|
◆ 任意:着信ARPパケットのレート制限
スイッチのCPUはダイナミックARP検査チェックを実行するので、untrusted のインターフェースでは
DoS攻撃を受けても緩和できるよう着信ARPパケットに対するレート制限がデフォルトで行われています。
デフォルトでは、15pps と制限されておりバースト間隔は1秒です。その変更コマンドは以下となります。
※ rate none と指定した場合、処理できる着信ARPパケットのレートの上限設定しないことになります。
◆ 着信ARPパケットのレート制限
(config)# ip arp inspection limit [ rate pps [ burst interval seconds ] | none ]
着信ARPパケットのレートが設定された制限を超えると、スイッチはポートをerrdisableステートにします。
errordisable回復をイネーブルにして、指定されたタイムアウト時間後にポートがこのステートから自動的
に抜け出すようにするためには、以下のコマンドを設定します。interval のデフォルト値は「300秒」です。
◆ DAI の errdisableステートからのエラー回復をイネーブルにして、DAI の回復メカニズムで使用する変数を設定
(config)# errdisable detect cause arp-inspection
(config)# errdisable recovery cause arp-inspection
(config)# errdisable recovery interval interval
◆ 任意:ARPパケットの妥当性のチェック
ダイナミックARP検査では、無効なARPパケットを代行受信してパケットの許可または廃棄を判断しますが、
それに加えて、パケット内のIPアドレスが無効であるか、ARPパケット内のMACアドレスがイーサネットの
ヘッダで指定されているアドレスと一致しない場合に、以下の設定コマンドでARPパケットを破棄できます。
◆ ARPパケットの妥当性のチェック
(config)# ip arp inspection validate [ src-mac ] [ dst-mac ] [ ip ]
| キーワード |
説明 |
| src-mac |
イーサネットヘッダーの送信元MACアドレスと、ARPの送信元MACアドレスを比較 |
| dst-mac |
イーサネットヘッダーの宛先MACアドレスと、ARPの宛先 MAC アドレスが比較 |
| ip |
ARP本文から、無効なIPアドレスや予期しないIPアドレスがないかを確認してチェック |
◆ 任意:ログバッファの設定
スイッチでDAI が有効な場合、デフォルトで拒否または廃棄ARPパケットがログされます。ログエントリ数は
「32」です。システムメッセージ数は1秒間で「5」に制限されています。ロギングレート間隔は「1」秒です。
◆ ログバッファの設定
(config)# ip arp inspection log-buffer [ entries number | logs number interval seconds ]
記録されるパケットタイプをVLAN単位で制御します。デフォルトで全ての拒否/廃棄パケットが記録されます。
◆ パケットのタイプを制御
(config)# ip arp inspection vlan vlan-id logging [ acl-match [ matchlog | none ] | dhcp-bindings [ all | none | permit ]
| キーワード |
説明 |
| acl-match matchlog |
ACE ロギング設定に基づいてパケットをログに記録 |
| acl-match none |
ACL に一致するパケットは記録しない |
| dhcp-bindings all |
DHCP バインディングに一致するパケットがすべて記録 |
| dhcp-bindings none |
DHCP バインディングに一致するパケットは記録しない |
| dhcp-bindings permit |
DHCP バインディングが許可されたパケットが記録 |
◆ ダイナミックARPインスペクション - デフォルト設定
| 機能 |
デフォルト設定 |
| DAI |
すべてのVLANでディセーブル |
| インターフェイスの信頼状態 |
すべてのインターフェイスは untrusted |
| 着信ARPパケットのレート制限 |
信頼できないインターフェイスのレートは 15 pps に設定されて、
信頼できるすべてのインターフェイスでは、レート制限は行われない。
バースト インターバルは 1 秒・
|
| ARP ACL |
ARP ACL は定義されていない |
| 妥当性検査 |
検査は実行されない |
| ログ バッファ |
DAIがイネーブル化されると、拒否またはドロップされたARPパケットはすべてが記録。
ログ内のエントリ数は 32、システムメッセージ数は毎秒5つに制限される。
ロギングレートインターバルは 1 秒。
|
| VLAN 単位のロギング |
拒否または廃棄されたすべての ARP パケットが記録される。 |
|