|
◆ DAI(Dynamic ARP Inspection)とは
DAI(ダイナミックARP検査)とはLAN上でARPパケットを検査するセキュリティ機能のことです。DAIは、
IPアドレスとMACアドレスの関連付けを検証して、不正なARP応答はCatalystスイッチが代行受信して破棄
して、正規のARP応答パケットのみを転送します。IPアドレスとMACアドレスの関連付けを検証するために
DAIでは、以下の2種類のバインディングテーブルを利用します。
| バインディングテーブル |
DHCPスヌーピング |
バインディングテーブル |
| DHCP環境 |
必要 |
DHCPスヌーピングバインディングテーブル |
| 非DHCP環境 |
不要 |
スタティックに設定されたIPアドレスとMACアドレスの関連付けテーブル |
DHCPスヌーピングの実装、IPソースガードの実装のためにはCatalystスイッチで必ずDHCPスヌーピングを
有効化する必要がありましたが、DAIの場合、非DHCP環境ではDHCPスヌーピングを有効にしなくてもDAIを
実装させることができます。
DHCP環境の場合は、DHCPクライアントとDHCPサーバのやりとりの情報で構成されたDHCPスヌーピング
バインディングテーブルを参照し、DAIでは受信したARPパケットの正当性を確認します。非DHCP環境では
事前でスタティックに設定されたIPアドレスとMACアドレスの対応表を参照して、正統性を確認しています。
◆ DAI(Dynamic ARP Inspection)で使用される2種類のインターフェース
DAIでは、信頼できるインターフェースと信頼できないインターフェースの2種類があります。DAIを有効化
させると、全てのI/Fは信頼できないインターフェースとなるので、Untrustでの設定コマンドはありません。
| DAIで使用するインターフェース |
設定コマンド |
説明 |
| 信頼できるインターフェース |
ip arp inspection trust |
DAIによるARP検査を行わないポート。 |
| 信頼できないインターフェース |
- |
DAIによるARP検査を行うポート。デフォルトの設定。 |
◆ DAI(Dynamic ARP Inspection)による検査の流れ
@ Catalyst上の信頼できないポート上の全てのARP要求とARP応答を、Catalystスイッチで代行受信。
A 代行受信された各パケットに有効なIPアドレスとMACアドレスのバインディングがあるかを確認。
B Catalyst上のバインディングテーブル上に存在しない組み合わせである場合、その無効なARPを破棄。
|