Layer 2 Security Dynamic ARP Inspection

REFERENCE

Configuring Dynamic ARP Inspection

MEMO

  • DAIはDCHP snoopingのDBを使うので事前に設定
ip dhcp snooping
ip dhcp snooping vlan 20

 

  • DAIの有効化
ip arp inspection vlan 20

 

  • ACLによる組み合わせ以外のARPを許可しない(ログに残す)
ip arp inspection filter ARP-VLAN20 vlan 20
arp access-list ARP-VLAN20
 permit ip host 160.1.20.2 mac host 000a.b832.3ac1 log
 permit ip host 160.1.20.3 mac host 0022.5627.1fc1 log

 

  • ログは16エントリまで残す
ip arp inspection log-buffer entries 16

 

  • 10秒で生成可能なログは4エントリまで
ip arp inspection log-buffer logs 4 interval 10

 

  • Src MAC,Dst MAC,IPアドレスを想定される内容であるかチェックする
    Src MAC ⇒ イーサヘッダとARP BODYを比較
    Dst MAC ⇒ イーサヘッダとARP BODYを比較
    IP ⇒ 0.0.0.0や255.255.255.255、マルチキャストなど期待していないアドレスか
ip arp inspection validate src-mac dst-mac ip

 

コメント