التحقق من تكوين تتبع جهاز IP لمادة post-MAB على المحول

المقدمة

يصف هذا المستند سلوك تعقب جهاز IP بعد تكوين MAB والحلول المحتملة لمشكلة الاتصال بعد مصادقة MAB.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين محرك خدمات الهوية من Cisco
• تكوين Cisco Catalyst

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• التصحيح 1 ل Identity Services Engine Virtual 3.3
• C1000-48FP-4G-L 15.2(7)E9

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الرسم التخطيطي

يقدم هذا المستند التكوين والتحقق لمصادقة MAB على هذا المخطط.

الرسم التخطيطي للشبكة

معلومات أساسية

على الرغم من نجاح مصادقة MAB، إلا أنه بعد إعادة تمهيد (أو إلغاء توصيل الكبل ونسخه) Win10 PC1، لا يمكنها إختبار اتصال البوابة (Win10 PC3) بنجاح. يرجع هذا السلوك غير المتوقع إلى وجود تعارض في عنوان IP على Win10 PC1.
يتم تمكين تعقب جهاز IP ومستكشفات ARP الخاصة به بشكل افتراضي على الواجهة التي تم تكوينها MAB. عند اتصال كمبيوتر Windows بمحول Catalyst مع تمكين تعقب جهاز IP، هناك احتمال أن يكتشف جانب Windows وجود تعارض في عنوان IP. يحدث هذا بسبب تلقي تحقيق ARP (بعنوان IP للمرسل 0.0.0.0) أثناء نافذة الكشف الخاصة بهذه الآلية، يتم التعامل معه كتعارض في عنوان IP.

التكوين

يوضح مثال التكوين هذا سلوك تعقب جهاز IP بعد تكوين MAB.

التكوين في C1000

هذا هو الحد الأدنى للتكوين في C1000 CLI.

aaa new-model

radius server ISE33
address ipv4 1.x.x.191
key cisco123

aaa group server radius AAASERVER
server name ISE33

aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control

interface Vlan12
ip address 192.168.10.254 255.255.255.0

interface Vlan14
ip address 1.x.x.101 255.0.0.0

interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access

interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access

interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access

interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab

// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3

التكوين في ISE

الخطوة 1. إضافة جهاز

انتقل إلى إدارة > أجهزة الشبكة، انقر فوق زر إضافة لإضافة جهاز C1000.

• الاسم: C1000
• عنوان IP: 1.x.x.101

إضافة جهاز

الخطوة 2. إضافة نقطة نهاية

انتقل إلى إمكانية رؤية السياق > نقاط النهاية، انقر فوق إضافة زر لإضافة MAC الخاص بنقطة النهاية.

إضافة نقطة نهاية

الخطوة 3. إضافة مجموعة نهج

انتقل إلى نهج > مجموعات نهج، انقر فوق + لإضافة مجموعة نهج.

• اسم مجموعة النهج C1000_MAB
• الوصف: لاختبار MAB
• الشروط: Wired_MAB
• البروتوكولات المسموح بها / تسلسل الخادم: الوصول الافتراضي إلى الشبكة

إضافة مجموعة نهج

الخطوة 4. إضافة نهج المصادقة

انتقل إلى مجموعات النهج، انقر فوق C1000_MAB لإضافة نهج مصادقة.

• اسم القاعدة: MAB_AUTHENTICATION
• الشروط: Wired_MAB
• الاستخدام: نقاط النهاية الداخلية

إضافة نهج المصادقة

الخطوة 5. إضافة نهج التخويل

انتقل إلى مجموعات النهج، انقر فوق C1000_MAB لإضافة نهج تخويل.

• اسم القاعدة: MAB_AUTHORIZATION
• الشروط: Network_ACCESS_AUTHENTICATION_PASS
• النتائج: PermitAccess

إضافة نهج التخويل

التحقق من الصحة

قبل تكوين MAB

قم بتشغيل show ip device tracking all الأمر لتأكيد تعطيل ميزة تعقب جهاز IP.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------

بعد تكوين MAB

الخطوة 1. قبل مصادقة MAB

قم بتشغيل show ip device tracking all الأمر لتأكيد تمكين ميزة تعقب جهاز IP.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2

الخطوة 2. بعد مصادقة MAB

تهيئة مصادقة MAB من Win10 PC1 وتشغيل الأمرshow ip device tracking all لتأكيد حالة تعقب جهاز IP على GigabitEthernet1/0/2.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2

الخطوة 3. تأكيد جلسة عمل المصادقة

قم بتشغيل show authentication sessions interface GigabitEthernet1/0/2 details الأمر لتأكيد جلسة مصادقة MAB.

Switch #show authentication sessions interface GigabitEthernet1/0/2 details 
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2

Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:


Method status list: 
Method State

mab Authc Success

الخطوة 4. تأكيد سجل Radius Live

انتقل إلى العمليات > RADIUS > Live LogIn ISE GUI، وقم بتأكيد السجل النشط لمصادقة MAB.

الخطوة 5. تأكيد تفاصيل حزمة تعقب جهاز IP

قم بتشغيل show interfaces GigabitEthernet1/0/2 الأمر لتأكيد عنوان MAC الخاص ب GigabitEthernet1/0/2.

Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected) 
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)

في التقاط الحزمة، تأكد من إرسال مستكشفات ARP بواسطة GigabitEthernet1/0/2 كل 30s.

مستكشفات ARP

في التقاط الحزمة، تأكد من أن عنوان IP الخاص بمستكشفات ARP الخاص بالمرسل هو 0.0.0.0.

تفاصيل مستكشفات ARP

المشكلة

هناك احتمال أن تتسبب ميزة تعقب جهاز IP الخاصة بالمحول Catalyst في حدوث تعارض في عنوان IP على جهاز كمبيوتر Windows عندما يرسل تحقيق ARP بعنوان IP للمرسل بقيمة 0.0.0.

الحلول الممكنة

يرجى الرجوع إلى أستكشاف أخطاء عنوان IP المتكرر 0.0.0.0 وإصلاحها بحثا عن الحلول المحتملة.
هنا أمثلة على كل حل تم إختباره في مختبر Cisco للحصول على مزيد من التفاصيل.

1. تأجيل إرسال مستكشفات ARP

تشغيل ip device tracking probe delay <1-120> أمر لتأخير إرسال مستكشفات ARP من المحول. لا يسمح هذا الأمر للمحول بإرسال مسبر ل <1-120> ثانية عندما يكتشف إرتباطا UP/FLAP، والذي يقلل من إمكانية إرسال المسبار بينما يقوم المضيف على الجانب الآخر من الارتباط بالتحقق من عناوين IP المكررة. 

هذا مثال لتكوين تأخير تحقيق ARP لعشرات.

Switch (config)#ip device tracking probe delay 10

قم بتشغيل show ip device tracking all الأمر لتأكيد إعداد التأخير.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2

2. تكوين المصدر التلقائي لمستكشفات ARP

قم بتشغيل ip device tracking probe auto-source fallback <host-ip> <mask> [override] الأمر لتغيير عنوان IP المصدر لمستكشفات ARP. مع هذا الأمر، لا يكون مصدر IP الخاص بمستكشفات ARP هو 0.0.0.0، ولكنه عنوان IP الخاص بواجهة المحول الظاهرية (SVI) في شبكة VLAN التي يتواجد فيها المضيف، أو يتم حسابه تلقائيا إذا لم يكن SVI يحتوي على مجموعة عناوين IP.

هذا مثال لتكوين <host-ip> إلى 0.0.0.200.

Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override

النمط 1. تم تكوين IP الخاص ب SVI

في هذا المستند، نظرا لأنه قد تم تعيين عنوان IP الخاص ب SVI (عنوان IP الخاص بشبكة VLAN12) للواجهة (GigabitEthernet1/0/2) التي تنفذ مصادقة MAB، يتم تغيير عنوان IP المصدر الخاص بمسبار ARP إلى 192.168.10.254.

قم بتشغيل show ip device tracking all الأمر لتأكيد إعداد المصدر التلقائي.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2

في التقاط الحزمة، تأكد من إرسال مستكشفات ARP بواسطة GigabitEthernet1/0/2 كل 30s.

مستكشفات ARP

في التقاط الحزمة، تأكد من أن عنوان IP الخاص بمستكشفات ARP الخاص بالمرسل هو 192.168.10.254 وهو IP الخاص ب SVI (VLAN 12).

تفاصيل مستكشفات ARP

النمط 2. لم يتم تكوين IP الخاص ب SVI

في هذا وثيقة، بما أن الغاية ل ARP تحقيق 192.168.10.10/24، إن ال SVI عنوان لم يشكل، المصدر عنوان 192.168.10.200.

احذف عنوان IP الخاص ب SVI.

Switch (config)#int vlan 12
Switch (config-if)#no ip address 

قم بتشغيل show ip device tracking all الأمر لتأكيد إعداد المصدر التلقائي.

Switch #show ip device tracking all 
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2

في التقاط الحزمة، تأكد من إرسال مستكشفات ARP بواسطة GigabitEthernet1/0/2 كل 30s.

مستكشفات ARP

في التقاط الحزمة، تأكد من تغيير عنوان IP الخاص بمستكشفات ARP الخاص بالمرسل إلى 192.168.10.200. 

تفاصيل مستكشفات ARP

3. تعطيل تعقب جهاز IP بالقوة

قم بتشغيل ip device tracking maximum 0  الأمر لتعطيل تعقب جهاز IP.

ملاحظة: لا يقوم هذا الأمر بتعطيل تعقب جهاز IP حقا، ولكنه يحد من عدد البيئات المضيفة التي تم تعقبها إلى صفر.

Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0

Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------

Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2