コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 概要
- (2) ポートの種別
- (3) ARPパケットの基本検査
- (4) ARPパケットのオプション検査
(1) 概要
ダイナミックARP検査は,本装置を通過するARPパケットを監視して,信頼されていない端末からのARPパケットのアクセスを制限する機能です。
ダイナミックARP検査の動作概要を次の図に示します。
図12-8 ダイナミックARP検査の動作概要
(2) ポートの種別
ダイナミックARP検査ではDHCP snoopingと同様に,ポートを次の種別に分類して,ARPパケットを監視します。
- trustポート
DHCPサーバや部門サーバなど,信頼済みの端末を接続するポートをtrustポートと呼びます。
trustポートで受信したARPパケットは監視しません。
- untrustポート
DHCPクライアントなど,信頼されていない端末を接続するポートをuntrustポートと呼びます。
DHCPサーバは接続しません。
ポートの種別を次の図に示します。
図12-9 ポートの種別
コンフィグレーションコマンドip dhcp snoopingでDHCP snoopingを有効にすると,デフォルトですべてのポートがuntrustポートになります。DHCPサーバへ接続するポートをtrustポートとして設定してください。trustポートはコンフィグレーションコマンドip arp inspection trustで設定できます。
なお,ダイナミックARP検査では,コンフィグレーションコマンドip arp inspection vlanで指定したVLANを監視対象にします。
通常の運用では,コンフィグレーションコマンドip dhcp snooping trustおよびip arp inspection trustで指定するポートを一致させることをお勧めします。
(3) ARPパケットの基本検査
untrustポートで,ARPパケットを受信した場合,バインディングデータベースとの整合性を検査し,未登録の端末であれば,該当するARPパケットを廃棄します。
基本検査の検査対象を次の表に示します。
表12-4 基本検査の検査対象
ARP種別 受信インタフェース ARPパケット ポート VLAN ID Ethernetヘッダ ARPヘッダ 宛先MACアドレス 送信元MACアドレス 送信元MACアドレス 送信元IPアドレス 宛先MACアドレス 宛先IPアドレス Request ○ ○ − − ○ ○ − − Reply ○ ○ − − ○ ○ − − (凡例)○:検査対象 −:検査対象外
(4) ARPパケットのオプション検査
untrustポートで,受信したARPパケット内のデータの整合性を検査します。
オプション検査は,コンフィグレーションコマンドip arp inspection validateで設定します。
(a) 送信元MACアドレス検査(src-mac検査)
レイヤ2ヘッダに含まれる送信元MACアドレス(Source MAC)と,ARPヘッダに含まれる送信元MACアドレス(Sender MAC Address)が同一であることを検査します。
ARP RequestおよびARP Replyの両方に対して検査します。
送信元MACアドレス検査の検査対象を次の表に示します。
表12-5 送信元MACアドレス検査の検査対象
ARP種別 受信インタフェース ARPパケット ポート VLAN ID Ethernetヘッダ ARPヘッダ 宛先MACアドレス 送信元MACアドレス 送信元MACアドレス 送信元IPアドレス 宛先MACアドレス 宛先IPアドレス Request − − − ○ ○ − − − Reply − − − ○ ○ − − − (凡例)○:検査対象 −:検査対象外
(b) 宛先MACアドレス検査(dst-mac検査)
レイヤ2ヘッダに含まれる宛先MACアドレス(Destination MAC)と,ARPヘッダに含まれる宛先MACアドレス(Target MAC Address)が同一であることを検査します。
ARP Replyに対してだけ検査します。
宛先MACアドレス検査の検査対象を次の表に示します。
表12-6 宛先MACアドレス検査の検査対象
ARP種別 受信インタフェース ARPパケット ポート VLAN ID Ethernetヘッダ ARPヘッダ 宛先MACアドレス 送信元MACアドレス 送信元MACアドレス 送信元IPアドレス 宛先MACアドレス 宛先IPアドレス Request − − − − − − − − Reply − − ○ − − − ○ − (凡例)○:検査対象 −:検査対象外
(c) IPアドレス検査(ip検査)
ARPヘッダに含まれる宛先IPアドレス(Target IP Address)が次に示す範囲内であることを検査します。
- 1.0.0.0 〜 126.255.255.255
- 128.0.0.0 〜 223.255.255.255
ARP Replyに対してだけ検査します。
IPアドレス検査の検査対象を次の表に示します。
表12-7 IPアドレス検査の検査対象
ARP種別 受信インタフェース ARPパケット ポート VLAN ID Ethernetヘッダ ARPヘッダ 宛先MACアドレス 送信元MACアドレス 送信元MACアドレス 送信元IPアドレス 宛先MACアドレス 宛先IPアドレス Request − − − − − − − − Reply − − − − − − − ○ (凡例)○:検査対象 −:検査対象外
All Rights Reserved, Copyright(C), 2017, 2020, ALAXALA Networks, Corp.