소개
이 문서에서는 MAB 컨피그레이션 후 IP 디바이스 추적의 동작 및 MAB 인증 후 통신 문제에 대한 가능한 해결책을 설명합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco Identity Services Engine 구성
- Cisco Catalyst 구성
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Identity Services Engine Virtual 3.3 패치 1
- C1000-48FP-4G-L 15.2(7)E9
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
다이어그램
이 문서에서는 이 다이어그램에서 MAB 인증을 위한 컨피그레이션 및 확인을 소개합니다.
네트워크 다이어그램
배경 정보
MAB 인증이 성공하더라도 Win10 PC1을 재부팅(또는 케이블 플러그를 뽑았다가 재부팅)한 후에는 게이트웨이(Win10 PC3)를 ping할 수 없습니다. 이 예기치 않은 동작은 Win10 PC1의 IP 주소 충돌 때문입니다.
IP 디바이스 추적 및 해당 ARP 프로브는 MAB로 구성된 인터페이스에서 기본적으로 활성화됩니다. Windows PC가 IP 장치 추적이 활성화된 Catalyst 스위치에 연결된 경우 Windows 측에서 IP 주소 충돌을 감지할 가능성이 있습니다. 이는 이 메커니즘의 탐지 윈도우 동안 발신자 IP 주소가 0.0.0.0인 ARP 프로브가 수신되어 IP 주소 충돌로 처리되기 때문입니다.
설정
이 컨피그레이션 예에서는 MAB 컨피그레이션 후 IP 디바이스 추적의 동작을 보여줍니다.
C1000의 컨피그레이션
이는 C1000 CLI의 최소 컨피그레이션입니다.
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
ISE의 컨피그레이션
1단계. 장치 추가
Administration(관리) > Network Devices(네트워크 디바이스)로 이동하고 Add(추가) 버튼을 클릭하여 C1000 디바이스를 추가합니다.
- 이름: C1000
- IP 주소: 1.x.x.101
장치 추가
2단계. 엔드포인트 추가
Context Visibility(상황 가시성) > Endpoints(엔드포인트)로 이동하고 Add(추가) 버튼을 클릭하여 엔드포인트의 MAC을 추가합니다.
엔드포인트 추가
3단계. 정책 집합 추가
Policy(정책) > Policy Sets(정책 세트)로 이동하고 +를 클릭하여 정책 세트를 추가합니다.
- 정책 집합 이름: C1000_MAB
- 설명 : mab 테스트용
- 조건: Wired_MAB
- 허용되는 프로토콜/서버 시퀀스: 기본 네트워크 액세스
정책 집합 추가
4단계. 인증 정책 추가
Policy Sets(정책 집합)로 이동하여 C1000_MAB를 클릭하여 인증 정책을 추가합니다.
- 규칙 이름: MAB_authentication
- 조건: Wired_MAB
- 사용: 내부 엔드포인트
인증 정책 추가
5단계. 권한 부여 정책 추가
Policy Sets(정책 집합)로 이동하고 C1000_MAB를 클릭하여 권한 부여 정책을 추가합니다.
- 규칙 이름 : MAB_authorization
- 조건: Network_Access_Authentication_Passed
- 결과: PermitAccess
권한 부여 정책 추가
다음을 확인합니다.
MAB 컨피그레이션 전
IP 디바이스 추적 기능이 비활성화되었는지 확인하려면 명령을 실행합니다show ip device tracking all.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
MAB 컨피그레이션 후
1단계. MAB 인증 전
IP 디바이스 추적 기능이 활성화되어 있는지 확인하려면 명령을 실행합니다show ip device tracking all.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
2단계. MAB 인증 후
Win10 PC1에서 MAB 인증을 초기화하고 명령을 실행하여 GigabitEthernet1/0/2에서 IP 장치 추적의 상태를 확인합니다show ip device tracking all.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
3단계. 인증 세션 확인
명령을show authentication sessions interface GigabitEthernet1/0/2 details 실행하여 MAB 인증 세션을 확인합니다.
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc Success
4단계. Radius 라이브 로그 확인
ISE GUI에서 Operations(운영) > RADIUS > Live Log(라이브 로그)로 이동하여 MAB 인증을 위한 라이브 로그를 확인합니다.
5단계. IP 디바이스 추적의 패킷 세부사항 확인
명령을 show interfaces GigabitEthernet1/0/2 실행하여 GigabitEthernet1/0/2의 MAC 주소를 확인합니다.
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)
패킷 캡처에서 ARP 프로브가 30초마다 GigabitEthernet1/0/2에 의해 전송되는지 확인합니다.
ARP 프로브
패킷 캡처에서 ARP 프로브의 발신자 IP 주소가 0.0.0.0인지 확인합니다.
ARP 프로브의 세부 정보
문제
Catalyst Switch의 IP 디바이스 추적 기능은 발신자 IP 주소가 0.0.0.0인 ARP 프로브를 전송할 때 Windows PC에서 IP 주소 충돌을 일으킬 수 있습니다.
가능한 솔루션
가능한 해결 방법은 Troubleshoot Duplicate IP Address 0.0.0.0 Error Messages(중복 IP 주소 0.0.0.0 오류 메시지 트러블슈팅)를 참조하십시오.
자세한 내용은 Cisco Lab에서 테스트한 각 솔루션의 예를 참조하십시오.
1. ARP 프로브 전송 지연
스위치에서 ARP 프로브의 전송을 지연하려면 명령을 실행합니다ip device tracking probe delay <1-120>. 이 명령은 스위치가 링크 UP/플랩을 탐지할 때 <1-120>초 동안 프로브를 전송하도록 허용하지 않습니다. 이는 링크의 다른 쪽에 있는 호스트가 중복 IP 주소를 확인하는 동안 프로브를 전송할 가능성을 최소화합니다.
이는 ARP 프로브의 지연을 10초로 구성하는 예입니다.
Switch (config)#ip device tracking probe delay 10
명령을 실행하여 지연 설정을 확인합니다show ip device tracking all.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
2. ARP 프로브에 대한 자동 소스 구성
ARP ip device tracking probe auto-source fallback <host-ip> <mask> [override] 프로브의 소스 IP 주소를 변경하려면 명령을 실행합니다. 이 명령을 사용하면 ARP 프로브의 IP 소스가 0.0.0.0이 아니라 호스트가 상주하는 VLAN에 있는 SVI(Switch Virtual Interface)의 IP 주소이거나 SVI에 IP 주소가 설정되어 있지 않으면 자동으로 계산됩니다.
<host-ip>를 0.0.0.200으로 구성하는 예입니다.
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override
패턴 1. SVI의 IP가 구성됨
이 문서에서는 MAB 인증을 수행하는 인터페이스(GigabitEthernet1/0/2)에 대해 SVI IP 주소(vlan12의 IP 주소)를 설정하므로 ARP 프로브의 소스 IP 주소가 192.168.10.254로 변경됩니다.
show ip device tracking all 명령을 실행하여 자동 소스의 설정을 확인합니다.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
패킷 캡처에서 ARP 프로브가 30초마다 GigabitEthernet1/0/2에 의해 전송되는지 확인합니다.
ARP 프로브
패킷 캡처에서 ARP 프로브의 발신자 IP 주소가 SVI(vlan 12)의 IP인 192.168.10.254인지 확인합니다.
ARP 프로브의 세부 정보
패턴 2. SVI의 IP가 구성되지 않음
이 문서에서는 ARP 프로브의 대상이 192.168.10.10/24이므로 SVI IP 주소가 구성되지 않은 경우 소스 IP 주소는 192.168.10.200입니다.
SVI의 IP 주소를 삭제합니다.
Switch (config)#int vlan 12
Switch (config-if)#no ip address
show ip device tracking all 명령을 실행하여 자동 소스의 설정을 확인합니다.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
패킷 캡처에서 ARP 프로브가 30초마다 GigabitEthernet1/0/2에 의해 전송되는지 확인합니다.
ARP 프로브
패킷 캡처에서 ARP 프로브의 발신자 IP 주소가 192.168.10.200으로 변경되었는지 확인합니다.
ARP 프로브의 세부 정보
3. IP 장치 추적을 강제로 비활성화합니다.
IP ip device tracking maximum 0 디바이스 추적을 비활성화하려면 명령을 실행합니다.
참고: 이 명령은 IP 디바이스 추적을 실제로 비활성화하지는 않지만 추적되는 호스트 수를 0으로 제한합니다.
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0
GigabitEthernetshow ip device tracking all1/0/2에서 IP 디바이스 추적의 상태를 확인하려면 명령을 실행합니다.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
참조
중복 IP 주소 0.0.0.0 오류 메시지 트러블슈팅
IPDT 장치 작업 확인