arp security violation
- モード
- インターフェースモード
- カテゴリー
- L2スイッチング / DHCP Snooping
構文
(config-if)# arp security violation {log & trap & link-down}
(config-if)# no arp security violation [log & trap & link-down]
コマンド説明
対象ポートで登録済みDHCPクライアント以外からARPパケット(不正ARPパケット)を受信した場合、ARPセキュリティーの基本動作である不正ARPパケットの破棄に加え、指定したアクションを追加で実行するよう設定する。no形式で実行した場合は、指定したアクションを追加実行の対象から除外する。no形式でアクションを指定しない場合は、すべてのアクションを追加実行の対象から除外する。
初期設定では、受信した不正ARPパケットを破棄するが、その他のアクションは実行しない。
本コマンドの設定は、対象ポートがDHCP SnoopingのUntrustedポートとして動作しており、なおかつ、ARPセキュリティー(arp securityコマンド)が有効であることが前提。
パラメーター
log- ログメッセージを生成する
trap- SNMPトラップを生成する
link-down- ポートをリンクダウンさせる
使用例
ポート1.0.1-1.0.8において、登録済みDHCPクライアント以外からARPパケットを受信した場合に、SNMPトラップで通知し、ポートをリンクダウンするよう設定する。awplus(config)# snmp-server enable trap dhcpsnooping awplus(config)# interface port1.0.1-port1.0.8 awplus(config-if)# arp security violation trap link-down
注意・補足事項
link-downアクションでリンクダウンしたポートを復旧させるには、shutdownコマンドをno形式で実行すればよい。trapアクションを使用する場合は、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「dhcpsnooping」を有効にしておく必要がある。
SNMPトラップの送信は1秒あたり1回に制限される。同一送信元MACアドレスから継続的に不正ARPパケットを受信した場合は、60秒に1回の間隔で送信される。