DHCP Authorized ARPは、DHCPによって割り当てたIPアドレス以外からの接続を認めない機能です。 無線環境において、認証されていないユーザがネットワークに接続するのを拒否する目的などで使用されます。
Authorized ARP
設定方法
ARP requestを制限するinterfaceに対して、”arp authorized”コマンドを投入します。
Router(config)# interface <interface> Router(config-if)# arp authorized
ARP requestを許可するDHCP poolに対して”update arp”コマンドを投入します。
Router(config)# ip dhcp pool <pool> Router(dhcp-config)# update arp
以上の設定を投入すると、DHCP serverは以下のように動作します。
- secure ARP entryにIPアドレスを載せる前に、DHCPによって割り当てたアドレスかどうかをチェックします。
- secure ARP entryに載っているIPアドレスは定期的にARPを送信し、生存確認を行います。
構成概要
R2をDHCP clinetとして、R3をDHCP Serverとして設定します。
e0/0
+------+.1
| R1 +----┐
+------+ │ +------+
├----+ R3 |
+------+ │ .3+------+
| R2 +----┘ e0/0
+------+.dhcp
e0/0
192.168.123.0/24
[R1] interface Ethernet0/0 ip address 192.168.123.1 255.255.255.0 ! [R2] interface Ethernet0/0 ip address dhcp [R3] ip dhcp excluded-address 192.168.123.3 192.168.123.254 ip dhcp excluded-address 192.168.123.1 ! ip dhcp pool VLAN123 network 192.168.123.0 255.255.255.0 update arp ! interface Ethernet0/0 ip address 192.168.123.3 255.255.255.0 arp authorized
動作確認
DHCPによってアドレスを割り当てたR2, R3間は疎通可能であるのに対し、staticにアドレスを割り当てたR1, R3間は疎通不可である事が分かります。
[R3] R3#ping 192.168.123.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/35/84 ms R3# R3# R3# R3#ping 192.168.123.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) R3#
DHCP serverであるR3のARP entryを確認すると、R1(192.168.123.1)に関するエントリが存在しない事が分かります。
[R3] R3#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 192.168.123.3 - cc02.04dc.0000 ARPA Ethernet0/0 Internet 192.168.123.2 12 cc01.04dc.0000 ARPA Ethernet0/0 R3#
static ARP
動作確認
Authorized ARPを有効にしている環境でも、Webサーバなど業務用件上staticにIPアドレスを割り当てざるを得ない状況もあると思います。そのような場合は、DHCP serverでstaticにARP entryを定義する事で疎通可能にする事ができます。
上記のような要件に対応できるかを考察するために、R1, R3間の疎通を試みます。まず、staticに設定されたR1のMACアドレスを調査します。
R1#show interfaces Ethernet 0/0
Ethernet0/0 is up, line protocol is up
Hardware is AmdP2, address is cc00.04dc.0000 (bia cc00.04dc.0000)
Internet address is 192.168.123.1/24
MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
<omitted>
DHCP serverであるR3にstaticなARP entryを追加し、R1, R3間で疎通可能になる事を確認します。
R3(config)#arp 192.168.123.1 cc00.04dc.0000 arpa R3(config)# R3(config)#do ping 192.168.123.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.123.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/33/76 ms R3(config)#
