco IOS IP アドレッシング サービス コンフィギュ レーション ガイド リリース 15.1S
ARP 情報のモニタリングおよびメンテナンス
ARP 情報のモニタリングおよびメンテナンス
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ARP 情報のモニタリングおよびメンテナンス

機能情報の検索

目次

ARP 情報のモニタおよびメンテナンスに関する制約事項

ARP ハイ アベイラビリティ

ARP 攻撃に対する ARP セキュリティ

ARP 情報のモニタおよびメンテナンスについて

ARP 情報のモニタおよびメンテナンスの概要

ARP 情報表示拡張機能

ARP 情報更新拡張機能

ARP デバッグ トレース拡張機能

ARP セキュリティ拡張機能

アドレス解決プロトコル

ARP ブロードキャストと応答プロセス

ARP のキャッシング

ARP テーブル

ARP テーブル エントリ モード

基本 ARP テーブル エントリ モード

アプリケーション特有の ARP テーブル エントリ モード

ARP テーブル エントリ サブブロック

ARP テーブル エントリと Cisco Express Forwarding 隣接の同期

インターフェイスごとの ARP テーブル サイズ モニタリング

ARP ハイ アベイラビリティ

ステートフル スイッチオーバーとの共存

同期キュー

バックアップ ARP テーブル

ARP HA ステート マシン

ARP 情報のモニタリングおよびメンテナンスの方法

ARP テーブル エントリ情報の表示

ARP HA ステータスおよび統計情報の表示

ダイナミックに学習した ARP テーブル エントリの更新

学習した ARP テーブル エントリに対する最大制限の設定

前提条件

制約事項

ARP HA 統計情報のリセット

ARP トランザクションのデバッグ トレースのイネーブル化

インターフェイス上の学習したエントリ数についての ARP トラップのイネーブル化

可能性のある ARP 攻撃のインジケータとしての ARP テーブル サイズ

前提条件

ARP 情報のモニタリングおよびメンテナンスの設定例

学習した ARP テーブル エントリに対する最大制限の設定:例

学習した ARP テーブル エントリに対する最大制限の表示:例

参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ARP 情報のモニタおよびメンテナンスの機能情報

用語集

ARP 情報のモニタリングおよびメンテナンス

この ARP 情報のモニタリングおよびメンテナンス機能のマニュアルでは、ARP 情報のモニタリングおよびメンテナンスに関連する手順について説明します。

Address Resolution Protocol(ARP; アドレス解決プロトコル)は、IP アドレスの MAC アドレスへのマッピングに使用されるインターネット プロトコルです。ARP は、IP ルーテッド ホストの MAC アドレス(ハードウェア アドレスとも呼ばれる)を既知の IP アドレスから検索し、このマッピング情報をテーブルに保持します。ルータはこの IP アドレスおよび MAC アドレスのマッピング情報を使用してネットワークのネクストホップ ルータに IP パケットを送信します。

ARP 情報のモニタリングおよびメンテナンス機能は、Cisco IOS 環境で ARP をサポートするための管理ツールを次のように改善します。

ARP 分析アクティビティのサポート強化のため、ARP 管理ファシリティは ARP 情報の詳細を提供し、ARP 情報をきめ細かに制御します。この情報は、ARP パケット トラフィック、ARP High Availability(HA; ハイ アベイラビリティ)、または Cisco Express Forwarding 隣接の ARP 同期に関する問題の調査に使用できます。

ARP デバッグ トレース ファシリティにより、ARP イベントの個々のタイプごとに ARP パケットのデバッグをトレースできます。ARP デバッグでは、指定したインターフェイスまたはアクセス リストに一致するホスト、あるいはその両方に対して ARP エントリをフィルタリングします。

ARP 攻撃に対するセキュリティ強化を目的として、可能性のある異常をネットワーク管理者に警告するためにトラップベースでイネーブルにする ARP システム メッセージ ロギングをインターフェイスごとに設定できます。

メモリの使い切りによりシステムが不安定になる可能性を防ぐため、システムが学習できる ARP エントリ数を制限できます。この機能は、Cisco 7600 プラットフォームの Cisco IOS Release 12.2(33)SRD3 以降からのみでサポートされます。

ARP 情報のモニタリングおよびメンテナンスのこれらの追加機能に関する設定作業はありません。この機能で導入された ARP 関連の拡張機能は、既存の ARP 管理作業を拡張したものです。

機能情報の検索

ご使用のソフトウェア リリースが、このモジュールで説明している機能の一部をサポートしていない場合があります。最新の機能情報および警告については、ご使用のプラットフォームおよびソフトウェア リリースのリリースノートを参照してください。このモジュールに記載されている機能に関する情報を検索したり、各機能がサポートされているリリースに関するリストを参照したりするには、「ARP 情報のモニタおよびメンテナンスの機能情報」を参照してください。

プラットフォームのサポートと、Cisco IOS および Catalyst OS ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。 Cisco.com のアカウントは必要ありません。

ARP 情報のモニタおよびメンテナンスに関する制約事項

Cisco IOS Release 12.4(11)T では、ARP 情報のモニタリングおよびメンテナンス機能に、次の各項で説明する制約事項が適用されます。

「ARP ハイ アベイラビリティ」

「ARP 攻撃に対する ARP セキュリティ」

ARP ハイ アベイラビリティ

ARP サブシステムは、デュアル Route Processor(RP; ルート プロセッサ)をサポートするシスコ ネットワーキング デバイスに対し、冗長性処理機能を提供する ARP HA をサポートします。ただし、ARP HA は、ダイナミックに学習した ARP エントリのアクティブ RP からスタンバイ RP への同期に制限されます。スタティックに設定された ARP エントリはスタンバイ RP に同期されません。

ARP 攻撃に対する ARP セキュリティ

ARP サブシステムは、特定のインターフェイスでの ARP テーブル エントリ数のモニタリングによる、可能性のある ARP 攻撃の検出方法をサポートします。ただし、ルータレベルのセキュリティ機能では、Man-in-the-Middle(MiM)タイプの ARP スプーフィング攻撃を防止できません。これは盗聴による攻撃の一種で、攻撃者が通信データを傍受したり選択的に変更したりして、通信関連の 1 つ以上のエンティティになりすますものです。このセキュリティ問題を解決するために実装する ARP 機能はありません。ARP 攻撃からルータを保護するには、ルータ レベルではなくスイッチで ARP Access Control List(ACL; アクセス コントロール リスト)フィルタを使用するのが最適な方法です。

ARP 情報のモニタおよびメンテナンスについて

ARP 情報のモニタリングおよびメンテナンスを開始する前に、次の概念を理解する必要があります。

「ARP 情報のモニタおよびメンテナンスの概要」

「アドレス解決プロトコル」

「ARP テーブル」

「ARP テーブル エントリ モード」

「ARP テーブル エントリ サブブロック」

「ARP テーブル エントリと Cisco Express Forwarding 隣接の同期」

「インターフェイスごとの ARP テーブル サイズ モニタリング」

「ARP ハイ アベイラビリティ」

ARP 情報のモニタおよびメンテナンスの概要

ARP 情報のモニタリングおよびメンテナンス機能により、Cisco IOS 環境で ARP をサポートするための管理ツールを改善します。ARP 機能全体の詳細については、「参考資料」 を参照してください。次の各項では、Cisco IOS Release 12.4(11)T で導入された ARP サブシステム拡張機能の概要を説明します。

「ARP 情報表示拡張機能」

「ARP 情報更新拡張機能」

「ARP デバッグ トレース拡張機能」

「ARP セキュリティ拡張機能」

ARP 情報表示拡張機能

ARP 情報表示機能は、選択した ARP エントリ、ARP エントリの詳細、および他の ARP 情報の表示をサポートするように拡張されました。

選択した ARP エントリの表示

表示する ARP テーブルのエントリは、次の基準に基づいて選択できます。

Virtual Private Network Routing and Fowarding(VRF; VPN ルーティングおよび転送)インスタンス

ARP モード タイプ

ホストまたはネットワーク

ルータ インターフェイス

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 show arp コマンドは ARP テーブル全体を表示します。

ARP エントリの詳細の表示

次の ARP 情報の詳細を表示できます。

隣接の通知:この情報は、ARP パケット トラフィック、ARP HA、または Cisco Express Forwarding 隣接の ARP 通知に関する問題の調査に使用できます。ARP サブシステムが ARP エントリと Cisco Express Forwarding 隣接を同期する必要がある場合、関連するエントリが表示されるときにはこの情報も含まれます。

浮動スタティック ARP エントリの関連インターフェイス:ARP サブシステムが、浮動スタティック ARP エントリの関連インターフェイスの検索に成功した場合、関連するエントリが表示されるときにはこの情報も含まれます。

アプリケーションのサブブロック:アプリケーション特有の ARP エントリを表示する場合、サブブロックデータの情報も表示に含められます。

Cisco IOS Release 9.0 で導入された show ip arp コマンドを使用すると、指定した基準(IP アドレス、インターフェイス、またはハードウェア アドレス)に基づいた特定の ARP テーブル エントリのみを表示できます。ただし、このコマンドは ARP エントリ モード、Cisco Express Forwarding 隣接の通知情報、または浮動スタティック ARP エントリの関連インターフェイスは表示しません。

他の ARP 情報の表示

ARP テーブルのエントリの内容以外にも次の ARP 情報を表示できます。

ARP テーブルの要約統計情報:モード タイプごとおよびインターフェイスごとのテーブルのエントリ数。

ARP HA のステータスおよび統計情報:RP の現在のステートおよび最近のアクティビティに基づいてさまざまなタイプのスイッチオーバー統計情報が表示されます。

ARP 情報更新拡張機能

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 clear arp コマンドは、ARP テーブル内のすべての非スタティック エントリを更新します。ARP 情報更新ファシリティにより、次の選択した ARP 情報を管理できるようになります。

すべての非スタティック ARP テーブル エントリを更新

特定のインターフェイスに関連付けられた非スタティック ARP テーブル エントリを更新

特定の VRF の特定の IP アドレスに対する非スタティック ARP テーブル エントリを更新

ARP HA 統計情報をリセット

ARP デバッグ トレース拡張機能

リリース 12.4(11)T よりも前のバージョンの Cisco IOS ソフトウェアの場合、 debug arp コマンドは、ARP パケット トラフィックのみの情報のデバッグをサポートします。現在、ARP デバッグ トレース ファシリティは、ARP デバッグ トレースに対してより細かい選択およびフィルタリング オプションを提供しています。

選択した ARP イベントに対するデバッグ トレース

次のタイプの ARP イベントに対して ARP デバッグ情報をイネーブルにできます。

ARP テーブル エントリ イベント

ARP テーブル イベント

ARP インターフェイス インタラクション

ARP HA イベント

インターフェイスまたはアクセスリストによるデバッグ トレース フィルタリングのサポート

debug arp コマンドは、 debug list コマンドが定義するとおりのデバッグ トレース フィルタリングをサポートします。この拡張機能により、ARP デバッグ情報は、特定のルータ インターフェイスまたは IP アドレスのアクセス リスト、あるいはその両方に基づいて目的のデバッグ情報に焦点を当てられるようになります。

ARP セキュリティ拡張機能

ARP システム メッセージ ロギング(syslog)出力をトラップベースでイネーブルに設定する場合、ルータは各インターフェイスに対するダイナミックに学習された ARP テーブル エントリの数をモニタし、特定のインターフェイスに対する学習した ARP エントリ数が事前設定値を超えるたびに ARP ロギングをトリガーします。

このような syslog トラップは、(Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)などのプロトコルを介して)その後でネットワーク管理者に警告できます。警告には、関連するインターフェイス ID およびそのインターフェイスを経由して学習された ARP エントリの数も含まれます。その後管理者は、設定したしきい値にまで ARP テーブルが拡大した理由を調査して、可能性のあるセキュリティ違反を解決することに必要なアクションを実行できます。または、より頻繁な更新からインターフェイス ポートのシャットダウンまで、ルータは重大度に基づいた自己防衛アクションを自動で実行できます。


) このルータレベルのセキュリティ機能は、MiM ARP スプーフィング攻撃の検出には役立ちますが、このような攻撃を防ぐことはできません。このセキュリティ問題を解決するために実装する ARP 機能はありません。ARP 攻撃からルータを保護するには、ルータ レベルではなくスイッチで ARP-ACL フィルタを使用するのが最適な方法です。


アドレス解決プロトコル

ARP は、RFC 826 に定義されているように、インターネットワークでの通信を可能にするために開発されました。IP アドレスを MAC ハードウェア アドレスにマッピングして、IP パケットがネットワーク全体で送信可能にするためにルータおよびレイヤ 3 スイッチは ARP を必要とします。次の各項では、ARP の背景情報を説明します。

「ARP ブロードキャストと応答プロセス」

「ARP のキャッシング」

ARP ブロードキャストと応答プロセス

デバイスがデータグラムを他のデバイスに送信する前に、デバイスは自分の ARP 情報を見て宛先デバイスの MAC アドレスおよび対応する IP アドレスがあるかを確認します。エントリがない場合、送信元デバイスはブロードキャスト メッセージをネットワーク上のすべてのデバイスに送信します。各デバイスは、IP アドレスを自身のものと比較します。一致した IP アドレスを持つデバイスのみが、送信側デバイスにデバイスの MAC アドレスを含むパケットで応答します。送信元デバイスは、以後の参照用に宛先デバイスの MAC アドレスを自身の ARP テーブルに追加し、パケットをカプセル化するデータリンク ヘッダーとトレーラーを作成して、データ転送に進みます。

宛先デバイスが、別のルータをはさんだリモートのネットワーク上にある場合、送信デバイスがデフォルト ゲートウェイの MAC アドレスの ARP 要求を送信する点を除き、プロセスは同じです。アドレスが解決され、デフォルト ゲートウェイがパケットを受信すると、デフォルト ゲートウェイは接続されているネットワークへ宛先 IP アドレスをブロードキャストします。宛先デバイス ネットワーク上のルータは、ARP を使用して宛先デバイスの MAC アドレスを取得して、パケットを配信します。

ARP のキャッシング

IP アドレスの MAC アドレスへのマッピングは、ネットワーク上の各ホップ(ルータ)でインターネットワークで送信されるデータグラムすべてに対して実行されるため、ネットワークのパフォーマンスが低下する場合があります。ブロードキャストを最小限にしてネットワーク リソースの無駄な使用を制限するため、ARP キャッシングが実装されました。

ARP のキャッシングは、アドレスを学習しながら、ネットワーク アドレスおよび関連付けられたデータリンク アドレスをメモリに一定期間保存する方法です。これにより、データグラムが送信されるたびに同じアドレスをブロードキャストすることによる貴重なネットワーク リソースの使用を最小限に抑えられます。情報が古くなる可能性があるため、キャッシュ エントリはメンテナンスする必要があります。このため、キャッシュ エントリが定期的に期限切れとなるように設定することが大切です。ネットワーク上の各デバイスは、アドレスがブロードキャストされると自身のテーブルを更新します。

ARP テーブル

ARP テーブルは、Cisco ルータが学習および設定したルートマッピング情報をキャッシュするデータベースです。ARP テーブルの各エントリは、ローカル IP アドレス(ルータの所有するデバイスを示す)またはリモート ホスト IP アドレス(外部デバイスを示す)のいずれかに関連付けられます。エントリの内容は次の ARP-intrinsic 情報を定義します。

ポートの 32 ビット IP アドレスと 48 ビット MAC アドレスの関連付け

Cisco IOS 環境の ARP をサポートするために必要な他の情報(リンク タイプ、VRF テーブル ID、カプセル化方式など)

ルータが Cisco Express Forwarding などの IP スイッチング テクノロジーを使用してパケットを転送する場合、ARP テーブル エントリは、MAC 書き換え情報を提供します。

ARP テーブル エントリ モード

ARP テーブルの各エントリにはモード タイプが指定されています。ARP サブシステムは、基本 ARP テーブル エントリ モードをサポートし、また、新しいアプリケーション特有のモードも導入しています。

基本 ARP テーブル エントリ モード

ARP サブシステムでは、次のような基本 ARP テーブル エントリ モードを使用して、ARP-internal 処理用に ARP エントリを整理します。

エイリアス:このモードは、管理者がローカル IP アドレス、サブネット マスク、ゲートウェイ、および対応する MAC アドレスを明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュ テーブルに無期限で保存されます。同じネットワークの他のデバイスと定期的に通信する必要があるローカル アドレスに最適です。

ダイナミック:このモードは、ARP 要求によって開始され、外部ホストに関連付けられた、ダイナミックに学習されたエントリに割り当てられます。ダイナミック ARP エントリは、Cisco IOS ソフトウェアにより自動的に追加されて一定期間メンテナンスされ、その後削除されます。時間制限が追加された場合を除き、管理作業は不要です。デフォルトの時間制限は 4 時間です。キャッシュに追加またはキャッシュから削除されるルートがネットワークに多数ある場合は、時間制限を調整する必要があります。ダイナミック ARP エントリが「完全」と見なされるのは、ARP 応答により提供される外部ホストの MAC アドレスがエントリに含まれるときです。

不完全:このモードは、ダイナミック ARP エントリの過渡的なモードです。このモードは、エントリが ARP 要求で開始され、外部ホストに関連付けられたが、MAC アドレスが含まれていないことを示します。

インターフェイス:このモードは、インターフェイスから取得したローカル IP アドレスのエントリに割り当てられます。

スタティック:このモードは、管理者が外部 IP アドレス、サブネット マスク、ゲートウェイ、および対応する MAC アドレスを明示的に設定したエントリに割り当てられます。スタティック ARP エントリはキャッシュ テーブルに無期限で保存されます。同じネットワークの他のデバイスと定期的に通信する必要がある外部デバイスに最適です。スタティック ARP エントリは、設定時にインターフェイスと一切関連付けられなかった場合は「浮動」と呼ばれます。

ダイナミックに学習されたルートの有効性を維持するために、ARP サブシステムはダイナミック ARP エントリを定期的(設定どおりまたはデフォルトの 4 時間ごと)に更新します。これにより、変更、エージング アウト、または削除されたダイナミック ルートがあれば ARP テーブルに反映されます。

スタティックに設定されたルートの有効性を維持するために、ARP サブシステムはスタティック ARP エントリおよびエイリアス ARP エントリを 1 分間ごとに 1 回更新します。これにより、変更または削除されたスタティックに設定されたルートがあれば ARP テーブルに反映されます。

アプリケーション特有の ARP テーブル エントリ モード

ARP サブシステムは、アプリケーション特有の ARP テーブル エントリ モードを使用して、ソリューションのために ARP テーブル エントリを追加する必要のあるアプリケーションをサポートします。ARP アプリケーションは、ARP サブシステムに登録してアプリケーション タイプ ハンドルを取得できます。このハンドルを使用すれば、アプリケーションは次の適切なアプリケーション特有のエントリ モードで ARP エントリを挿入できます。

シンプル アプリケーション:このモードは、外部デバイスを示すアプリケーションで作成されたエントリに割り当てられます。

アプリケーション エイリアス:このモードは、ローカル アドレスに関連付けられたアプリケーションで作成されたエントリに割り当てられます。

アプリケーション タイマー:このモードは、外部デバイスに関連付けられたアプリケーションで作成されたエントリに割り当てられます。ARP サブシステムは、このモードのエントリを作成するアプリケーションにタイマーベースのサービスを提供します。

アプリケーション特有のエントリは期限切れしませんが、代わりにアプリケーションによってメンテナンスされます。

ARP テーブル エントリ サブブロック

ARP エントリ サブブロック構造では、非 ARP-intrinsic データを選択した ARP エントリに付加できます。ARP テーブルに挿入された ARP エントリが特別な ARP-internal 処理を必要とする場合、特別な処理を実行するプロセスが必要とする情報は、ARP エントリに付加したサブブロックに定義されます。

ARP サブシステムは、必要に応じてサブブロックを次のタイプの ARP エントリに付加します。

エイリアス、ダイナミック、およびスタティック ARP エントリ:定期更新操作を連係して行う ARP タイマー プロセスが必要な情報を指定するために、これらのタイプのエントリすべてにサブブロックが付加されます。これにより、エントリで定義された IP アドレスと MAC アドレス間の関連付けの有効性が確実になります。

インターフェイス ARP エントリ:インターフェイスに関する情報を格納するために、すべてのインターフェイス ARP エントリにサブブロックが付加されます。

シンプル アプリケーション、アプリケーション エイリアス、およびアプリケーション タイマー エントリ:ARP エントリを作成するアプリケーションには、作業に必要なアプリケーション特有のデータを含められます。データとは、タイマー サービスのためのタイマー構造や関連するサブブロックをグループ化するためのデータ構造ポインタなどです。

ARP テーブル エントリと Cisco Express Forwarding 隣接の同期

Cisco Express Forwarding がルータでイネーブルの場合、ルータは隣接ノードの転送情報(発信インターフェイスおよび MAC ヘッダー書き換え)を保持します。リンク レイヤ(レイヤ 2)を介して単一ホップで別のノードに到達できるノードは、別のノードと隣接関係と呼ばれます。Cisco Express Forwarding では、転送情報を隣接データベースに格納するため、レイヤ 2 のアドレス情報を、ARP パケットに付加されるリンクレイヤ ヘッダーに挿入できます。

ARP テーブル情報は、Cisco Express Forwarding 隣接のソースの 1 つです。ARP サブシステムが ARP テーブル エントリを有効なハードウェア アドレスを保持する発信インターフェイスに付加するたびに、サブシステムは、内部「ARP 隣接」通知を発行します。この通知により、ARP バックグラウンド プロセスは、隣接するデータベースを介して ARP エントリと Cisco Express Forwarding 隣接を同期します。

発信インターフェイスへの付加は、次のモードのエントリのみで発生します。

エイリアス

ダイナミック

浮動スタティック

シンプル アプリケーション

アプリケーション タイマー

ARP サブシステムは、エントリ内の IP アドレスを使用して接続されたインターフェイスまたはプロキシ ARP インターフェイスを見つけることにより、各浮動スタティック ARP エントリを処理して付加されたインターフェイスを検索します。このインターフェイス情報を追加することで ARP エントリは完全になり、ARP エントリは Cisco Express Forwarding 隣接と同期できるようになります。

インターフェイスごとの ARP テーブル サイズ モニタリング

ARP プロトコルは、ルータ システムの攻撃手段として使用される場合があります。ARP 攻撃方法の 1 つであるスプーフィングは、ホストの ID を偽造するためにメディアに仕掛けられます。Cisco IOS ルータには、ルータ自体のインターフェイス アドレスを保護するための自己防衛スキームが実装されています。セキュア ARP や許可 ARP 学習などの他の機能も ARP 学習の範囲を制限するために Cisco IOS の一部のリリースに実装されています。

もう 1 つの ARP 攻撃方法に Denial-of-Service(DoS; サービス拒絶)があります。たとえば、ARP パケットを処理する CPU が処理しきれなくなるようにしたり、ARP パケットから作成される ARP テーブル エントリによってシステム メモリを枯渇させようとする目的でルータに ARP パケットを送信してネットワークのサービス停止を起こします。高いレートの着信 ARP パケットは、ARP 入力キューをすぐに満杯にもし、また最大デフォルト容量またはルータに設定された容量を超過して、サービス停止状態を起こします。

ルータへの ARP 攻撃を通じた可能性のあるセキュリティ違反の試みを検出する方法の 1 つに、ARP テーブルのサイズをモニタして、設定したしきい値にエントリ数が達したときに警告をトリガーする方法があります。しかし、ARP テーブルの全体サイズを単に制限しても、有効な ARP パケットと不正なパケットを区別するのは困難です。着信パケットをより正確に確認するために、ARP サブシステムは、インターフェイス レベルで ARP テーブル サイズをモニタします。ルータが使用するノード数およびインターフェイス上のホスト数に基づいて、予期されるインターフェイス固有の最大エントリ数を決定できます。インターフェイスに対する ARP テーブル エントリ数が事前に決定されたしきい値を超える場合、この状況はルータへの ARP 攻撃を通じたセキュリティ違反の試みを示す可能性があります。

ARP ハイ アベイラビリティ

ARP HA は、Cisco IOS ソフトウェアの Cisco Nonstop Forwarding(NSF; ノンストップ フォワーディング)の機能です。デュアル RP が含まれ、Stateful Switchover(SSO; ステートフル スイッチオーバー)が設定されたシスコ ネットワーキング デバイスでは、ARP HA が ARP エントリ処理用にネットワークのアベイラビリティを向上させる方法を提供します。

この項では、次の ARP HA を実装するために、ARP サブシステムが使用する内部プロセスおよびデータ構造の概要を説明します。

「ステートフル スイッチオーバーとの共存」

「同期キュー」

「バックアップ ARP テーブル」

「ARP HA ステート マシン」

ステートフル スイッチオーバーとの共存

デュアル RP をサポートするシスコ ネットワーキング デバイスでは、ARP は Cisco IOS ソフトウェアで Stateful Switchover(SSO; ステートフル スイッチオーバー)機能を使用します。SSO は、多くの Cisco IOS アプリケーションおよび機能に冗長性と同期を提供します。SSO は、RP の 1 つをアクティブ プロセッサとして確立する一方でもう 1 つの RP をスタンバイ プロセッサとして指定してから重要なステート情報を両者間で同期させることによって、RP の冗長性を活用します。

2 つのプロセッサ間の最初の同期に続いて、SSO は RP のステート情報をプロセッサ間でダイナミックに保持します。アクティブ RP に障害が発生したとき、アクティブ RP がネットワーキング デバイスから削除されたとき、またはメンテナンスのために手動で停止されたときに、アクティブ プロセッサからスタンバイ プロセッサへのスイッチオーバーが発生します。

同期キュー

アクティブ RP は、ARP テーブル エントリの次の 2 つのリストが含まれている同期キューを保持します。

メイン ARP テーブルからの ARP エントリで、スタンバイ RP にこれから同期する ARP エントリ

メイン ARP テーブルからの ARP エントリで、すでにスタンバイ RP に同期された ARP エントリ


) 同期キューは、メイン ARP テーブル エントリへの 2 つのリンク リストから構成されます。


スイッチオーバーが発生すると、ARP HA プロセスはまだ同期されていないエントリのリストを使用して、新しいスタンバイ RP(元アクティブ RP)の中の冗長性 ARP テーブルのいずれのエントリをメイン ARP テーブルと同期させるかを決定します。

スタンバイ RP がリロードした場合、ARP HA プロセスは、スタンバイ RP のリブート時に、同期キュー全体(両方のリストのエントリ)をスタンバイ RP とバルク同期します。

バックアップ ARP テーブル

スタンバイ RP はバックアップ ARP テーブルを保持します。ここには、スタンバイ RP がアクティブ RP から受信するバックアップ ARP エントリを格納します。スイッチオーバー中、ARP HA プロセスはインターフェイス アップ イベントをモニタします。起動したインターフェイスに対して、ARP HA プロセスは関連する ARP エントリに対する新しいアクティブ RP(元スタンバイ RP)をバックアップ テーブルから検索します。その後、ARP HA プロセスは、関連するバックアップ ARP エントリをすべてメイン ARP テーブルに追加します。

ARP HA ステート マシン

ARP HA プロセスはイベント駆動の 2 つの半分から構成されるステート マシンによって制御されます。1 つの半分はアクティブ RP 用、もう 1 つの半分はスタンバイ RP 用です。スイッチオーバーが発生すると、スタンバイ RP はステート マシンのアクティブの半分に移行します。ステート マシンは、アクティブ/スタンバイの同期およびスイッチオーバーのステータスを追跡します。

ステート マシンのアクティブの半分は、次のステートのいずれかになれます。

ARP_HA_ST_A_BULK:バルク同期操作が送信したエントリの処理が終了したことをスタンバイ RP が合図することをアクティブ RP が待っている過度的なステート。

ARP_HA_ST_A_SSO:新しいアクティブ RP が合図が正常に動作するようになることを待っている過度的なステート。

ARP_HA_ST_A_UP:アクティブ RP がエントリをスタンバイ RP に送信しないアクティブ ステート。スタンバイ RP がまだ起動しない場合、または前の同期に失敗した場合にアクティブ RP はこのステートに移行します。

ARP_HA_ST_A_UP_SYNC:アクティブ RP が同期キューからエントリをスタンバイ RP に送信するアクティブ ステート。同期するエントリ数がしきい値に達した場合、または同期タイマーが期限切れになった場合のいずれかが先に発生すると、アクティブ RP はこのステートに移行します。

ステート マシンのスタンバイの半分には、次のステートが含まれます。

ARP_HA_ST_S_BULK:スタンバイ RP がバルク同期操作が送信したエントリを処理する過度的なステート。アクティブ RP がエントリ送信を終了したことを合図した後で、スタンバイ RP は、ARP_HA_ST_S_UP ステートに移行し、その後スタンバイ RP はアクティブ RP にバルク同期操作が送信したエントリの処理が終了したことの合図を返します。

ARP_HA_ST_S_UP:スタンバイ RP がアクティブ RP からのインクリメンタル ARP 同期エントリを処理するアクティブ ステート。スイッチオーバーが発生すると、スタンバイ RP は ARP_HA_ST_A_SSO ステートに移行します。

RP のステートおよび最近のアクティビティは、ARP HA アクティビティのモニタリング用に表示できます。

ARP 情報のモニタリングおよびメンテナンスの方法

ここでは、次の手順について説明します。

「ARP テーブル エントリ情報の表示」(任意)

「ARP HA ステータスおよび統計情報の表示」(任意)

「ダイナミックに学習した ARP テーブル エントリの更新」(任意)

「学習した ARP テーブル エントリに対する最大制限の設定」(任意)

「ARP HA 統計情報のリセット」(任意)

「ARP トランザクションのデバッグ トレースのイネーブル化」(任意)

「インターフェイス上の学習したエントリ数についての ARP トラップのイネーブル化」(任意)

ARP テーブル エントリ情報の表示

ARP テーブル エントリ情報を表示するには、 show arp summary show arp 、および show arp application コマンドを使用します。

ステップ 2 は、ARP テーブルの内容の概要表示をすることに有用です。

ステップ 3 およびステップ 4 は、すべての ARP テーブル エントリおよびあればエントリ サブブロックの内容を表示することに有用です。

ステップ 5 は、ARP がサポートしていて登録済みクライアント上で実行中の外部アプリケーションについての ARP テーブル情報を表示することに有用です。

手順の概要

1. enable

2. show arp summary

3. show interfaces [ summary ]

4. show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]]
[ detail ]

5. show arp application [ application-id ] [ detail ]

手順の詳細


ステップ 1 enable

このコマンドは特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 show arp summary

このコマンドは ARP テーブル エントリの合計数、ARP エントリ モードごとの ARP テーブル エントリ数、およびルータ上のインターフェイスごとの ARP テーブル エントリ数を表示します。

Router# show arp summary
 
Total number of entries in the ARP table: 10.
Total number of Dynamic ARP entries: 4.
Total number of Incomplete ARP entries: 0.
Total number of Interface ARP entries: 4.
Total number of Static ARP entries: 2.
Total number of Alias ARP entries: 0.
Total number of Simple Application ARP entries: 0.
Total number of Application Alias ARP entries: 0.
Total number of Application Timer ARP entries: 0.
 
Interface Entry Count
Ethernet3/2 1
Ethernet3/1 4
Ethernet3/0 3
 

ステップ 3 show interfaces [ summary ]

このコマンドは、ルータまたはアクセス サーバに設定されているすべてのインターフェイスをリスト表示します。有効なインターフェイスのタイプおよび数は、ルータおよびルータ上のインターフェイスによって異なります。特定のルータに設定されているすべてのインターフェイスをリスト表示するには、 show interfaces コマンドに summary キーワード加えて使用します。この情報は、特定のルータ インターフェイスの ARP テーブル エントリを表示する場合に有用です。

Router# show interfaces summary
 
*: interface is up
IHQ: pkts in input hold queue IQD: pkts dropped from input queue
OHQ: pkts in output hold queue OQD: pkts dropped from output queue
RXBS: rx rate (bits/sec) RXPS: rx rate (pkts/sec)
TXBS: tx rate (bits/sec) TXPS: tx rate (pkts/sec)
TRTL: throttle count
 
Interface IHQ IQD OHQ OQD RXBS RXPS TXBS TXPS TRTL
-------------------------------------------------------------------------
FastEthernet1/0 0 0 0 0 0 0 0 0 0
ATM2/0 0 0 0 0 0 0 0 0 0
* Ethernet3/0 0 0 0 0 0 0 0 0 0
* Ethernet3/1 0 0 0 0 0 0 0 0 0
* Ethernet3/2 0 0 0 0 0 0 0 0 0
Ethernet3/3 0 0 0 0 0 0 0 0 0
Serial4/0 0 0 0 0 0 0 0 0 0
Serial4/1 0 0 0 0 0 0 0 0 0
Serial4/2 0 0 0 0 0 0 0 0 0
Serial4/3 0 0 0 0 0 0 0 0 0
Fddi5/0 0 0 0 0 0 0 0 0 0
* Loopback0 0 0 0 0 0 0 0 0 0
 

ステップ 4 show arp [[ vrf vrf-name ] [[ arp-mode ] [[ ip-address [ mask ]] [ interface-type interface-number ]]]] [ detail ]

このコマンドは、すべての ARP テーブル エントリまたは任意の選択基準を満たす ARP テーブル エントリのみを表示します。


ヒント 有効なインターフェイスのタイプおよび数は、ルータおよびルータ上のインターフェイスによって異なります。show arp コマンド内の interface-type 引数および interface-number 引数を置換するには、適切なインターフェイス仕様を使用して、show interfaces コマンド出力の Interface カラムに表示されるものとまったく同じになるように入力します。


Router# show arp vrf vrf1 dynamic 209.165.200.225 e3/1 detail
 
ARP entry for 209.165.200.225, link type IP.
Dynamic, via Ethernet3/1, last updated 147 minutes ago.
Encap type is ARPA, hardware address is 0050.d173.e881, 6 bytes long.
ARP subblocks:
* Dynamic ARP Subblock
Entry will be refreshed in 109 minutes and 52 seconds.
It has 2 chances to be refreshed before it is purged.
Entry is complete.
* IP ARP Adjacency
Adjacency (for 209.165.200.225 on Ethernet3/1) was installed.
Connection ID: 0
 

ステップ 5 show arp application [ application-id ] [ detail ]

このコマンドは、特定の ARP アプリケーションの ARP テーブル情報、または ARP がサポートしていて登録済みクライアント上で実行中のすべてのアプリケーションの ARP テーブル情報を表示します。

Router# show arp application detail
 
Number of clients registered: 8
 
Application ID Num of Subblocks
ARP Backup 200 0
 
Application ID Num of Subblocks
IP ARP Adj Conn ID 201 0
 
Application ID Num of Subblocks
IP Subscriber 202 0
 
Application ID Num of Subblocks
LEC 203 0
 
Application ID Num of Subblocks
DHCPD 204 0
 
Application ID Num of Subblocks
DSS 205 0
 
Application ID Num of Subblocks
IP Mobility 206 0
 
Application ID Num of Subblocks
IP ARP Adjacency 207 5
ARP entry for 209.165.200.226, link type IP.
Static.
Subblock data:
Adjacency (for 209.165.200.226 on Ethernet3/1) was withdrawn.
Connection ID: 0
ARP entry for 209.165.200.227, link type IP.
Dynamic, via Ethernet3/0.
Subblock data:
Adjacency (for 209.165.200.227 on Ethernet3/0) was installed.
Connection ID: 0
ARP entry for 209.165.200.228, link type IP.
Dynamic, via Ethernet3/0.
Subblock data:
Adjacency (for 209.165.200.228 on Ethernet3/0) was installed.
Connection ID: 0
ARP entry for 209.165.200.225, link type IP.
Dynamic, via Ethernet3/1, in VRF vrf1.
Subblock data:
Adjacency (for 209.165.200.225 on Ethernet3/1) was installed.
Connection ID: 0
ARP entry for 209.165.200.229, link type IP.
Dynamic, via Ethernet3/1, in VRF vrf1.
Subblock data:
Adjacency (for 209.165.200.229 on Ethernet3/1) was installed.
Connection ID: 0

ARP HA ステータスおよび統計情報の表示

デュアル RP が含まれ、SSO が設定されたシスコ ネットワーキング デバイスの ARP HA ステータスおよび統計情報を表示するには、 show arp ha コマンドを使用します。次のとおり現在の RP ステートに基づいて、異なる HA の詳細が表示されます。

最後にルータがリブートされたときからアクティブ RP だったアクティブ RP

スタンバイ RP だったアクティブ RP で、SSO 発生後にアクティブ RP になったアクティブ RP

スタンバイ RP

手順の概要

1. enable

2. show arp ha

手順の詳細


ステップ 1 enable

このコマンドは特権 EXEC モードをイネーブルにします。

Router> enable
 

ステップ 2 show arp ha

このコマンドは、Cisco 7600 シリーズ ルータなどの HA 対応プラットフォームで SSO を設定済みのプラットフォーム用に収集した ARP HA ステータスおよび統計情報を表示します。このコマンドの出力は、RP の現在および最新のステートにより異なります。

アクティブ RP

次に、最後にルータがリブートされたときからアクティブ RP だったアクティブ RP に対して show arp ha コマンドを実行した場合の出力例を示します。ARP HA 統計情報は、アクティブ ステートについてのみ表示されます。

Router# show arp ha
 
ARP HA in active state (ARP_HA_ST_A_UP_SYNC).
4 ARP entries in the synchronization queue.
No ARP entry waiting to be synchronized.
4022 synchronization packets sent.
No error in allocating synchronization packets.
No error in sending synchronization packets.
No error in encoding interface names.

以前はスタンバイ RP だったアクティブ RP

次に、最新の SSO 発生後にスタンバイ RP からアクティブ RP になったアクティブ RP に対して show arp ha コマンドを実行した場合の出力例を示します。ARP HA 統計情報は、アクティブ ステートおよび以前のスタンバイ ステートについても表示されます。

Router# show arp ha
 
ARP HA in active state (ARP_HA_ST_A_UP_SYNC).
4 ARP entries in the synchronization queue.
No ARP entry waiting to be synchronized.
4022 synchronization packets sent.
No error in allocating synchronization packets.
No error in sending synchronization packets.
No error in encoding interface names.
 
Statistics collected when ARP HA in standby state:
No ARP entry in the backup table.
5 synchronization packets processed.
No synchronization packet dropped in invalid state.
No error in decoding interface names.
4 ARP entries restored before timer.
No ARP entry restored on timer.
No ARP entry purged since interface is down.
No ARP entry purged on timer.

スタンバイ RP

次に、スタンバイ RP に対して show arp ha コマンドを実行した場合の出力例を示します。ARP HA 統計情報は、スタンバイ ステートについてのみ表示されます。

Router# show arp ha
 
ARP HA in standby state (ARP_HA_ST_S_UP).
4 ARP entries in the backup table.
4005 synchronization packets processed.
No synchronization packet dropped in invalid state.
No error in decoding interface names.
 


 

ダイナミックに学習した ARP テーブル エントリの更新

ダイナミックに学習した ARP テーブル エントリを更新すると、IP アドレスおよび MAC アドレスのマッピング情報の有効性を確認したり、任意の古いエントリ(期限切れになったが、デフォルトまたはタイマーベースのプロセスによってまだエージング アウトされていないダイナミック ARP エントリ)を即座にエージング アウトしたりできます。

更新操作の範囲は、次の選択基準のいずれかに一致するエントリに制限できます。

特定のインターフェイスの ARP キャッシュ エントリ

グローバル VRF および特定のホストの ARP キャッシュ エントリ

名前付き VRF および特定のホストの ARP キャッシュ エントリ

手順の概要

1. enable

2. show interfaces [ summary ]

3. clear arp-cache [ interface type number | [ vrf vrf-name ] ip-address ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show interfaces [ summary ]

 

Router# show interfaces summary

(任意)ルータまたはアクセス サーバに設定されているすべてのインターフェイスをリスト表示します。

要約テーブルにあるインターフェイスをリスト表示するには、 summary キーワードを使用します。この形式のコマンド出力は、特定のルータ インターフェイスに対する ARP テーブル エントリを更新する場合に有用です。

ステップ 3

clear arp-cache [ interface type number | [ vrf vrf-name ] ip-address ]

 

Router# clear arp-cache 192.0.2.240

すべてのダイナミックに作成された ARP テーブル エントリ、または選択基準を満たすダイナミックに作成された ARP テーブル エントリのみを更新します。

学習した ARP テーブル エントリに対する最大制限の設定

システムの学習できる ARP エントリ数を制限することは、メモリの使い切りによりシステムが不安定になる可能性を防ぐのに役立ちます。

システムのデフォルトの動作では、システムの学習した ARP エントリ数にこのような最大制限を一切適用しません。通常の状況では、各インターフェイスから学習した ARP エントリの数は、LAN 上の直接接続するホスト数に関連します。ARP エントリ数が非常に多く増加すると、次のような大きな影響をデバイスに与える可能性があります。

ARP パケットの処理、および ARP エントリをエージングする CPU 時間の増加

メモリのフラグメンテーションおよび使い切りにつながる可能性のある、システム メモリおよびハードウェア テーブル メモリ(ハードウェア フォワーディング プラットフォームの場合)におけるメモリ消費の大幅な増加

システムの作成できる ARP エントリ数が制限されていない場合、メモリの使い切りによりシステムが不安定になる可能性があります。学習した ARP テーブル エントリ数に最大制限を設定することは、このシナリオの発生を防ぐのに役立ちます。

制限がいったん設定されると、学習する ARP エントリのしきい値制限または設定された最大制限の 80%に達するとすぐに、システムはプライオリティを Level 3(LOG_NOTICE)に設定した syslog メッセージを生成します。設定した最大制限に達するとすぐ、システムは次の処理を実行します。

新しく学習した ARP エントリの廃棄を開始。

プライオリティを Level 3(LOG_NOTICE)に設定した syslog メッセージを生成。管理者は、適切なアクションを実行する必要があります。

ARP テーブルの学習した ARP エントリ数が最大制限から許可されたしきい値制限または最大制限の 95% まで減少した場合、syslog メッセージが生成されて ARP テーブルが通常の動作可能ステートに戻ったことがシステム管理者に通知されます。

前提条件

ARP テーブルに学習および入力できる ARP エントリの最大数を決定するには、Command-Line Interface(CLI; コマンドライン インターフェイス)に最大数を設定する前にルータのサポート マニュアルを参照してください。

制約事項

学習した ARP エントリの最大制限数は、プラットフォームに依存します。


) 学習した ARP テーブル エントリの最大制限数を設定する制限機能は、Cisco 7600 プラットフォームのみでサポートされます。このサポートは、Cisco IOS Release 12.2(33)SRD3 から開始されました。


手順の概要

1. enable

2. configure terminal

3. ip arp entry learn max-limit

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip arp entry learn max-limit

 

Router# ip arp entry learn 256

プラットフォームの学習した ARP エントリの最大数を設定します。

ARP HA 統計情報のリセット

この作業を実行すると、ARP HA 統計情報がリセットできます。ARP HA サブシステムのデバッグ時に有用です。

手順の概要

1. enable

2. clear arp-cache counters ha

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear arp-cache counters ha

 

Router# clear arp-cache counters ha

ARP HA 統計情報をリセットします。

ARP トランザクションのデバッグ トレースのイネーブル化

ARP サブシステムをモニタするために ARP トランザクションのデバッグ トレースをイネーブルにします。

デバッグ トレースは、すべての IP ARP パケット トラフィックに対してイネーブルにすることも、次のように ARP イベントの個々のタイプごとにイネーブルにすることもできます。

ARP エントリ イベント

任意のダイナミック ARP エントリ イベント

任意のインターフェイス ARP エントリ イベント

任意のスタティック ARP エントリ イベント

任意の ARP エントリ サブブロック イベント

ARP テーブル イベント

ARP テーブル操作(エントリの挿入、変更、または削除)

ARP テーブル タイマー イベント

ARP テーブル データベース イベント(データベースの読み取り/書き込みイベント)

ARP HA イベント

ARP インターフェイス イベント

ARP/Cisco Express Forwarding 隣接インターフェイス トランザクション

ARP アプリケーション インターフェイス トランザクション

デバッグ フィルタリングのサポート

表示される ARP デバッグ情報の量は、 debug list コマンドで指定するインターフェイスおよびアクセス リストに基づいてフィルタリングされます。

手順の概要

1. enable

2. debug list [ list ] [ interface ]

3. debug arp [ arp-entry-event | arp-table-event | ha | interface-interaction ]

4. show debugging

5. no debug arp [ arp-entry-event | arp-table-event | ha | interface-interaction ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

debug list [ list ] [ interface ]

 

Router# debug list 1102 serial

(任意)次の基準のいずれかまたは両方を使用して、ARP デバッグ情報(またはこのコマンドがサポートする他の任意のプロトコルのデバッグ情報)のフィルタリングをイネーブルにします。

ルータ上のすべてのインターフェイスではなく、特定のインターフェイスのデバッグ情報を表示するには、 interface 引数を使用してインターフェイスを特定します。インターフェイスの設定が必要な場合は、 interface コマンドを使用します。

すべてのパケットではなく、特定のタイプのパケットの情報を表示する場合は、拡張 ACL を特定する list 引数を使用してパケットの詳細を特定します。ACL は、送信元 MAC イーサネット アドレス、宛先 MAC イーサネット アドレス、およびパケット内の任意のバイトを指定します。拡張アクセス リストを設定する必要がある場合は、 access-list (extended-ibm)コマンドを使用します。

ステップ 3

debug arp [ arp-entry-event | arp-table-event |
ha | interface-interaction ]

 

Router# debug arp static

ARP パケットのデバッグ トレースをイネーブルにします。

このコマンドをキーワードとともに使用した場合、次の特定のタイプの ARP イベントの 1 つに対するデバッグ トレースをイネーブルにします。

ARP エントリ イベント

ARP テーブル イベント

ARP HA イベント(HA 対応プラットフォーム上)

ARP インターフェイス上のインタラクション

ステップ 4

show debugging

 

Router# show debugging

このルータでイネーブルのデバッグ オプションをリスト表示します。

ステップ 5

no debug arp [ arp-entry-event |
arp-table-event | ha | interface-interaction ]

 

Router# no debug arp static

(任意)ARP パケットのデバッグ トレースをディセーブルにします。

このコマンドをキーワードとともに使用した場合、次の特定のタイプの ARP イベントの 1 つに対するデバッグ トレースをディセーブルにします。

ARP エントリ イベント

ARP テーブル イベント

ARP HA イベント(HA 対応プラットフォーム上)

ARP インターフェイス上のインタラクション

インターフェイス上の学習したエントリ数についての ARP トラップのイネーブル化

インターフェイスに対する ARP エントリ数が設定したしきい値に達したときにネットワーク管理者に警告する場合は、ダイナミックに学習した ARP エントリ数に対する ARP トラップまたはしきい値をイネーブルにします。警告はインターフェイス固有の ARP syslog 出力の形になります。

可能性のある ARP 攻撃のインジケータとしての ARP テーブル サイズ

(ルータが使用するノード数およびインターフェイス上のホスト数に基づいて)インターフェイスに対する ARP テーブル エントリ数が高レベルに達した場合、そのインターフェイスを経由するルータへの ARP DoS 攻撃が原因の場合があります。この状態については、「インターフェイスごとの ARP テーブル サイズ モニタリング」 を参照してください。

前提条件

インターフェイスに対して予想される最大エントリ数を決定します。このような予想は通常、次の情報に基づきます。

ルータが使用するノード数

インターフェイス上のホスト数

ネットワーク構成によっては、プロキシ ARP がイネーブルかどうかなど他の要因が特定のインターフェイスに対する ARP テーブル エントリ数に影響を与える場合があります。

手順の概要

1. enable

2. configure terminal

3. interface type number

4. arp log threshold entries entry-count

5. end

6. show running-config interface type number

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type number

 

Router(config)# interface ethernet 0/0

インターフェイス タイプを設定してインターフェイス コンフィギュレーション モードを開始し、特定のインターフェイスを設定できるようにします。

ステップ 4

arp log threshold entries entry-count

 

Router(config-if)# arp log threshold entries 1000

ARP トラップをイネーブルにして、ルータ インターフェイスのダイナミックに学習したエントリが指定した数に達した場合に ARP ログをトリガーするようにします。

ステップ 5

end

 

Router(config-if) end

特権 EXEC モードに戻ります。

ステップ 6

show running-config interface type number

 

Router# show running-config interface ethernet 0/0

特定のインターフェイスの現在の動作設定についての情報を表示します。

特定のインターフェイスに対して ARP トラップがイネーブルの場合、 interface コマンドの情報には、 arp log threshold entries コマンドが含まれ、その後にしきい値が続きます。

ARP 情報のモニタリングおよびメンテナンスの設定例

ここでは、次の例について説明します。

「学習した ARP テーブル エントリに対する最大制限の設定:例」

「学習した ARP テーブル エントリに対する最大制限の表示:例」

学習した ARP テーブル エントリに対する最大制限の設定:例

次に、学習した ARP テーブル エントリ数の最大制限の設定方法の例を示します。学習した ARP エントリの最大制限として 512,000 が設定されます。

Router> enable
Router# configure terminal
Router(config)# ip arp entry learn 512000
 

学習した ARP テーブル エントリに対する最大制限の表示:例

次に、学習した ARP テーブル エントリ数の最大制限が CLI に設定された後の例を示します。

Router# show arp summary
 
Total number of entries in the ARP table: 4.
Total number of Dynamic ARP entries: 0.
Total number of Incomplete ARP entries: 0.
Total number of Interface ARP entries: 3.
Total number of Static ARP entries: 1.
Total number of Alias ARP entries: 0.
Total number of Simple Application ARP entries: 0.
Total number of Application Alias ARP entries: 0.
Total number of Application Timer ARP entries: 0.
Maximum limit of Learn ARP entry : 512000.
Maximum configured Learn ARP entry limit : 512000.
Learn ARP Entry Threshold is 409600 and Permit Threshold is 486400.
Total number of Learn ARP entries: 0.
Interface Entry Count
GigabitEthernet4/7 1
GigabitEthernet4/1.1 1
GigabitEthernet4/1 1
EOBC0/0
 

最大制限は、512,000(Maximum configured Learn ARP entry limit: 512000.)に設定されていると示されます。学習した ARP テーブル エントリの許可されている最大制限は、512,000(Maximum limit of Learn ARP entry: 512000 )です。この値を超える最大制限は設定できません。

参考資料

ここでは、ARP 情報のモニタリングおよびメンテナンスに関する関連資料について説明します。

関連資料

関連項目
参照先

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

ARP コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト、使用上の注意事項、および例

Cisco IOS IP Addressing Services Command Reference

IP アドレッシングの作業

Configuring IPv4 Addresses 」モジュール

ARP 設定作業

Configuring Address Resolution Protocol Options 」モジュール

規格

規格
タイトル

この機能がサポートする新しい規格または変更された規格はありません。また、この機能で変更された既存規格のサポートはありません。

--

MIB

MIB
MIB リンク

この機能がサポートする新しい MIB または変更された MIB はありません。また、この機能で変更された既存の MIB のサポートはありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 1812

『Requirements for IP Version 4 Routers』

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

ARP 情報のモニタおよびメンテナンスの機能情報

表 1 に、この機能のリリース履歴を示します。

一部のコマンドは、お使いの Cisco IOS ソフトウェア リリースで使用できないことがあります。特定のコマンドのリリース情報については、コマンド リファレンス マニュアルを参照してください。

プラットフォームのサポートおよびソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS および Catalyst OS のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS ソフトウェア リリース群で特定の機能をサポートする Cisco IOS ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 ARP 情報のモニタリングおよびメンテナンスの機能情報

機能名
リリース
機能情報

ARP 情報のモニタおよびメンテナンス

12.4(11)T
12.2(31)SB2
12.2(33)SRB
12.2(33)SRD3
12.2(33)SRE

この機能は、Cisco IOS 環境における ARP サポートに次の拡張機能を導入します。

個々のエントリ内のアプリケーション特有のデータの付加をサポートする新しい ARP テーブル エントリ タイプ

特定の ARP イベントに対する ARP デバッグ トレースのイネーブル化

インターフェイス単位またはアクセス リスト単位の ARP デバッグ トレースのフィルタリング

各種選択基準に基づくダイナミックに学習した ARP テーブル エントリの表示または更新

HA 対応プラットフォームの ARP HA ステータスおよび統計情報の表示または更新

ARP/Cisco Express Forwarding 隣接通知ステータスの表示

特定のルータ インターフェイスのダイナミックに学習したエントリが指定した数に達した場合の ARP ログのイネーブル化

次のコマンドが追加されました。

arp log threshold entries

clear arp-cache counters ha

show arp application

show arp ha

show arp summary

次のコマンドが変更されました。

clear arp-cache

debug arp

show arp

この機能は販売されていなかったため Feature Navigator には掲載されていません。

12.2(33)SRD3 では、Cisco 7600 プラットフォーム上での学習した ARP テーブル エントリの最大制限の設定のサポートが追加されました。

次のコマンドが導入または変更されました。 ip arp entry learn show arp summary

この機能は、Cisco IOS Release 12.2(33)SRE に統合されました。

次のコマンドが導入または変更されました。 debug arp

用語集

ACL :Access Control List(アクセス コントロール リスト)。多数のサービスに対してルータからまたはルータへのアクセスを制御する(たとえば、特定の IP アドレスを持ったパケットがルータ上の特定のインターフェイスから送出されないようにする)ためにルータが保持するリスト。

ARP :Address Resolution Protocol(アドレス解決プロトコル)。IP アドレスを MAC アドレスにマッピングすることに使用されるインターネット プロトコル。論理アドレスのみがわかっている場合に、物理アドレスを取得するために使用される。RFC 826 で定義されています。

ARPA :Advanced Research Projects Agency(高等研究計画局)。Department of Defense(DoD; 米国国防総省)に属する研究開発組織。ARPA は、通信およびネットワーキングにおける数々の先進技術を担当しています。ARPA は DARPA に発展しましたが、1994 年に ARPA に戻りました。

Cisco Express Forwarding :レイヤ 3 スイッチング テクノロジー。Cisco Express Forwarding は、Cisco Express Forwarding 動作の 2 つのモードのうちの 1 つである Central Cisco Express Forwarding モードのことを表す場合もあります。Cisco Express Forwarding により、ルート プロセッサでエクスプレス フォワーディングが実行可能になります。Distributed Cisco Express Forwarding は、Cisco Express Forwarding 動作のもう 1 つのモードです。

DHCP :Dynamic Host Configuration Protocol。IP アドレスをダイナミックに割り当てるメカニズムを提供し、ホストがアドレスを必要としなくなった場合にそのアドレスを再利用できるようにします。

IP :Internet Protocol(インターネット プロトコル)。TCP/IP プロトコル スイートのネットワーク レイヤ。インターネット プロトコル バージョン 4 は、コネクションレス型、ベストエフォート パケット スイッチング プロトコルです。RFC 791 で定義されています。

IP データグラム :インターネットを介して渡される情報の基本単位。IP データグラムは、送信元および宛先アドレスに加えてデータおよび多数のフィールドから構成されます。フィールドは、データグラムの長さ、ヘッダー チェックサム、およびデータグラムが分割できるか(または分割されていたか)を示すフラグなどを定義します。

MAC :Media Access Control(メディア アクセス制御)。IEEE で定義されたデータリンク レイヤの 2 つのサブレイヤのうち下位のサブレイヤ。MAC サブレイヤは、トークン パッシングまたはコンテンションを使用するかなど、共有メディアへのアクセスを処理します。

MAC アドレス :Media Access Control(メディア アクセス制御)アドレス。LAN に接続されたすべてのポートまたはデバイスに必要な、標準化されたデータ リンク レイヤ アドレス。別名、ハードウェア アドレス、MAC レイヤ アドレス、および物理アドレス。

MiM :Man-in-the-Middle。攻撃先のデバイスに送信された ARP パケット内で他のデバイス(デフォルト ゲートウェイなど)に偽装して行う ARP 攻撃の一種。これにより、エンド ステーションまたはルータは偽造されたデバイス ID を学習します。この偽りにより、悪意のあるユーザは ARP スプーフィング攻撃を開始できる中間者としてなりすますことができます。

RP :Route Processor(ルート プロセッサ)。Cisco 7000 シリーズ ルータのプロセッサ モジュールで、CPU、システム ソフトウェア、およびルータで使用されるメモリ コンポーネントの大半が含まれます。 スーパーバイザリ プロセッサ と呼ばれることもあります。

SSO :Stateful Switchover(ステートフル スイッチオーバー)。多くの Cisco IOS アプリケーションおよび機能に対して冗長性および同期を提供する方法。SSO は、Cisco IOS ファイアウォールがネットワークの冗長性ステートを認識し、また内部アプリケーション ステートと冗長ピアを同期することに必要です。SSO により、アクティブ ルータとスタンバイ ルータがファイアウォール セッション ステートの情報を共有できるようになり、その結果各ルータは、その情報に基づいていつでもアクティブ ルータになれます。

VPN :Virtual Private Network(バーチャル プライベート ネットワーク)。複数のピアで構成されるフレームワークで、各ピア間では、他のパブリック インフラストラクチャを介して機密データがセキュアに転送されます。VPN は、すべてのデータを IP レベルでトンネリングおよび暗号化するプロトコルを使用して、着信および発信ネットワーク トラフィックを保護します。また、ネットワークをローカル トポロジの外部にまで拡張できるほか、リモート ユーザがダイレクト ネットワーク接続の状況を確認したり、その機能を利用したりすることも可能です。VPN を使用すると、ネットワーク間のトラフィックをすべて暗号化することにより、パブリック TCP/IP ネットワーク経由でも IP トラフィックをセキュアに転送できます。VPN では「トンネリング」が使用され、すべての情報が IP レベルで暗号化されます。

VRF :VPN Routing and Forwarding(VPN ルーティングおよび転送)インスタンス。VRF は、IP ルーティング テーブル、取得された転送テーブル、その転送テーブルを使用する一連のインターフェイス、転送テーブルに登録されるものを決定する一連のルールおよびルーティング プロトコルで構成されています。一般に、VRF には、PE ルータに付加されるカスタマー VPN サイトが定義されたルーティング情報が格納されています。PE ルータでインスタンス化された各 VPN は独自の VRF を持ちます。

アクティブ RP :システムを制御する、ルーティング プロトコルを実行する、またシステム管理インターフェイスを表示する RP。

スタンバイ RP :アクティブ RP の障害発生に備えて待つ RP。

プロキシ ARP :プロキシ Address Resolution Protocol(アドレス解決プロトコル)。ARP プロトコルのバリエーションで、中間デバイス(ルータなど)が ARP 応答をエンド ノードの代わりに要求ホストに送信します。プロキシ ARP は、低速の WAN リンク上の帯域幅の使用を減らせます。「ARP」 も参照

ホップ :2 つのネットワーク ノード間(たとえば、2 つのルータ間)のデータ パケットの経路。

隣接 :ルーティング情報の交換を目的とする、選択されたネイバー ルータとエンド ノードとの間に形成される関係。隣接は、隣接を構成するルータおよびノードが共通のメディア セグメントを使用することに基づいています。