[index] CentreCOM x510シリーズ・AT-IX5-28GPX コマンドリファレンス 5.4.3
モード: インターフェースモード
カテゴリー: L2スイッチング / DHCP Snooping
(config-if)# arp security violation {log & trap & link-down}
(config-if)# no arp security violation [log & trap & link-down]
対象ポートで登録済みDHCPクライアント以外からARPパケット(不正ARPパケット)を受信した場合、ARPセキュリティーの基本動作である不正ARPパケットの破棄に加え、指定したアクションを追加で実行するよう設定する。
no形式で実行した場合は、指定したアクションを追加実行の対象から除外する。no形式でアクションを指定しない場合は、すべてのアクションを追加実行の対象から除外する。
初期設定では、受信した不正ARPパケットを破棄するが、その他のアクションは実行しない。
本コマンドの設定は、対象ポートがDHCP SnoopingのUntrustedポートとして動作しており、なおかつ、ARPセキュリティー(arp securityコマンド)が有効であることが前提。
log |
ログメッセージを生成する | ||||
trap |
SNMPトラップを生成する | ||||
link-down |
ポートをリンクダウンさせる | ||||
■ ポート1.0.1-1.0.8において、登録済みDHCPクライアント以外からARPパケットを受信した場合に、SNMPトラップで通知し、ポートをリンクダウンするよう設定する。
awplus(config)# snmp-server enable trap dhcpsnooping ↓ awplus(config)# interface port1.0.1-port1.0.8 ↓ awplus(config-if)# arp security violation trap link-down ↓ |
■ link-downアクションでリンクダウンしたポートを復旧させるには、shutdownコマンドをno形式で実行すればよい。
■ trapアクションを使用する場合は、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「dhcpsnooping」を有効にしておく必要がある。
■ SNMPトラップの送信は1秒あたり1回に制限される。同一送信元MACアドレスから継続的に不正ARPパケットを受信した場合は、60秒に1回の間隔で送信される。
interface (グローバルコンフィグモード)
|
+- arp security violation(インターフェースモード)
arp security(インターフェースモード)
show arp security interface(非特権EXECモード)
show arp security statistics(非特権EXECモード)
show log(非特権EXECモード)
shutdown(インターフェースモード)
snmp-server enable trap(グローバルコンフィグモード)
(C) 2012 - 2014 アライドテレシスホールディングス株式会社
PN: 613-001763 Rev.F