この章では、Catalyst 3750スイッチにダイナミックAddress Resolution Protocol(ARP;アドレス解決プロトコル)検査を設定する方法を説明します。この機能により、無効なARP要求および応答を同じVLAN内の他のポートにリレーしないことで、スイッチ上の意図的な攻撃を回避します。
ダイナミックARP検査の概要
ARPはIPアドレスをMAC(メディア アクセス制御)アドレスにマッピングすることで、レイヤ2ブロードキャスト ドメイン内のIP通信を提供します。たとえば、ホストBはホストAに情報を送信するのに、自身のARPキャッシュにホストAのMACアドレスを持っていません。ホストBはブロードキャスト ドメイン内のすべてのホストに対してブロードキャスト メッセージを生成し、ホストAのIPアドレスに関連するMACアドレスを取得します。ブロードキャスト ドメイン内のすべてのホストはARP要求を受信し、ホストAはMACアドレスを使用して応答します。ただし、ARP要求が受信されなかった場合でもARPはホストから不当な応答を許可するので、ARPスプーフィング攻撃やARPキャッシュのポイズニングが発生する可能性があります。攻撃のあと、攻撃にさらされた装置からのすべてのトラフィックが攻撃者のコンピュータを介して、ルータ、スイッチ、またはホストに流れます。
悪意のあるユーザは、サブネットに接続されたシステムのARPキャッシュをポイズニングしたり、サブネット上の他のホスト向けのトラフィックを代行受信することで、レイヤ2ネットワークに接続されたホスト、スイッチ、ルータを攻撃できます。 図19-1 にARPキャッシュ ポイズニングの例を示します。
図19-1 ARPキャッシュ ポイズニング
ホストA、B、CはインターフェイスA、B、C上のスイッチに接続され、すべて同じサブネット上にあります。これらのIPアドレスおよびMACアドレスは、カッコ内に示してあります。たとえば、ホストAはIPアドレスIAおよびMACアドレスMAを使用します。ホストAがIPレイヤでホストBと通信する必要があるとき、ホストAはIPアドレスIBに関連付けられたMACアドレスに対してARP要求をブロードキャストします。スイッチおよびホストBがARP要求を受信すると、IPアドレスIAおよびMACアドレスMAを持つホストへのARPバインディングを使用してARPキャッシュを読み込みます。たとえば、IPアドレスIAは、MACアドレスMAにバインドされます。ホストBが応答すると、スイッチおよびホストAは、IPアドレスIBおよびMACアドレスMBを持ったホストへのバインディングを使用してARPキャッシュを読み込みます。
ホストCは、IPアドレスIA(またはIB)およびMACアドレスMCを持ったホストのバインディングを使用して偽造したARP応答をブロードキャストすることで、スイッチ、ホストA、ホストBのARPキャッシュをポイズニングできます。ポイズニングされたARPキャッシュを持ったホストは、IAまたはIB向けのトラフィックの宛先MACアドレスとして、MACアドレスMCを使用します。これはホストCがトラフィックを代行受信することを意味します。ホストCは、IAおよびIBに関連する正当なMACアドレスを知っているので、宛先として正しいMACアドレスを使用することで代行受信したトラフィックをこれらのホストに転送できます。ホストCは、自身をホストAからホストBへのトラフィック ストリームに挿入し、典型的な man-in-the middle 攻撃を行います。
ダイナミックARP検査は、ネットワークのARPパケットを検証するセキュリティ機能です。この検査では、不正なIP/MACアドレス バインディングを持ったARPパケットを代行受信、ロギング、廃棄します。この機能は、特定のman-in-the-middle攻撃からネットワークを保護します。
ダイナミックARP検査では、有効なARP要求および応答のみを確実にリレーします。スイッチは次のアクティビティを実行します。
- 信頼されないポート上のすべてのARP要求と応答を代行受信します。
- ローカルARPキャッシュを更新する前、またはパケットを適切な宛先に転送する前に、代行受信されたパケットそれぞれに有効なIP/MACアドレス バインディングがあるかどうかを確認します。
- 無効なARPパケットを廃棄します。
ダイナミックARP検査では、DHCPスヌーピング バインディング データベースなどの信頼できるデータベースに保存された有効なIP/MACアドレス バインディングに基づいて、ARPパケットの有効性を判別します。このデータベースは、DHCPスヌーピングがVLAN上およびスイッチ上でイネーブルになっている場合、DHCPスヌーピングによって構築されます。ARPパケットが信頼できるインターフェイス上で受信された場合、スイッチはそのパケットを確認せずに転送します。信頼できないインターフェイス上では、スイッチはパケットが有効な場合のみ転送します。
ダイナミックARP検査は、VLAN単位で ip arp inspection vlan vlan-range グローバル コンフィギュレーション コマンドを使用してイネーブルにします。設定の詳細については、 DHCP環境でのダイナミックARP検査の設定 を参照してください。
DHCP以外の環境では、ダイナミックARP検査は、スタティックに設定されたIPアドレスを持ったホストに対してユーザが設定したARP Access Control List(ACL;アクセス制御リスト)と照合してARPパケットを検証できます。 arp access-list acl-name グローバル コンフィギュレーション コマンドを使用してARP ACLを定義できます。設定の詳細については、 非DHCP環境のARP ACLの設定 を参照してください。スイッチは廃棄されたパケットをロギングします。ログ バッファの詳細については、 廃棄されたパケットのロギング を参照してください。
パケットのIPアドレスが無効な場合、またはARPパケット本体のMACアドレスがイーサネット ヘッダーで指定したアドレスと一致しない場合に、ARPパケットを廃棄するようダイナミックARP検査を設定できます。 ip arp inspection validate { [ src-mac ] [ dst-mac ] [ ip ]} グローバル コンフィギュレーション コマンドを使用します。詳細については、 妥当性チェックの実行 を参照してください。
インターフェイスの信頼状態とネットワーク セキュリティ
ダイナミックARP検査は、信頼状態とスイッチ上の各インターフェイスを対応付けます。信頼できるインターフェイスに着信するパケットは、すべてのダイナミックARP検査の妥当性チェックをバイパスします。信頼できないインターフェイスに着信するパケットでは、ダイナミックARP検査の検証プロセスが実行されます。
一般的なネットワーク構成では、ホスト ポートに接続されたスイッチ ポートすべてを信頼されない状態として設定し、スイッチに接続されたスイッチ ポートすべてを信頼される状態として設定します。この設定を使用して、指定されたスイッチからネットワークに入ってくるすべてのARPパケットは、セキュリティ チェックをバイパスします。VLANまたはネットワークの他の場所では、それ以外の検証は必要ありません。 ip arp inspection trust インターフェイス コンフィギュレーション コマンドを使用して、信頼設定を設定します。
図19-2 では、スイッチAとスイッチBの両方がホスト1およびホスト2を含むVLANでダイナミックARP検査を実行していると想定します。ホスト1およびホスト2が、スイッチAに接続されたDHCPサーバからIPアドレスを取得した場合、スイッチAだけがホスト1のIP/MACアドレスをバインドします。したがって、スイッチAとスイッチBとの間のインターフェイスが信頼できない場合、ホスト1からのARPパケットはスイッチBによって廃棄され、ホスト1とホスト2の間の接続が切断されます。
図19-2 ダイナミックARP検査がイネーブルであるVLAN上でのARPパケットの検証
実際には信頼できないインターフェイスを信頼できるインターフェイスとして設定すると、ネットワークにセキュリティ ホールを残します。スイッチAがダイナミックARP検査を実行していない場合、ホスト1は簡単にスイッチB(およびスイッチの間のリンクが信頼される状態として設定されている場合はホスト2)のARPキャッシュをポイズニングできます。この条件は、スイッチBがダイナミックARP検査を実行しているときにも発生することがあります。
ダイナミックARP検査では、ダイナミックARP検査を実行しているスイッチに接続された(信頼できないインターフェイス上の)ホストが、ネットワークの他のホストのARPキャッシュをポイズニングしていないことを確認します。ただし、ダイナミックARP検査では、ネットワークの他の部分のホストがダイナミックARP検査を実行しているスイッチに接続されたホストのキャッシュをポイズニングするのを回避しません。
VLANの一部のスイッチがダイナミックARP検査を実行し、他のスイッチが実行していない場合、そのスイッチに接続しているインターフェイスは信頼されない状態として設定します。ただし、非ダイナミックARP検査スイッチからのパケットのバインディングを検証するには、ARP ACLを使用してダイナミックARP検査を実行しているスイッチを設定します。レイヤ3でそのようなバインディングを判別できないときは、ダイナミックARP検査を実行しているスイッチを、ダイナミックARP検査を実行していないスイッチから切り離します。設定の詳細については、 非DHCP環境のARP ACLの設定 を参照してください。
ARPパケットのレート制限
スイッチCPUは、ダイナミックARP検査の妥当性チェックを実行します。したがって、DoS攻撃を回避するため着信ARPパケット数はレート制限されます。デフォルトでは、信頼できないインターフェイスのレートは15パケット/秒(pps)です。信頼できるインターフェイスは、レート制限されません。 ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用して、この設定を変更できます。
着信ARPパケットのレートが設定した制限値を超えると、スイッチはそのポートをエラーディセーブル ステートにします。変更しないかぎり、ポートはそのステートのままです。指定したタイムアウト時間のあと、ポートが自動的にこのステートから抜け出せるようにエラーディセーブル回復をイネーブルにするには、 errdisable recovery グローバル コンフィギュレーション コマンドを使用します。
設定の詳細については、 着信ARPパケットのレート制限 を参照してください。
ARP ACLとDHCPスヌーピング エントリの相対的なプライオリティ
ダイナミックARP検査では、有効なIP/MACアドレス バインディングのリストにDHCPスヌーピング バインディング データベースが使用されます。
ARP ACLは、DHCPスヌーピング バインディング データベースのエントリよりも優先されます。スイッチは、 ip arp inspection filter vlan グローバル コンフィギュレーション コマンドを使用してACLを設定した場合のみ、ACLを使用します。まずスイッチは、ARPパケットとユーザ設定のARP ACLを比較します。ARP ACLがARPパケットを拒否する場合、DHCPスヌーピングが読み込んだデータベースに有効なバインディングが存在してもスイッチはパケットを拒否します。
廃棄されたパケットのロギング
スイッチがパケットを廃棄する場合、エントリをログ バッファに格納してからレート制御ごとにシステム メッセージを生成します。メッセージが生成されたあと、スイッチはログ バッファからエントリを消去します。各ログ エントリには、受信VLAN、ポート番号、送信元および宛先IPアドレス、送信元および宛先MACアドレスなどのフロー情報が含まれます。
バッファ内のエントリ数、およびシステム メッセージを生成するのに必要な指定間隔内のエントリ数を設定するには、 ip arp inspection log-buffer グローバル コンフィギュレーション コマンドを使用します。 ip arp inspection vlan logging グローバル コンフィギュレーション コマンドを使用すると、ロギングされるパケットのタイプを指定できます。設定の詳細については、 ログ バッファの設定 を参照してください。
ダイナミックARP検査の設定
ここでは、スイッチ上でダイナミックARP検査を設定する方法について説明します。
- ダイナミックARP検査のデフォルト設定
- ダイナミックARP検査設定時の注意事項
- DHCP環境でのダイナミックARP検査の設定 (DHCP環境で必須)
- 非DHCP環境のARP ACLの設定 (非DHCP環境で必須)
- 着信ARPパケットのレート制限 (任意)
- 妥当性チェックの実行 (任意)
- ログ バッファの設定 (任意)
ダイナミックARP検査のデフォルト設定
表19-1 に、ダイナミックARP検査のデフォルト設定を示します。
|
ネットワークが、1秒間に15個の新規ホストに接続するホストを持つスイッチド ネットワークであると想定した場合、信頼されないインターフェイス上のレートは15 ppsです。 |
|
ダイナミックARP検査設定時の注意事項
- ダイナミックARP検査は、入力セキュリティ機能です。出力チェックは行いません。
- ダイナミックARP検査をサポートしていないスイッチ、またはこの機能がイネーブルではないスイッチに接続されたホストに対して、ダイナミックARP検査は有効になりません。man-in-the-middle攻撃は単一レイヤ2ブロードキャスト ドメインに限られているので、ダイナミックARP検査チェックが設定されたドメインを、チェックが設定されていないドメインから隔離します。このアクションにより、ダイナミックARP検査に対してイネーブルであるドメインにあるホストのARPキャッシュを保護します。
- ダイナミックARP検査はDHCPスヌーピング バインディング データベースのエントリによって異なり、着信ARP要求およびARP応答のIP/MACアドレス バインディングを確認します。ダイナミックにIPアドレスが割り当てられたARPパケットを許可するには、必ずDHCPスヌーピングをイネーブルにしてください。設定の詳細については、 第18章 「DHCP機能の設定」 を参照してください。
DHCPスヌーピングがディセーブルである、または非DHCP環境である場合、ARP ACLを使用してパケットを許可または拒否します。
- ダイナミックARP検査は、アクセス ポート、トランク ポート、EtherChannelポート、プライベートVLANポート上でサポートされます。
- 物理ポートは、物理ポートとチャネル ポートの信頼状態が一致する場合のみ、EtherChannelポート チャネルに参加できます。それ以外の場合、物理ポートはポート チャネルでサスペンドのままです。ポート チャネルは、チャネルに参加した最初の物理ポートから信頼状態を継承します。したがって、最初の物理ポートの信頼状態は、そのチャネルの信頼状態と一致する必要はありません。
反対に、ポート チャネルの信頼状態を変更した場合、スイッチはチャネルを構成するすべての物理ポート上で新しい信頼状態を設定します。
- レート制限は、スイッチ スタックの各スイッチで個別に計算されます。クロス スタックEtherChannelでは、実際のレート制限が設定値より高くなる場合があります。たとえば、スイッチ1に1個のポート、スイッチ2に1個のポートがあるEtherChannel上でレート制限を30 ppsに設定する場合、EtherChannelがエラーディセーブルにならずに、各ポートは29 ppsでパケットを受信できます。
- ポート チャネルの動作レートは、チャネル内のすべての物理ポートでの累積となります。たとえば、ポート チャネルに400 ppsのARPレート制限を設定した場合、チャネル上で組み合わされたすべてのインターフェイスは、合計で400 ppsを受信します。EtherChannelポート上での着信ARPパケットのレートは、すべてのチャネル メンバーからのパケットの着信レートの合計と等しくなります。チャネル ポート メンバーでの着信ARPパケットのレートを確認してからEtherChannelポートのレート制限を設定してください。
物理ポートの着信パケットのレートは、物理ポートの設定ではなくポート チャネルの設定に対してチェックされます。ポート チャネルのレート制限設定は、物理ポートの設定とは関係ありません。
EtherChannelが設定したレート以上のARPパケットを受信する場合、チャネル(すべての物理ポートを含む)はエラーディセーブル ステートになります。
- 必ず、着信トランク ポートでARPパケットのレートを制限してください。集約を反映し、複数のダイナミックARP検査対応VLAN上でパケットを処理するには、トランク ポートのレートを高く設定します。また、レートを無制限にするには、 ip arp inspection limit noneインターフェイス コンフィギュレーション コマンドを使用できます。1個のVLANでレート制限を高くすると、ソフトウェアによってポートがエラーディセーブル ステートになった場合に他のVALNへDoS攻撃を行うことがあります。
DHCP環境でのダイナミックARP検査の設定
次の手順では、2つのスイッチがダイナミックARP検査をサポートする場合にこの機能を設定する方法を示します。ホスト1はスイッチAに、ホスト2はスイッチBに接続されています( 図19-2ダイナミックARP検査がイネーブルであるVLAN上でのARPパケットの検証 を参照)。両方のスイッチは、ホストが配置されているVLAN 1上でダイナミックARP検査を実行しています。DHCPサーバは、スイッチAに接続されています。両方のホストも同じDHCPサーバからIPアドレスを取得します。したがって、スイッチAにはホスト1とホスト2のバインディングがあり、スイッチBにはホスト2のバインディングがあります。
1つのスイッチのみがダイナミックARP検査をサポートする場合にこの機能を設定する方法については、 非DHCP環境のARP ACLの設定 を参照してください。
ダイナミックARP検査を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は両方のスイッチで実行する必要があります。この手順は必須です。
|
VLAN単位でダイナミックARP検査をイネーブルにします。デフォルトでは、ダイナミック ARP検査はすべてのVLAN上でディセーブルです。 vlan-range には、VLAN ID番号で識別された単一のVLAN、ハイフンで区切られたVLAN範囲、またはカンマで区切られた一連のVLANを指定します。指定できる範囲は1〜4094です。 |
||
|
スイッチは、信頼できるインターフェイス上の他のスイッチから受信するARPパケットをチェックしません。スイッチは単にパケットを転送するだけです。 信頼されないインターフェイスの場合、スイッチはすべてのARP要求および応答を代行受信します。ローカル キャッシュを更新する前、およびパケットを適切な宛先に転送する前に、代行受信されたパケットに有効なIP/MACアドレス バインディングがあるかどうかを確認します。 ip arp inspection vlan logging グローバル コンフィギュレーション コマンド で指定されたロギング設定に従い、スイッチは無効なパケットを廃棄し、ログ バッファにロギングします。詳細については、 ログ バッファの設定 を参照してください。 |
||
ダイナミックARP検査をディセーブルにするには、 no ip arp inspection vlan vlan-range グローバル コンフィギュレーション コマンドを使用します。インターフェイスを信頼されない状態に戻すには、 no ip arp inspection trust インターフェイス コンフィギュレーション コマンドを使用します。
次に、ダイナミックARP検査をVLAN 1のスイッチAに設定する例を示します。スイッチBでも同様の手順を実行します。
Switch(config)# ip arp inspection vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# ip arp inspection trust
非DHCP環境のARP ACLの設定
次の手順では、スイッチBがダイナミックARP検査またはDHCPスヌーピングをサポートしない場合( 図19-2ダイナミックARP検査がイネーブルであるVLAN上でのARPパケットの検証 を参照)に、ダイナミックARP検査を設定する方法を示します
スイッチAのポート1を信頼される状態として設定する場合、スイッチAおよびホスト1がスイッチBまたはホスト2のいずれかによって攻撃されることがあるので、セキュリティ ホールが作成されます。これを避けるには、スイッチAのポート1を信頼されない状態として設定する必要があります。ホスト2からのARPパケットを許可するには、ARP ACLをセットアップしてVLAN 1に適用する必要があります。ホスト2のIPアドレスがスタティックでない場合(スイッチAでACL設定を適用することはできません)、レイヤ3でスイッチAをスイッチBから切り離し、ルータを使用してスイッチAとBの間でパケットをルーティングします。
スイッチAでARP ACLを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は、非DHCP環境では必須です。
|
ARP ACLを定義し、ARPアクセス リスト コンフィギュレーション モードを開始します。デフォルトでは、ARPアクセス リストは定義されていません。 
|
||
|
指定したホスト(ホスト2)からのARPパケットを許可します。
|
||
|
ip arp inspection filter arp-acl-name vlan vlan-range [ static ] |
ARP ACLをVLANに適用します。デフォルトでは、 どのVLANにも定義されたARP ACLは適用されません。
このキーワードを指定しない場合、パケットを拒否するACLに明示的な拒否が存在せず、パケットがACLの句と一致しない場合にパケットを許可するかまたは拒否するかをDHCPバインディングが判別することを意味します。 IP/MACアドレス バインディングのみを含むARPパケットは、ACLと比較されます。パケットは、アクセス リストで許可されている場合のみ許可されます。 |
|
|
スイッチBに接続されたスイッチAインターフェイスを指定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
スイッチBに接続されたスイッチAインターフェイスを信頼できない状態として設定します。 信頼されないインターフェイスの場合、スイッチはすべてのARP要求および応答を代行受信します。ローカル キャッシュを更新する前、およびパケットを適切な宛先に転送する前に、代行受信されたパケットに有効なIP/MACアドレス バインディングがあるかどうかを確認します。 ip arp inspection vlan logging グローバル コンフィギュレーション コマンド で指定されたロギング設定に従い、スイッチは無効なパケットを廃棄し、ログ バッファにロギングします。詳細については、 ログ バッファの設定 を参照してください。 |
||
|
show arp access-list [ acl-name ] |
||
ARP ACLを削除するには、 no arp access-list グローバル コンフィギュレーション コマンドを使用します。VLANに付加されたARP ACLを削除するには、 no ip arp inspection filter arp-acl-name vlan vlan-range グローバル コンフィギュレーション コマンドを使用します。
次に、スイッチAで host2 という名前のARP ACLを設定し、ホスト2(IPアドレス1.1.1.1およびMACアドレス0001.0001.0001)からのARPパケットを許可し、ACLをVLAN 1に適用し、スイッチAでポート1を信頼されない状態として設定する例を示します。
Switch(config)# arp access-list host2
Switch(config-arp-acl)# permit ip host 1.1.1.1 mac host 1.1.1
Switch(config)# ip arp inspection filter host2 vlan 1
Switch(config)# interface gigabitethernet 0/1
Switch(config-if)# no ip arp inspection trust
着信ARPパケットのレート制限
スイッチCPUは、ダイナミックARP検査の妥当性チェックを実行します。したがって、DoS攻撃を回避するため着信ARPパケット数はレート制限されます。
着信ARPパケットのレートが設定した制限値を超えると、スイッチはそのポートをエラーディセーブル ステートにします。指定したタイムアウト時間のあと、ポートが自動的にこのステートから抜け出せるようにエラーディセーブル回復をイネーブルにするまで、ポートはこの状態のままになります。
トランク ポートおよびEtherChannelポートのレート制限の設定時の注意事項については、 ダイナミックARP検査設定時の注意事項 を参照してください。
着信ARPパケットのレートを制限するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
デフォルトのレート制限設定に戻すには、 no ip arp inspection limit インターフェイス コンフィギュレーション コマンドを使用します。ダイナミックARP検査のエラー回復をディセーブルにするには、 no errdisable recovery cause arp-inspection グローバル コンフィギュレーション コマンドを使用します。
妥当性チェックの実行
ダイナミックARP検査では、不正なIP/MACアドレス バインディングを持ったARPパケットを代行受信、ロギング、廃棄します。スイッチを設定して、宛先MACアドレス、送信者およびターゲットIPアドレス、送信元MACアドレスの追加チェックを実行できます。
着信ARPパケットで特定のチェックを実行するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
チェックをディセーブルにするには、 no ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]グローバル コンフィギュレーション コマンドを使用します。転送および廃棄されたパケット、MACおよびIP検証が失敗したパケットの統計情報を表示するには、 show ip arp inspection statistics イネーブルEXECコマンドを使用します。
ログ バッファの設定
スイッチがパケットを廃棄する場合、エントリをログ バッファに格納してからレート制御ごとにシステム メッセージを生成します。メッセージが生成されたあと、スイッチはログ バッファからエントリを消去します。各ログ エントリには、受信VLAN、ポート番号、送信元および宛先IPアドレス、送信元および宛先MACアドレスなどのフロー情報が含まれます。
ログ バッファのエントリは、複数のパケットを表すことができます。たとえば、インターフェイスが同じARPパラメータを持った同じVLAN上で多くのパケットを受信する場合、スイッチはパケットをログ バッファ内の1つのエントリとして結合し、エントリに対し1つのシステム メッセージを生成します。
ログ バッファがオーバーフローした場合、ログ イベントはログ バッファに適合しないことになり、 show ip arp inspection log イネーブルEXECコマンドの表示が影響を受けます。パケットのカウントと時刻以外のすべてのデータ位置に--が表示されます。他の統計情報はエントリに提供されません。表示内にこのエントリを見つけた場合、ログ バッファのエントリ数を増やす、またはロギング レートを上げてください。
ログ バッファを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
デフォルトのログ バッファ設定に戻すには no ip arp inspection log-buffer { entries | logs }グローバル コンフィギュレーション コマンドを使用します。 デフォルトのVLANログ設定に戻すには、 no ip arp inspection vlan vlan-range logging { acl-match | dhcp-bindings }グローバル コンフィギュレーション コマンドを使用します。ログ バッファを消去するには、 clear ip arp inspection log イネーブルEXECコマンドを使用します。
ダイナミックARP検査情報の表示
ダイナミックARP検査情報を表示するには、 表19-2 に示すイネーブルEXECコマンドを使用します。
|
指定したVLANのダイナミックARP検査の設定および動作状態を表示します。VLANが指定されていない、または範囲が指定されている場合、ダイナミックARP検査がイネーブル(アクティブ)であるVLANに関する情報のみが表示されます。 |
ダイナミックARP検査の統計情報をクリアするには、 表19-3 に示すイネーブルEXECコマンドを使用します。
show ip arp inspection statistics コマンドの場合、スイッチは、信頼されるダイナミックARP検査ポート上で各ARP要求および応答パケットに転送するパケット数を増加します。スイッチは、送信元MAC、宛先MAC、またはIP妥当性チェックによって拒否された各パケットに対し、ACLまたはDHCP許可パケット数を増加し、適切な失敗カウントを増加します。
ダイナミックARP検査のロギング情報をクリアまたは表示するには、 表19-4 に示すイネーブルEXECコマンドを使用します。
