はじめに

本ドキュメントでは、Catalyst 1000/2960L 上、MAC ACL による ARP フィルタの仕様を紹介します。

MAC ACL による ARP フィルタの仕様変更

Catalyst 1000/2960L では、MAC ACL による ARP フィルタは下記の仕様となります。

- 15.2(7)E より前の Train、15.2(7)E1、15.2(7)E2

MAC ACL により、ARP トラフィックをフィルタ/ブロックする

- 15.2(7)E3 及び以降

MAC ACL により、ARP トラフィックをフィルタ/ブロックしない

実機例

* Catalyst 1000/2960L が同じ仕様となるため、ここではCatalyst 1000の例のみ挙げます。

* 15.2(7)E2 と 15.2(7)E3 のバージョンで検証を実施しました。

Step 1：通信ができていることを確保する

C1000#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/3 ms

C1000#ping 10.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 2/7/22 ms

ARP Table を確認する

C1000#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.1                1   d4ad.bdda.e47a  ARPA   Vlan10
Internet  10.1.1.2                -   3c41.0e4f.51c2  ARPA   Vlan10
Internet  10.1.1.3                0   3c41.0e4f.0ac2  ARPA   Vlan10

Step 2：CiscoSW1 MAC の 「d4ad.bdda.e47a」 をブロックするための MAC ACL を設定する

C1000上:

mac access-list extended MACTEST
 deny d4ad.bd00.0000 0000.00ff.ffff any
 permit any any

interface Gi1/0/3
mac access-group MACTEST in

Step 3：C1000 上既存の ARP Table をクリアする

interface vlan 10 shut/no shutよりclear ARP

C1000(config)#int vlan 10
C1000(config-if)#shut
C1000(config-if)#no shut

C1000#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.2                -   3c41.0e4f.51c2  ARPA   Vlan10

Step 4： ARP Table クリア後、再度疎通性を確認

場合 1 : C1000 が 15.2(7)E2 を利用する

CiscoSW1からC1000 へ Ping を実施

CiscoSW1#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

CiscoSW1 からCiscoSW2 へ Ping を実施

CiscoSW1#ping 10.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

ARP Tableでは、対象ARP「d4ad.bdda.e47a」を学習していない

C1000#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.2                -   3c41.0e4f.51c2  ARPA   Vlan10

場合 2 : C1000 が 15.2(7)E3 を利用する

CiscoSW1からC1000 へ Ping を実施

CiscoSW1#ping 10.1.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 2/2/3 ms

CiscoSW1 からCiscoSW2 へ Ping を実施

CiscoSW1#ping 10.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 2/2/3 ms

C1000 の ARP Table では、対象ARP「d4ad.bdda.e47a」が改めて学習された

C1000#show arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  10.1.1.1                5   d4ad.bdda.e47a  ARPA   Vlan10
Internet  10.1.1.2                -   3c41.0e4f.51c2  ARPA   Vlan10
Internet  10.1.1.3                0   3c41.0e4f.0ac2  ARPA   Vlan10

参考情報

Security Configuration Guide, Cisco IOS Release 15.2(7)Ex (Catalyst 1000 Switches)

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst1000/software/releases/15_2_7_e/configuration_guides/sec/b_1527e_security_c1000_cg/configuring_ipv4_acls.html#reference_tpc_tkp_vjb

Restrictions for Configuring IPv4 Access Control Lists

MAC ACLs on a Layer 2 Interface

In Cisco IOS Release 15.2(7)E3 and later releases, MAC ACLs do not filter or block Address Resolution Protocol (ARP) traffic, but allows all ARP traffic by default.

Security Configuration Guide, Cisco IOS Release 15.2(7)Ex (Catalyst 2960-L Switches)

https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960l/software/15-2_7_e/configuration_guide/sec/b_1527e_security_2960l_cg/configuring_ipv4_access_control_lists.html

Restrictions for Configuring IPv4 Access Control Lists

MAC ACLs on a Layer 2 Interface

MAC ACLs do not filter or block Address Resolution Protocol (ARP) traffic but allows all ARP traffic by default.