|
◆ Dynamic ARP Inspectionの設定 - DHCP環境
Dynamic ARP InspectionをVLAN単位で有効化させる設定
◆ DAIをVLAN単位で有効化
(config)# ip arp inspection vlan vlan-id
任意:現在ロギングされているどのパケットもスマートロギングされることを指定
◆ DAIをVLAN単位で有効化
(config)# ip arp inspection smartlog
信頼できるインターフェースの指定。デフォルトは全インターフェースが信頼できないインターフェース。
◆ DAIをVLAN単位で有効化
(config)# interface interface-id
(config-if)# ip arp inspection trust
◆ Dynamic ARP Inspectionの設定例 - DHCP環境
設定例は、VLAN100でDAIを有効化して、Fa0/1〜Fa0/24をDAIによるARPメッセージの検査対象として、
Gi0/1では、バックボーン接続とすることから信頼できるインターフェースにするコンフィグ設定となります。
前提として、DHCPスヌーピングの有効とDHCPスヌーピングを有効にするVLANを指定する必要があります。
Catalyst(config)# ip dhcp snooping
Catalyst(config)# ip dhcp snooping vlan 100
Catalyst(config)# ip arp inspection vlan 100
Catalyst(config) # interface range fastethernet 0/1 - 24
Catalyst(config-if) # switchport mode access
Catalyst(config-if) # switchport access vlan 100
Catalyst(config-if) # spanning-tree portfast
Catalyst(config)# interface gigabitethernet 0/1
Catalyst(config-if) # switchport mode trunk
Catalyst(config-if) # ip dhcp snooping trust
Catalyst(config-if) # ip arp inspection trust
|
◆ Dynamic ARP Inspectionの設定例 - 非DHCP環境
非DHCP環境ではarp access-list コマンドを使用してARP検査を行います。ARP検査で許可したいホストの
IPアドレス(sender-ip)とMACアドレス(sender-mac)の登録を行います。着信したARPパケットがこの
ARP ACLに合致した時にログバッファにこのパケットをロギングするためには log オプションを指定します。
◆ ARP検査のためのARP ACLの定義
(config)# arp access-list acl-name
(config-arp-acl)# permit ip host sender-ip mac host sender-mac [ log ]
定義済みのARP ACLをVLANに適用します。vlan-id にARP検査を行いたいホストがいるVLANを指定します。
static キーワードを指定することで、ARP ACLに合致しなかったパケットは破棄されます。指定しない時は
ARP ACLに合致しなかった場合はDHCPスヌーピングバインディングテーブルを参照し、拒否と許可を判断。
◆ ARP ACLのVLANへの適用
(config)# ip arp inspection filter acl-name vlan vlan-range [ static ]
信頼できるインターフェースの指定。デフォルトは全インターフェースが信頼できないインターフェース。
◆ DAIをVLAN単位で有効化
(config)# interface interface-id
(config-if)# ip arp inspection trust
◆ Dynamic ARP Inspectionの設定例 - 非DHCP環境
ARP ACL「HOST01」で、ホスト(IPアドレス192.168.0.10、MACアドレス1111.2222.aaaa)からの
ARPパケットを許可して、このACLをVLAN100に適用する設定例は以下の通りです。
Catalyst(config)# ip arp inspection vlan 100
Catalyst(config)# arp access-list HOST01
Catalyst(config-arp-acl) # permit ip host 192.168.0.10 mac host 1111.2222.aaaa
Catalyst(config)# ip arp inspection filter HOST01 vlan 100
Catalyst(config)# interface gigabitethernet 0/1
Catalyst(config-if) # switchport mode trunk
Catalyst(config-if) # ip arp inspection trust
|
|