Controleer IP-apparaattracering na de MAB-configuratie op de Switch
Inhoud
Inleiding
Dit document beschrijft het gedrag van IP-apparaattracering na MAB-configuratie en mogelijke oplossingen voor communicatieproblemen na MAB-verificatie.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Configuratie van Cisco Identity Services Engine
- Configuratie van Cisco Catalyst
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Identity Services Engine virtuele 3.3-patch 1
- C100-48FP-4G-L 15.2(7)E9 switch
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Diagram
Dit document introduceert de configuratie en verificatie voor MAB-verificatie in dit diagram.
Netwerkdiagram
Achtergrondinformatie
Ondanks dat MAB-verificatie slaagt, na het opnieuw opstarten (of het loskoppelen en opnieuw aansluiten van de kabel) Win10 PC1, kan het niet de gateway (Win10 PC3) succesvol pingen. Dit onverwachte gedrag is het gevolg van een IP-adresconflict op Win10 PC1.
IP-apparaattracering en de ARP-sondes zijn standaard ingeschakeld op de interface die is geconfigureerd MAB. Wanneer Windows PC is verbonden met een Catalyst-Switch en IP-apparaattracering is ingeschakeld, is het mogelijk dat Windows een IP-adresconflict detecteert. Dit komt voor omdat een ARP-sonde (met een IP-adres van de afzender van 0.0.0.0) wordt ontvangen tijdens het detectievenster van dit mechanisme, het wordt behandeld als een IP-adresconflict.
Configuratie
Dit configuratievoorbeeld toont het gedrag aan van IP apparaat het volgen na configuratie MAB.
Configuratie in C1000
Dit is de minimale configuratie in C1000 CLI.
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
Configuratie in ISE
Stap 1. Apparaat toevoegen
Navigeer naar Beheer > Netwerkapparaten en klik op de knop Toevoegen om C1000-apparaat toe te voegen.
- Naam : C1000
- IP-adres: 1.x.x.101
Apparaat toevoegen
Stap 2. Endpoint toevoegen
Navigeer naar Context Visibility > Endpoints, klik op de knop Add om MAC van Endpoint toe te voegen.
Endpoint toevoegen
Stap 3. Beleidsset toevoegen
Navigeer naar Policy > Policy Sets, klik op + om een policy set toe te voegen.
- Naam reeks beleid : C1000_MAB
- Beschrijving : voor mab test
- Voorwaarden: Wired_MAB
- Toegestane protocollen/serverreeks: standaard netwerktoegang
Beleidsset toevoegen
Stap 4. Verificatiebeleid toevoegen
Navigeer naar Policy Sets, klik op C1000_MAB om een verificatiebeleid toe te voegen.
- Regel Naam: MAB_authenticatie
- Voorwaarden: Wired_MAB
- Gebruik: interne endpoints
Verificatiebeleid toevoegen
Stap 5. Toepassingsbeleid toevoegen
Navigeer naar Policy Sets, klik op C1000_MAB om een autorisatiebeleid toe te voegen.
- Regel Naam: MAB_autorisatie
- Voorwaarden: Network_Access_Authentication_Passed
- Resultaten: PermitAccess
Toepassingsbeleid toevoegen
Verifiëren
Vóór configuratie van MAB
Voer de opdrachtshow ip device tracking all uit om te bevestigen dat de functie voor het volgen van IP-apparaten is uitgeschakeld.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------Na configuratie van MAB
Stap 1. Vóór MAB-verificatie
Voer de opdracht uitshow ip device tracking all om te bevestigen dat de functie voor het volgen van IP-apparaten is ingeschakeld.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2Stap 2. Na MAB-verificatie
Stap 2. Na MAB-verificatieInitialiseer MAB-verificatie van Win10 PC1 en voer de opdracht uitshow ip device tracking all om de status van het volgen van IP-apparaten op Gigabit Ethernet1/0/2 te bevestigen.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2Stap 3. Verificatiesessie bevestigen
Stap 3. Verificatiesessie bevestigenshow authentication sessions interface GigabitEthernet1/0/2 details Voer de opdracht uit om de MAB-verificatiesessie te bevestigen.
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc SuccessStap 4. Radius live log bevestigen
Stap 4. Radius live log bevestigenNavigeer naar Operations > RADIUS > Live Logs in ISE GUI en bevestig het live log voor MAB-verificatie.
Stap 5. Packet Detail van IP-apparaattracering bevestigen
Stap 5. Packet Detail van IP-apparaattracering bevestigenStart show interfaces GigabitEthernet1/0/2 de opdracht om het MAC-adres van Gigabit Ethernet1/0/2 te bevestigen.
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)Bevestig in de pakketopname dat ARP-sondes door Gigabit Ethernet1/0/2 elke 30 seconden worden verzonden.
ARP-tests
Bevestig in de pakketopname dat het IP-adres van de afzender van ARP-tests 0.0.0.0 is.
Detail van ARP-tests
Probleem
ProbleemEr is een mogelijkheid dat de IP-apparaattraceringsfunctie van de Catalyst Switch een IP-adresconflict op een Windows-pc kan veroorzaken wanneer er een ARP-sonde met een IP-adres van de afzender van 0,0,0,0 wordt verzonden.
Mogelijke oplossingen
Mogelijke oplossingenRaadpleeg Probleemoplossing Duplicaat IP-adres 0.0.0.0 voor mogelijke oplossingen.
Hier zijn voorbeelden van elke oplossing die in een Cisco-lab is getest voor meer informatie.
1. Vertraging bij het verzenden van ARP-tests
1. Vertraging bij het verzenden van ARP-testsStart ip device tracking probe delay <1-120> de opdracht om het verzenden van ARP-probes vanaf de Switch uit te stellen. Met deze opdracht kan een Switch gedurende <1-120> seconden geen sonde verzenden wanneer hij een link UP/flap detecteert, waardoor de mogelijkheid om de sonde te laten verzenden wordt geminimaliseerd terwijl de host aan de andere kant van de link de dubbele IP-adressen controleert.
Dit is een voorbeeld om de vertraging van ARP sonde voor 10s te configureren.
Switch (config)#ip device tracking probe delay 10Start de opdrachtshow ip device tracking all om de instelling van de vertraging te bevestigen.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/22. Config auto-bron voor ARP-tests
2. Config auto-bron voor ARP-testsStart ip device tracking probe auto-source fallback <host-ip> <mask> [override] opdracht om het IP-bronadres voor ARP-tests te wijzigen. Met deze opdracht is de IP-bron van ARP-tests niet 0.0.0.0, maar is het het IP-adres van Switch Virtual Interface (SVI) in het VLAN waar de host zich bevindt, of wordt het automatisch berekend als de SVI geen IP-adresset heeft.
Dit is een voorbeeld om de <host-ip> naar 0.0.0.200 te configureren.
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 overridePatroon 1. IP van SVI is geconfigureerd
Patroon 1. IP van SVI is geconfigureerdIn dit document is het IP-adres van de SVI (het IP-adres van vlan12) ingesteld voor de interface (Gigabit Ethernet1/0/2) die MAB-verificatie uitvoert, zodat het IP-adres van de bron voor de ARP-sonde is gewijzigd in 192.168.10.254.
Start de opdrachtshow ip device tracking all om de instelling van de automatische bron te bevestigen.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2Bevestig in de pakketopname dat ARP-sondes door Gigabit Ethernet1/0/2 elke 30 seconden worden verzonden.
ARP-tests
Bevestig in de pakketopname dat het IP-adres van de afzender van ARP-tests 192.168.10.254 is; dit is het IP van SVI (VLAN 12).
Detail van ARP-tests
Patroon 2. IP van SVI is niet geconfigureerd
Patroon 2. IP van SVI is niet geconfigureerdIn dit document, aangezien de bestemming voor de ARP sonde 192.168.10.10/24 is, als het SVI IP adres niet wordt gevormd, is het bronIP adres 192.168.10.200.
Verwijder het IP-adres van SVI.
Switch (config)#int vlan 12
Switch (config-if)#no ip address Start de opdrachtshow ip device tracking all om de instelling van de automatische bron te bevestigen.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2Bevestig in de pakketopname dat ARP-sondes door Gigabit Ethernet1/0/2 elke 30 seconden worden verzonden.
ARP-tests
Bevestig in de pakketopname dat het IP-adres van de afzender van ARP-tests is gewijzigd in 192.168.10.200.
Detail van ARP-tests
3. Tracering van IP-apparaten met geweld uitschakelen
3. Tracering van IP-apparaten met geweld uitschakelenVoer de ip device tracking maximum 0 opdracht uit om IP-apparaattracering uit te schakelen.
Opmerking: deze opdracht schakelt het volgen van IP-apparaten niet echt uit, maar beperkt het aantal getraceerde hosts wel tot nul.
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0Start de opdrachtshow ip device tracking all om de status van IP-apparaattracering op Gigabit Ethernet1/0/2 te bevestigen.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Referentie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
18-Jul-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)