12.1.5 ダイナミックARP検査
(1) 概要
ダイナミックARP検査は,本装置を通過するARPパケットを監視して,信頼されていない端末からのARPパケットのアクセスを制限する機能です。
ダイナミックARP検査の動作概要を次の図に示します。
(2) ポートの種別
ダイナミックARP検査ではDHCP snoopingと同様に,ポートを次の種別に分類して,ARPパケットを監視します。
-
DHCPサーバや部門サーバなど,信頼済みの端末を接続するポートをtrustポートと呼びます。
trustポートで受信したARPパケットは監視しません。
-
DHCPクライアントなど,信頼されていない端末を接続するポートをuntrustポートと呼びます。
DHCPサーバは接続しません。
ポートの種別を次の図に示します。
コンフィグレーションコマンドip dhcp snoopingでDHCP snoopingを有効にすると,デフォルトですべてのポートがuntrustポートになります。DHCPサーバへ接続するポートをtrustポートとして設定してください。trustポートはコンフィグレーションコマンドip arp inspection trustで設定できます。
なお,ダイナミックARP検査では,コンフィグレーションコマンドip arp inspection vlanで指定したVLANを監視対象にします。
通常の運用では,コンフィグレーションコマンドip dhcp snooping trustおよびip arp inspection trustで指定するポートを一致させることをお勧めします。
(3) ARPパケットの基本検査
untrustポートで,ARPパケットを受信した場合,バインディングデータベースとの整合性を検査し,未登録の端末であれば,該当するARPパケットを廃棄します。
基本検査の検査対象を次の表に示します。
ARP種別 |
受信インタフェース |
ARPパケット |
||||||
---|---|---|---|---|---|---|---|---|
ポート |
VLAN ID |
Ethernetヘッダ |
ARPヘッダ |
|||||
宛先MACアドレス |
送信元MACアドレス |
送信元MACアドレス |
送信元IPアドレス |
宛先MACアドレス |
宛先IPアドレス |
|||
Request |
○ |
○ |
− |
− |
○ |
○ |
− |
− |
Reply |
○ |
○ |
− |
− |
○ |
○ |
− |
− |
(4) ARPパケットのオプション検査
untrustポートで,受信したARPパケット内のデータの整合性を検査します。
オプション検査は,コンフィグレーションコマンドip arp inspection validateで設定します。
(a) 送信元MACアドレス検査(src-mac検査)
レイヤ2ヘッダに含まれる送信元MACアドレス(Source MAC)と,ARPヘッダに含まれる送信元MACアドレス(Sender MAC Address)が同一であることを検査します。
ARP RequestおよびARP Replyの両方に対して検査します。
送信元MACアドレス検査の検査対象を次の表に示します。
ARP種別 |
受信インタフェース |
ARPパケット |
||||||
---|---|---|---|---|---|---|---|---|
ポート |
VLAN ID |
Ethernetヘッダ |
ARPヘッダ |
|||||
宛先MACアドレス |
送信元MACアドレス |
送信元MACアドレス |
送信元IPアドレス |
宛先MACアドレス |
宛先IPアドレス |
|||
Request |
− |
− |
− |
○ |
○ |
− |
− |
− |
Reply |
− |
− |
− |
○ |
○ |
− |
− |
− |
(b) 宛先MACアドレス検査(dst-mac検査)
レイヤ2ヘッダに含まれる宛先MACアドレス(Destination MAC)と,ARPヘッダに含まれる宛先MACアドレス(Target MAC Address)が同一であることを検査します。
ARP Replyに対してだけ検査します。
宛先MACアドレス検査の検査対象を次の表に示します。
ARP種別 |
受信インタフェース |
ARPパケット |
||||||
---|---|---|---|---|---|---|---|---|
ポート |
VLAN ID |
Ethernetヘッダ |
ARPヘッダ |
|||||
宛先MACアドレス |
送信元MACアドレス |
送信元MACアドレス |
送信元IPアドレス |
宛先MACアドレス |
宛先IPアドレス |
|||
Request |
− |
− |
− |
− |
− |
− |
− |
− |
Reply |
− |
− |
○ |
− |
− |
− |
○ |
− |
(c) IPアドレス検査(ip検査)
ARPヘッダに含まれる宛先IPアドレス(Target IP Address)が次に示す範囲内であることを検査します。
-
1.0.0.0 〜 126.255.255.255
-
128.0.0.0 〜 223.255.255.255
ARP Replyに対してだけ検査します。
IPアドレス検査の検査対象を次の表に示します。
ARP種別 |
受信インタフェース |
ARPパケット |
||||||
---|---|---|---|---|---|---|---|---|
ポート |
VLAN ID |
Ethernetヘッダ |
ARPヘッダ |
|||||
宛先MACアドレス |
送信元MACアドレス |
送信元MACアドレス |
送信元IPアドレス |
宛先MACアドレス |
宛先IPアドレス |
|||
Request |
− |
− |
− |
− |
− |
− |
− |
− |
Reply |
− |
− |
− |
− |
− |
− |
− |
○ |