Join Airheads
本投稿では、CXシリーズスイッチでのダイナミックARPインスペクションの設定方法と動作確認についてまとめています。
【動作確認構成】
! dhcpv4-snooping no dhcpv4-snooping option 82 dhcpv4-snooping allow-overwrite-binding ! vlan 24 dhcpv4-snooping ! interface 1/1/24 dhcpv4-snooping trust !
! vlan 24 arp inspection !
! interface 1/1/24 arp inspection trust !
【動作確認】
PC1とPC2は、DHCPでIPアドレスを取得しています。
6200# show dhcpv4-snooping binding MacAddress IP VLAN Interface Time-Left ----------------- --------------- ---- --------- ------------------- 84:af:ec:73:d9:c9 172.17.24.2 24 1/1/1 83394 90:96:f3:49:0c:9a 172.17.24.15 24 1/1/3 86339 6200# 6200# show arp inspection vlan 24 ----------------------------------------------------------------- VLAN Name ARP Inspection ----------------------------------------------------------------- 24 VLAN24 Enabled ----------------------------------------------------------------- 6200# 6200# show arp inspection interface 1/1/1 ----------------------------------------------------------------- Interface Trust-State ----------------------------------------------------------------- 1/1/1 Untrusted ----------------------------------------------------------------- 6200# show arp inspection interface 1/1/3 ----------------------------------------------------------------- Interface Trust-State ----------------------------------------------------------------- 1/1/3 Untrusted ----------------------------------------------------------------- 6200# show arp inspection interface 1/1/24 ----------------------------------------------------------------- Interface Trust-State ----------------------------------------------------------------- 1/1/24 Trusted ----------------------------------------------------------------- 6200#
PC1のARPキャッシュを確認するとDHCPサーバ、PC2のMACアドレスを学習できています。
C:\WINDOWS\system32>arp -a インターフェイス: 172.17.24.2 --- 0x18 インターネット アドレス 物理アドレス 種類 172.17.24.15 90-96-f3-49-0c-9a 動的 172.17.24.254 74-a2-e6-e7-dd-ca 動的 C:\WINDOWS\system32> C:\WINDOWS\system32>ping 172.17.24.254 172.17.24.254 に ping を送信しています 32 バイトのデータ: 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 の ping 統計: パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、 ラウンド トリップの概算時間 (ミリ秒): 最小 = 1ms、最大 = 1ms、平均 = 1ms C:\WINDOWS\system32> C:\WINDOWS\system32>ping 172.17.24.15 172.17.24.15 に ping を送信しています 32 バイトのデータ: 172.17.24.15 からの応答: バイト数 =32 時間 =1ms TTL=128 172.17.24.15 からの応答: バイト数 =32 時間 =1ms TTL=128 172.17.24.15 からの応答: バイト数 =32 時間 =1ms TTL=128 172.17.24.15 からの応答: バイト数 =32 時間 =1ms TTL=128 172.17.24.15 の ping 統計: パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、 ラウンド トリップの概算時間 (ミリ秒): 最小 = 1ms、最大 = 1ms、平均 = 1ms C:\WINDOWS\system32>
[PC2のIPアドレスを手動設定した時]
PC1のARPキャッシュを確認すると、DHCPサーバのMACアドレスのみが学習されています。
PC2は、DHCPでIPアドレスが割り当てられていないため、CXスイッチのDHCPバインディングテーブルに情報が登録されず、その結果、インスペクションによってPC2から送信されるARPパケットは破棄されます。
C:\WINDOWS\system32>arp -a インターフェイス: 172.17.24.2 --- 0x18 インターネット アドレス 物理アドレス 種類 172.17.24.254 74-a2-e6-e7-dd-ca 動的 224.0.0.22 01-00-5e-00-00-16 静的 C:\WINDOWS\system32> C:\WINDOWS\system32>ping 172.17.24.15 172.17.24.15 に ping を送信しています 32 バイトのデータ: 172.17.24.2 からの応答: 宛先ホストに到達できません。 172.17.24.2 からの応答: 宛先ホストに到達できません。 172.17.24.15 の ping 統計: パケット数: 送信 = 2、受信 = 2、損失 = 0 (0% の損失)、 Ctrl+C ^C C:\WINDOWS\system32> C:\WINDOWS\system32>ping 172.17.24.254 172.17.24.254 に ping を送信しています 32 バイトのデータ: 172.17.24.254 からの応答: バイト数 =32 時間 =3ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255 172.17.24.254 の ping 統計: パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、 ラウンド トリップの概算時間 (ミリ秒): 最小 = 1ms、最大 = 3ms、平均 = 1ms C:\WINDOWS\system32>
show arp inspection statistics vlan コマンドでは、Droppedのカウントアップが確認できます。
6200# show dhcpv4-snooping binding MacAddress IP VLAN Interface Time-Left ----------------- --------------- ---- --------- ------------------- 84:af:ec:73:d9:c9 172.17.24.2 24 1/1/1 85935 6200# 6200# show arp inspection statistics vlan 24 ----------------------------------------------------------------- VLAN Name Forwarded Dropped ----------------------------------------------------------------- 24 VLAN24 293 167 ----------------------------------------------------------------- 6200#
6200# show events --------------------------------------------------- Event logs from current boot --------------------------------------------------- 2025-08-29T02:03:39.697617+09:00 6200 arpsecured[23147]: Event|10403|LOG_WARN|CDTR|1|ARP packet received from MAC 90:96:f3:49:0c:9a on VLAN 24, untrusted port 1/1/3 with ip 0.0.0.0 is dropped as there is no corresponding entry in the IP binding table. 2025-08-29T02:03:40.215801+09:00 6200 arpsecured[23147]: Event|10403|LOG_WARN|CDTR|1|ARP packet received from MAC 90:96:f3:49:0c:9a on VLAN 24, untrusted port 1/1/3 with ip 172.17.24.15 is dropped as there is no corresponding entry in the IP binding table. 2025-08-29T02:03:40.694065+09:00 6200 arpsecured[23147]: Event|10403|LOG_WARN|CDTR|1|ARP packet received from MAC 90:96:f3:49:0c:9a on VLAN 24, untrusted port 1/1/3 with ip 0.0.0.0 is dropped as there is no corresponding entry in the IP binding table. 2025-08-29T02:03:41.215727+09:00 6200 arpsecured[23147]: Event|10403|LOG_WARN|CDTR|1|ARP packet received from MAC 90:96:f3:49:0c:9a on VLAN 24, untrusted port 1/1/3 with ip 172.17.24.15 is dropped as there is no corresponding entry in the IP binding table. 2025-08-29T02:03:41.698083+09:00 6200 arpsecured[23147]: Event|10403|LOG_WARN|CDTR|1|ARP packet received from MAC 90:96:f3:49:0c:9a on VLAN 24, untrusted port 1/1/3 with ip 0.0.0.0 is dropped as there is no corresponding entry in the IP binding table. 6200#
#Blog #Wired
-------------------------------------------