Verifica della configurazione post-MAB di Monitoraggio dispositivi IP sullo switch

Opzioni per il download

  • PDF     (955.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:18 luglio 2024
ID documento:222132

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto il comportamento della registrazione dei dispositivi IP dopo la configurazione MAB e le possibili soluzioni per i problemi di comunicazione dopo l'autenticazione MAB.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Configurazione di Cisco Identity Services Engine
    • Configurazione di Cisco Catalyst

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • Patch 1 Identity Services Engine Virtual 3.3
    • C1000-48FP-4G-L 15.2(7)E9

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Diagramma

    Questo documento introduce la configurazione e la verifica dell'autenticazione MAB in questo diagramma.

    Esempio di reteEsempio di rete

    Premesse

    Anche se l'autenticazione MAB ha esito positivo, dopo il riavvio (o lo scollegamento e la reinstallazione del cavo) di Win10 PC1, non è possibile eseguire correttamente il ping del gateway (Win10 PC3). Questo comportamento imprevisto è dovuto a un conflitto di indirizzi IP in Win10 PC1.
    Il rilevamento dei dispositivi IP e le relative sonde ARP sono abilitati per impostazione predefinita sull'interfaccia configurata con MAB. Quando i PC Windows sono collegati a uno switch Catalyst con il rilevamento dei dispositivi IP abilitato, è possibile che il lato Windows rilevi un conflitto di indirizzi IP. Questo si verifica perché una sonda ARP (con indirizzo IP mittente di 0.0.0.0) viene ricevuta durante la finestra di rilevamento di questo meccanismo e viene trattata come un conflitto di indirizzi IP.

    Configurazione

    In questo esempio di configurazione viene illustrato il comportamento del rilevamento dei dispositivi IP dopo la configurazione MAB.

    Configurazione in C1000

    Questa è la configurazione minima nella CLI di C1000.

    aaa new-model

    radius server ISE33
    address ipv4 1.x.x.191
    key cisco123

    aaa group server radius AAASERVER
    server name ISE33

    aaa authentication dot1x default group AAASERVER
    aaa authorization network default group AAASERVER
    aaa accounting dot1x default start-stop group AAASERVER
    dot1x system-auth-control

    interface Vlan12
    ip address 192.168.10.254 255.255.255.0

    interface Vlan14
    ip address 1.x.x.101 255.0.0.0

    interface GigabitEthernet1/0/1
    Switch port access vlan 14
    Switch port mode access

    interface GigabitEthernet1/0/3
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/4
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/2
    Switch port access vlan 12
    Switch port mode access
    authentication host-mode multi-auth
    authentication port-control auto
    spanning-tree portfast edge
    mab

    // for packet capture
    monitor session 1 source interface Gi1/0/2
    monitor session 1 destination interface Gi1/0/3

    Configurazione in ISE

    Passaggio 1. Aggiungi dispositivo

    Selezionare Amministrazione > Dispositivi di rete, quindi fare clic sul pulsante Aggiungi per aggiungere un dispositivo C1000.

    • Nome : C1000
    • Indirizzo IP : 1.x.x.101

    Aggiungi dispositivoAggiungi dispositivo

    Passaggio 2. Aggiungi endpoint

    Passare a Visibilità contesto > Endpoint, fare clic su Aggiungi pulsante per aggiungere MAC di Endpoint.

    Aggiungi endpointAggiungi endpoint

    Passaggio 3. Aggiungi set di criteri

    Passare a Criterio > Set di criteri, fare clic su + per aggiungere un set di criteri.

    • Nome set di criteri : C1000_MAB
    • Descrizione : per test principale
    • Condizioni : Wired_MAB
    • Protocolli consentiti/sequenza server: accesso alla rete predefinito

    Aggiungi set di criteriAggiungi set di criteri

    Passaggio 4. Aggiungi criterio di autenticazione

    Passare a Set di criteri e fare clic su C1000_MAB per aggiungere un criterio di autenticazione.

    • Nome regola : MAB_authentication
    • Condizioni : Wired_MAB
    • Uso : Endpoint interni

    Aggiungi criterio di autenticazioneAggiungi criterio di autenticazione

    Passaggio 5. Aggiungi criteri di autorizzazione

    Passare a Set di criteri e fare clic su C1000_MAB per aggiungere un criterio di autorizzazione.

    • Nome regola : MAB_authorization
    • Condizioni : Network_Access_Authentication_Passed
    • Risultati : PermitAccess

    Aggiungi criterio di autorizzazioneAggiungi criterio di autorizzazione

    Verifica

    Prima della configurazione del MAB

    Eseguire il comandoshow ip device tracking all per verificare che la funzionalità di rilevamento dei dispositivi IP sia disattivata.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Disabled
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Dopo la configurazione di MAB

    Passaggio 1. Prima dell'autenticazione MAB

    Eseguire il comando Runshow ip device tracking all per verificare che la funzionalità di rilevamento dei dispositivi IP sia abilitata.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Passaggio 2. Dopo autenticazione MAB

    Inizializzare l'autenticazione MAB da Win10 PC1 ed eseguire show ip device tracking all il comando per confermare lo stato di rilevamento dei dispositivi IP su Gigabit Ethernet 1/0/2.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Passaggio 3. Conferma sessione di autenticazione

    Eseguire il comandoshow authentication sessions interface GigabitEthernet1/0/2 details per confermare la sessione di autenticazione MAB.

    Switch #show authentication sessions interface GigabitEthernet1/0/2 details 
    Interface: GigabitEthernet1/0/2
    MAC Address: b496.9115.84cb
    IPv6 Address: Unknown
    IPv4 Address: 192.168.10.10
    User-Name: B4-96-91-15-84-CB
    Status: Authorized
    Domain: DATA
    Oper host mode: multi-auth
    Oper control dir: both
    Session timeout: N/A
    Restart timeout: N/A
    Periodic Acct timeout: N/A
    Session Uptime: 114s
    Common Session ID: 01C200650000001D62945338
    Acct Session ID: 0x0000000F
    Handle: 0xBE000007
    Current Policy: POLICY_Gi1/0/2

    Local Policies:
    Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

    Server Policies:


    Method status list: 
    Method State

    mab Authc Success

    Passaggio 4. Conferma registro dinamico Radius

    Selezionare Operations > RADIUS > Live Login nella GUI di ISE, quindi confermare il log attivo per l'autenticazione MAB.

    Verifica_001

    Passaggio 5. Conferma dettagli pacchetto di rilevamento dispositivi IP

    Eseguire il comando runshow interfaces GigabitEthernet1/0/2 per confermare l'indirizzo MAC di Gigabit Ethernet 1/0/2.

    Switch #show interfaces GigabitEthernet1/0/2
    GigabitEthernet1/0/2 is up, line protocol is up (connected) 
    Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)

    Nell'acquisizione dei pacchetti, confermare che le sonde ARP vengano inviate da Gigabit Ethernet 1/0/2 ogni 30 secondi.

    Sonde ARPSonde ARP

    Nell'acquisizione del pacchetto, confermare che l'indirizzo IP del mittente delle sonde ARP sia 0.0.0.0.

    Dettagli delle sonde ARPDettagli delle sonde ARP

    Problema

    È possibile che la funzionalità di rilevamento dei dispositivi IP dello switch Catalyst causi un conflitto di indirizzi IP su un PC Windows quando invia una sonda ARP con indirizzo IP del mittente pari a 0.0.0.0.

    Soluzioni possibili

    Per le possibili soluzioni, vedere Risoluzione dei messaggi di errore relativi a un indirizzo IP duplicato 0.0.0.0.
    Di seguito sono riportati alcuni esempi di ciascuna soluzione testata in un laboratorio Cisco per ulteriori dettagli.

    1. Ritardare l'invio delle sonde ARP

    Eseguire il comandoip device tracking probe delay <1-120> Arp per ritardare l'invio delle richieste ARP dallo switch. Questo comando non consente allo switch di inviare una sonda per <1-120> secondi quando rileva un collegamento UP/flap, riducendo al minimo la possibilità di inviare la sonda mentre l'host sull'altro lato del collegamento controlla la presenza di indirizzi IP duplicati. 

    Questo è un esempio di configurazione del ritardo della sonda ARP per 10 secondi.

    Switch (config)#ip device tracking probe delay 10

    Eseguire il comandoshow ip device tracking all per confermare l'impostazione del ritardo.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 10
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    2. Configurazione dell'origine automatica per le sonde ARP

    Eseguire il comandoip device tracking probe auto-source fallback <host-ip> <mask> [override] per modificare l'indirizzo IP di origine delle sonde ARP. Con questo comando, l'origine IP delle sonde ARP non è 0.0.0.0, ma è l'indirizzo IP dell'interfaccia virtuale dello switch (SVI) nella VLAN in cui risiede l'host oppure viene calcolata automaticamente se per la SVI non è impostato un indirizzo IP.

    Questo è un esempio di configurazione di <host-ip> su 0.0.0.200.

    Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override

    Motivo 1. IP di SVI configurato

    In questo documento, poiché l'indirizzo IP SVI (l'indirizzo IP della vlan12) è impostato per l'interfaccia (Gigabit Ethernet1/0/2) che esegue l'autenticazione MAB, l'indirizzo IP di origine della sonda ARP viene modificato in 192.168.10.254.

    Eseguire il comando Runshow ip device tracking all per confermare l'impostazione di origine automatica.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Nell'acquisizione dei pacchetti, confermare che le sonde ARP vengano inviate da Gigabit Ethernet 1/0/2 ogni 30 secondi.

    Sonde ARPSonde ARP

    Nell'acquisizione del pacchetto, confermare che l'indirizzo IP del mittente delle sonde ARP sia 192.168.10.254, ossia l'IP della SVI (vlan 12).

    Dettagli delle sonde ARPDettagli delle sonde ARP

    Motivo 2. IP di SVI non configurato

    In questo documento, poiché la destinazione della sonda ARP è 192.168.10.10/24, se l'indirizzo IP SVI non è configurato, l'indirizzo IP di origine è 192.168.10.200.

    Eliminare l'indirizzo IP della SVI.

    Switch (config)#int vlan 12
    Switch (config-if)#no ip address

    Eseguire il comando Runshow ip device tracking all per confermare l'impostazione di origine automatica.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Nell'acquisizione dei pacchetti, confermare che le sonde ARP vengano inviate da Gigabit Ethernet 1/0/2 ogni 30 secondi.

    Sonde ARPSonde ARP

    Nell'acquisizione del pacchetto, confermare che l'indirizzo IP del mittente delle sonde ARP sia stato modificato in 192.168.10.200. 

    Dettagli delle sonde ARPDettagli delle sonde ARP

    3. Disabilitazione forzata del rilevamento dei dispositivi IP

    Eseguire il ip device tracking maximum 0  comando per disabilitare il rilevamento dei dispositivi IP.

    note-icon

    Nota: questo comando non disabilita realmente il rilevamento dei dispositivi IP, ma limita a zero il numero di host rilevati.

     
    Switch (config)#int g1/0/2
    Switch (config-if)#ip device tracking maximum 0

    Eseguire show ip device tracking all il comando per confermare lo stato del rilevamento dei dispositivi IP su Gigabit Ethernet 1/0/2.

    Switch #show ip device tracking all
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Riferimento

    Risoluzione dei problemi relativi ai messaggi di errore Duplica indirizzo IP 0.0.0.0

    Verifica delle operazioni dei dispositivi IPDT

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    18-Jul-2024
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Jian Zhang
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti