日本語フォーラム

 View Only
Back to discussions
Expand all | Collapse all

[CX-Switch]ダイナミックARPインスペクションの設定(静的IPクライアントへの対応)

This thread has been viewed 9 times

  • 1.  [CX-Switch]ダイナミックARPインスペクションの設定(静的IPクライアントへの対応)

    Posted 29 days ago
    Edited by shige 29 days ago

    CXスイッチにおけるダイナミックARPインスペクション(DAI)は、DHCPスヌーピングによって生成・保持されるバインディング情報を利用します。
    DHCPを利用しない環境では、接続されるデバイス(クライアント)に対して手動でIPアドレスを設定する必要があります。
    しかし、この場合は、DHCPスヌーピングが動作しないため、バインディングテーブルが自動的に作成されません。
    そのため、このような環境では、手動でバインディングテーブルに必要な情報を追加(設定)する必要があります。



    【動作確認構成】

    image
    【設定】
    !
ipv4 source-binding 24 172.17.24.135 84:af:ec:73:d9:c9 1/1/1
!
    *DHCPスヌーピング、ARPインスペクションの設定については下記投稿をあわせて確認ください。
    [CX-Switch]ダイナミックARPインスペクションの設定と動作確認
    https://airheads.hpe.com/discussion/cx-switcharp

    【動作確認】
    CX# show ipv4 source-binding

  PORT            VLAN            MAC-ADDRESS        HW-STATUS  FROM      IPv4-ADDRESS
  --------------  --------------  -----------------  ---------  --------  ---------------
  1/1/1           24             84:af:ec:73:d9:c9  --         static    172.17.24.135

CX#


    PC1のARPキャッシュを確認するとDGWのMACアドレスを学習できています。

    C:\WINDOWS\system32>arp -a

インターフェイス: 172.17.24.135 --- 0x1a
  インターネット アドレス 物理アドレス           種類
  172.17.24.254         74-a2-e6-e7-dd-ca     動的
  224.0.0.22            01-00-5e-00-00-16     静的

インターフェイス: 172.17.100.55 --- 0x1b
  インターネット アドレス 物理アドレス           種類
  172.17.100.5          20-7b-d2-91-8e-20     動的
  224.0.0.22            01-00-5e-00-00-16     静的

C:\WINDOWS\system32>
C:\WINDOWS\system32>ping 172.17.24.254

172.17.24.254 に ping を送信しています 32 バイトのデータ:
172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255
172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255
172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255
172.17.24.254 からの応答: バイト数 =32 時間 =1ms TTL=255

172.17.24.254 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 1ms、最大 = 1ms、平均 = 1ms

C:\WINDOWS\system32>


    [CXスイッチでのデバッグ確認]

    CX# debug arpsecurity inspection
CX# show debug
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
module             sub_module                      severity   vlan  port       ip                                            mac               instance          vrf                              table                            column                           client                           ubt_zone
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
arpsecurity        arpsecurity_inspection          debug      ----- -----      -----                                         -----             -----             -----                            -----                            -----                            -----                            -----
CX#
CX# show debug buffer
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
show debug buffer
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2026-03-12:18:02:38.100311|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|[arpsec_dai_recv_proc] Received ARP packet.
2026-03-12:18:02:38.100348|arpsecured|LOG_INFO|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|ARP Packet received on L2 port, action [2] reforward.
2026-03-12:18:02:38.100376|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|[arpsec_dai_recv_proc] Invoke DAI stats update event
2026-03-12:18:02:38.100400|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|Vlan Hmap count : 1
2026-03-12:18:02:38.100423|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|arpsec_update_dai_stats_per_vlan : DAI stats event create for VLAN 24
2026-03-12:18:02:38.101286|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|[arpsec_dai_recv_proc] Received ARP packet.
2026-03-12:18:02:38.101313|arpsecured|LOG_DEBUG|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|arpsec_dai_validate_pkt: DAI trusted port 1/1/24
2026-03-12:18:02:38.101333|arpsecured|LOG_INFO|CDTR|1|ARPSECURITY|ARPSECURITY_INSPECTION|ARP Packet received on L2 port, action [2] reforward.
CX#


    【その他参考情報】

    *ipv4 source-bindingコマンド

    https://arubanetworking.hpe.com/techdocs/AOS-CX/AOSCX-CLI-Bank/cli_6300-6400/Content/Chp_IP_sou_LD/IPv4_sou_LD_cmds/ipv-sou-bin-840-10-cpe.htm?Highlight=ipv4%20source-binding

    #Blog #Wired



Related Content