スイッチでのIPデバイストラッキングのMAB後の設定の確認
内容
はじめに
このドキュメントでは、MAB設定後のIPデバイストラッキングの動作と、MAB認証後の通信の問題に対して可能な解決策について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Identity Services Engineの設定
- Cisco Catalyst設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Identity Services Engine仮想3.3パッチ1
- C1000-48FP-4G-L 15.2(7)E9
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
図
このドキュメントでは、この図でのMAB認証の設定と検証を紹介します。
ネットワーク図
背景説明
MAB認証が成功しても、Win10 PC1のリブート(またはケーブルの抜き差し)後は、ゲートウェイ(Win10 PC3)へのpingは成功しません。この予期しない動作は、Win10 PC1でのIPアドレスの競合が原因です。
IPデバイストラッキングとそのARPプローブは、MABが設定されているインターフェイスでデフォルトで有効になっています。Windows PCがIPデバイストラッキングがイネーブルになっているCatalystスイッチに接続されている場合、Windows側でIPアドレスの競合が検出される可能性があります。 これは、このメカニズムの検出ウィンドウ中にARPプローブ(送信元IPアドレス0.0.0.0)が受信されたために発生し、IPアドレス競合として扱われます。
コンフィギュレーション
この設定例では、MAB設定後のIPデバイストラッキングの動作を示します。
C1000での設定
これは、C1000 CLIでの最小限の設定です。
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
ISEでの設定
ステップ 1:デバイスの追加
Administration > Network Devicesの順に移動し、AddボタンをクリックしてC1000デバイスを追加します。
- 名前:C1000
- IPアドレス:1.x.x.101
デバイスの追加
ステップ 2:エンドポイントの追加
Context Visibility > Endpointsの順に移動し、AddボタンをクリックしてエンドポイントのMACを追加します。
エンドポイントの追加
ステップ 3:ポリシーセットの追加
Policy > Policy Setsの順に移動し、+ をクリックしてポリシーセットを追加します。
- ポリシーセット名:C1000_MAB
- 説明:mabテスト用
- 条件:Wired_MAB
- 許可されるプロトコル/サーバシーケンス:デフォルトのネットワークアクセス
ポリシーセットの追加
ステップ 4:認証ポリシーの追加
Policy Setsに移動し、C1000_MABをクリックして認証ポリシーを追加します。
- ルール名:MAB_authentication
- 条件:Wired_MAB
- 使用:内部エンドポイント
認証ポリシーの追加
ステップ 5:許可ポリシーの追加
Policy Setsに移動し、C1000_MABをクリックして認可ポリシーを追加します。
- ルール名:MAB_authorization
- 条件:Network_Access_Authentication_Passed
- 結果:PermitAccess
許可ポリシーの追加
確認
MABの設定前
show ip device tracking allコマンドを実行して、IPデバイストラッキング機能が無効になっていることを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------MABの設定後
ステップ 1:MAB認証の前
show ip device tracking allコマンドを実行して、IPデバイストラッキング機能が有効になっていることを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2ステップ 2:MAB認証後
ステップ 2:MAB認証後Win10 PC1からMAB認証を初期化し、show ip device tracking allコマンドを実行して、GigabitEthernet1/0/2でのIPデバイストラッキングのステータスを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2ステップ 3:認証セッションの確認
ステップ 3:認証セッションの確認show authentication sessions interface GigabitEthernet1/0/2 detailsコマンドを実行して、MAB認証セッションを確認します。
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc Successステップ 4:Radiusライブログの確認
ステップ 4:Radiusライブログの確認ISE GUIでOperations > RADIUS > Liveの順に移動し、MAB認証のライブログを確認します。
ステップ 5:IPデバイストラッキングのパケット詳細の確認
ステップ 5:IPデバイストラッキングのパケット詳細の確認show interfaces GigabitEthernet1/0/2コマンドを実行して、GigabitEthernet1/0/2のMACアドレスを確認します。
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)パケットキャプチャで、ARPプローブが30秒ごとにGigabitEthernet1/0/2から送信されていることを確認します。
ARPプローブ
パケットキャプチャで、ARPプローブの送信元IPアドレスが0.0.0.0であることを確認します。
ARPプローブの詳細
問題
問題CatalystスイッチのIPデバイストラッキング機能により、Windows PCが送信元IPアドレス0.0.0.0でARPプローブを送信する際に、IPアドレスの競合が発生する可能性があります。
考えられる解決策
考えられる解決策考えられる解決方法については、『重複IPアドレス0.0.0.0エラーメッセージのトラブルシューティング』を参照してください。
詳細を確認するためにシスコのラボでテストされた各ソリューションの例を次に示します。
1. ARPプローブの送信遅延
1. ARPプローブの送信遅延ip device tracking probe delay <1-120>コマンドを実行して、スイッチからのARPプローブの送信を遅らせます。このコマンドは、リンクのアップ/フラップを検出したときに、スイッチが<1 ~ 120>秒間プローブを送信できないようにします。これにより、リンクの反対側のホストが重複IPアドレスを確認している間にプローブが送信される可能性が最小限に抑えられます。
次に、10秒間のARPプローブの遅延を設定する例を示します。
Switch (config)#ip device tracking probe delay 10show ip device tracking allコマンドを実行して、遅延の設定を確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/22. ARPプローブの自動送信元の設定
2. ARPプローブの自動送信元の設定ip device tracking probe auto-source fallback <host-ip> <mask> [override]コマンドを実行して、ARPプローブの送信元IPアドレスを変更します。このコマンドを使用すると、ARPプローブのIPソースは0.0.0.0ではなく、ホストが存在するVLAN内のスイッチ仮想インターフェイス(SVI)のIPアドレスになります。SVIにIPアドレスが設定されていない場合は、自動的に計算されます。
次に、<host-ip>を0.0.0.200に設定する例を示します。
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 overrideパターン1SVIのIPが設定されている
パターン1SVIのIPが設定されているこのドキュメントでは、MAB認証を実行するインターフェイス(GigabitEthernet1/0/2)に対してSVI IPアドレス(vlan12のIPアドレス)が設定されているため、ARPプローブの送信元IPアドレスは192.168.10.254に変更されます。
show ip device tracking allコマンドを実行して、auto sourceの設定を確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2パケットキャプチャで、ARPプローブが30秒ごとにGigabitEthernet1/0/2から送信されていることを確認します。
ARPプローブ
パケットキャプチャで、ARPプローブの送信元IPアドレスが192.168.10.254(SVI(vlan 12)のIP)であることを確認します。
ARPプローブの詳細
パターン2SVIのIPが設定されていない
パターン2SVIのIPが設定されていないこのドキュメントでは、ARPプローブの宛先は192.168.10.10/24であるため、SVI IPアドレスが設定されていない場合、送信元IPアドレスは192.168.10.200です。
SVIのIPアドレスを削除します。
Switch (config)#int vlan 12
Switch (config-if)#no ip address show ip device tracking allコマンドを実行して、auto sourceの設定を確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2パケットキャプチャで、ARPプローブが30秒ごとにGigabitEthernet1/0/2から送信されていることを確認します。
ARPプローブ
パケットキャプチャで、ARPプローブの送信元IPアドレスが192.168.10.200に変更されていることを確認します。
ARPプローブの詳細
3. IPデバイストラッキングを強制的に無効にする
3. IPデバイストラッキングを強制的に無効にする ip device tracking maximum 0 コマンドを実行して、IPデバイストラッキングを無効にします。
注:このコマンドは実際にIPデバイストラッキングを無効にするわけではありませんが、トラッキングするホストの数を0に制限します。
show ip device tracking all
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0コマンドを実行して、GigabitEthernet1/0/2のIPデバイストラッキングのステータスを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
参考
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
18-Jul-2024 |
初版 |
フィードバック