Verificación de la Configuración Post-MAB de Seguimiento de Dispositivos IP en el Switch

Opciones de descarga

  • PDF     (955.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (818.5 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.0 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:18 de julio de 2024
ID del documento:222132

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el comportamiento del seguimiento de dispositivos IP después de la configuración MAB y las posibles soluciones para el problema de comunicación después de la autenticación MAB.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Configuración de Cisco Identity Services Engine
    • Configuración de Cisco Catalyst

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Parche 1 de Identity Services Engine Virtual 3.3
    • C1000-48FP-4G-L 15.2(7)E9

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Diagrama

    Este documento presenta la configuración y verificación para la autenticación MAB en este diagrama.

    Diagrama de la redDiagrama de la red

    Antecedentes

    Aunque la autenticación MAB se realiza correctamente, después de reiniciar (o desconectar y volver a conectar el cable) Win10 PC1, no puede hacer ping correctamente en la puerta de enlace (Win10 PC3). Este comportamiento inesperado se debe a un conflicto de dirección IP en Win10 PC1.
    El seguimiento de dispositivos IP y sus sondas ARP están habilitados de forma predeterminada en la interfaz que está configurada como MAB. Cuando una PC con Windows está conectada a un switch Catalyst con el seguimiento de dispositivos IP habilitado, existe la posibilidad de que el lado de Windows detecte un conflicto de direcciones IP. Esto ocurre porque se recibe una sonda ARP (con una dirección IP del remitente de 0.0.0.0) durante la ventana de detección de este mecanismo, se trata como un conflicto de dirección IP.

    Configuración

    Este ejemplo de configuración demuestra el comportamiento del seguimiento de dispositivos IP después de la configuración de MAB.

    Configuración en C1000

    Esta es la configuración mínima en C1000 CLI.

    aaa new-model

    radius server ISE33
    address ipv4 1.x.x.191
    key cisco123

    aaa group server radius AAASERVER
    server name ISE33

    aaa authentication dot1x default group AAASERVER
    aaa authorization network default group AAASERVER
    aaa accounting dot1x default start-stop group AAASERVER
    dot1x system-auth-control

    interface Vlan12
    ip address 192.168.10.254 255.255.255.0

    interface Vlan14
    ip address 1.x.x.101 255.0.0.0

    interface GigabitEthernet1/0/1
    Switch port access vlan 14
    Switch port mode access

    interface GigabitEthernet1/0/3
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/4
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/2
    Switch port access vlan 12
    Switch port mode access
    authentication host-mode multi-auth
    authentication port-control auto
    spanning-tree portfast edge
    mab

    // for packet capture
    monitor session 1 source interface Gi1/0/2
    monitor session 1 destination interface Gi1/0/3

    Configuración en ISE

    Paso 1. Agregar dispositivo

    Vaya a Administration > Network Devices, haga clic en el botón Add para agregar el dispositivo C1000.

    • Nombre: C1000
    • Dirección IP: 1.x.x.101

    Agregar dispositivoAgregar dispositivo

    Paso 2. Agregar terminal

    Navegue hasta Visibilidad de contexto > Terminales, haga clic en el botón Agregar para agregar MAC de punto final.

    Agregar terminalAgregar terminal

    Paso 3. Agregar conjunto de políticas

    Navegue hasta Policy > Policy Sets, haga clic en + para agregar un conjunto de políticas.

    • Nombre del conjunto de políticas: C1000_MAB
    • Descripción: para la prueba Mab
    • Condiciones: Wired_MAB
    • Protocolos/Secuencia de servidor permitidos: acceso a red predeterminado

    Agregar conjunto de políticasAgregar conjunto de políticas

    Paso 4. Agregar política de autenticación

    Navegue hasta Conjuntos de políticas, haga clic en C1000_MAB para agregar una política de autenticación.

    • Nombre de regla: MAB_authentication
    • Condiciones: Wired_MAB
    • Uso: terminales internos

    Agregar política de autenticaciónAgregar política de autenticación

    Paso 5. Agregar política de autorización

    Navegue hasta Conjuntos de políticas, haga clic en C1000_MAB para agregar una política de autorización.

    • Nombre de regla: MAB_authorization
    • Condiciones: Network_Access_Authentication_Passed
    • Resultados: PermitAccess

    Agregar política de autorizaciónAgregar política de autorización

    Verificación

    Antes de la configuración de MAB

    Ejecute show ip device tracking all el comando para confirmar que la función de seguimiento de dispositivos IP está inhabilitada.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Disabled
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Después de la configuración de MAB

    Paso 1. Antes de la autenticación MAB

    Ejecute show ip device tracking all el comando para confirmar que la función de seguimiento de dispositivos IP está habilitada.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Paso 2. Después de la autenticación MAB

    Inicialice la autenticación MAB desde Win10 PC1 y ejecute show ip device tracking all el comando para confirmar el estado del seguimiento de dispositivos IP en GigabitEthernet1/0/2.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Paso 3. Confirmar sesión de autenticación

    Ejecute show authentication sessions interface GigabitEthernet1/0/2 details el comando para confirmar la sesión de autenticación MAB.

    Switch #show authentication sessions interface GigabitEthernet1/0/2 details 
    Interface: GigabitEthernet1/0/2
    MAC Address: b496.9115.84cb
    IPv6 Address: Unknown
    IPv4 Address: 192.168.10.10
    User-Name: B4-96-91-15-84-CB
    Status: Authorized
    Domain: DATA
    Oper host mode: multi-auth
    Oper control dir: both
    Session timeout: N/A
    Restart timeout: N/A
    Periodic Acct timeout: N/A
    Session Uptime: 114s
    Common Session ID: 01C200650000001D62945338
    Acct Session ID: 0x0000000F
    Handle: 0xBE000007
    Current Policy: POLICY_Gi1/0/2

    Local Policies:
    Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

    Server Policies:


    Method status list: 
    Method State

    mab Authc Success

    Paso 4. Confirmar registro en directo de Radius

    Vaya a Operations > RADIUS > Live Logs en la GUI de ISE y confirme el registro en directo para la autenticación de MAB.

    Verify_001

    Paso 5. Confirmar detalles de paquetes del seguimiento de dispositivos IP

    Ejecute show interfaces GigabitEthernet1/0/2 el comando para confirmar la dirección MAC de GigabitEthernet1/0/2.

    Switch #show interfaces GigabitEthernet1/0/2
    GigabitEthernet1/0/2 is up, line protocol is up (connected) 
    Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)

    En la captura de paquetes, confirme que las sondas ARP son enviadas por GigabitEthernet1/0/2 cada 30 segundos.

    Sondas ARPSondas ARP

    En la captura de paquetes, confirme que la dirección IP del remitente de las sondas ARP es 0.0.0.0.

    Detalle de Sondas ARPDetalle de Sondas ARP

    Problema

    Existe la posibilidad de que la función de seguimiento del dispositivo IP del switch Catalyst pueda causar un conflicto de dirección IP en una PC con Windows cuando envía una sonda ARP con una dirección IP del remitente de 0.0.0.0.

    Posibles soluciones

    Consulte Resolución de Problemas con Mensajes de Error de Dirección IP Duplicada 0.0.0.0 para obtener posibles soluciones.
    A continuación se muestran ejemplos de cada solución probada en un laboratorio de Cisco para obtener más información.

    1. Retrasar el envío de sondas ARP

    Ejecute ip device tracking probe delay <1-120> el comando para retrasar el envío de sondas ARP desde el switch. Este comando no permite que un switch envíe una sonda durante <1-120> segundos cuando detecta un link UP/flap, lo que minimiza la posibilidad de que se envíe la sonda mientras el host del otro lado del link verifica si hay direcciones IP duplicadas. 

    Este es un ejemplo para configurar el retraso de la sonda ARP para 10 s.

    Switch (config)#ip device tracking probe delay 10

    Ejecute show ip device tracking all el comando para confirmar la configuración del retraso.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 10
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    2. Configuración del Origen Automático para las Sondas ARP

    Ejecute ip device tracking probe auto-source fallback <host-ip> <mask> [override] el comando para cambiar la dirección IP de origen para las sondas ARP. Con este comando, el origen IP de las sondas ARP no es 0.0.0.0, sino que es la dirección IP de la interfaz virtual del switch (SVI) en la VLAN donde reside el host, o se calcula automáticamente si la SVI no tiene una dirección IP establecida.

    Este es un ejemplo para configurar <host-ip> a 0.0.0.200.

    Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override

    Patrón 1. Se ha configurado la IP de SVI

    En este documento, dado que la dirección IP de SVI (la dirección IP de vlan12) está configurada para la interfaz (GigabitEthernet1/0/2) que realiza la autenticación MAB, la dirección IP de origen para la sonda ARP se cambia a 192.168.10.254.

    Ejecute show ip device tracking all el comando para confirmar la configuración del origen automático.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    En la captura de paquetes, confirme que las sondas ARP son enviadas por GigabitEthernet1/0/2 cada 30 segundos.

    Sondas ARPSondas ARP

    En la captura de paquetes, confirme que la dirección IP del remitente de las sondas ARP es 192.168.10.254, que es la IP de SVI (vlan 12).

    Detalle de Sondas ARPDetalle de Sondas ARP

    Patrón 2. La IP de SVI no está configurada

    En este documento, como el destino para la sonda ARP es 192.168.10.10/24, si la dirección IP SVI no está configurada, la dirección IP de origen es 192.168.10.200.

    Elimine la dirección IP de SVI.

    Switch (config)#int vlan 12
    Switch (config-if)#no ip address

    Ejecute show ip device tracking all el comando para confirmar la configuración del origen automático.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    En la captura de paquetes, confirme que las sondas ARP son enviadas por GigabitEthernet1/0/2 cada 30 segundos.

    Sondas ARPSondas ARP

    En la captura de paquetes, confirme que la dirección IP del remitente de las sondas ARP se cambia a 192.168.10.200. 

    Detalle de Sondas ARPDetalle de Sondas ARP

    3. Desactivación forzada del seguimiento de dispositivos IP

    Ejecute el ip device tracking maximum 0  comando para inhabilitar el seguimiento de dispositivos IP.

    icono de nota

    Nota: Este comando no deshabilita realmente el seguimiento de dispositivos IP, pero limita el número de hosts de seguimiento a cero.

     
    Switch (config)#int g1/0/2
    Switch (config-if)#ip device tracking maximum 0

    Ejecute show ip device tracking all el comando para confirmar el estado del seguimiento del dispositivo IP en GigabitEthernet1/0/2.

    Switch #show ip device tracking all
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Referencia

    Troubleshooting de Mensajes de Error de Dirección IP Duplicada 0.0.0.0

    Verificar operaciones del dispositivo IPDT

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    18-Jul-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jian Zhang
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos