Controleer de werking van het IPDT-apparaat
Downloadopties
Inclusief taalgebruik
De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Over deze vertaling
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Inhoud
Inleiding
Dit document beschrijft hoe de IPDT-bewerkingen (IP Device Tracking) moeten worden geverifieerd en hoe deze acties moeten worden uitgeschakeld.
Voorwaarden
Vereisten
Er zijn geen specifieke vereisten van toepassing op dit document.
Gebruikte componenten
De uitvoer in dit document is gebaseerd op deze software- en hardwareversies:
- Cisco WS-C2960X switch
- Cisco IOS® 15.2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
IPDT - Overzicht
Definitie en gebruik
De belangrijkste taak van IPDT is het bijhouden van verbonden hosts (koppeling van MAC- en IP-adres). Om dit te doen, stuurt het unicast Address Resolution Protocol (ARP)-probes met een standaardinterval van 30 seconden. Deze sondes worden verzonden naar het MAC-adres van de host die is aangesloten aan de andere kant van de link, en gebruiken Layer 2 (L2) als de standaardbron waarnaar het MAC-adres van de fysieke interface wordt verzonden waaruit de ARP gaat en een IP-adres van de afzender van 0.0.0.0, gebaseerd op de ARP-sonderdefinitie die in RFC 5227 wordt vermeld
fragment
In dit document wordt de term ARP-sonde gebruikt om te verwijzen naar een ARP-verzoekpakket, uitgezonden via de lokale link, met een volledig nul-IP-adres van de afzender. Het adres van de afzenderhardware MOET het hardwareadres van de interface bevatten die het pakket verzendt. Het veld IP-adres van de afzender MOET op alle nullen worden ingesteld om corruptie te voorkomen bij ARP-caches in andere hosts, op dezelfde link, in het geval waar het adres al in gebruik blijkt te zijn door een andere host. Het doelveld voor IP-adres MOET worden ingesteld op het adres dat wordt gepeild. Een ARP-sonde bevat zowel een vraag (gebruikt iemand dit adres?) als een impliciete verklaring (dit is het adres dat ik hoop te gebruiken.)
Het doel van IPDT is voor de switch om een lijst van apparaten te verkrijgen en te handhaven die met de switch via een IP adres worden verbonden. De sonde bevolkt de volgende ingang niet; het wordt eenvoudig gebruikt om de ingang in de lijst te handhaven nadat het door een ARP verzoek/antwoord van de gastheer wordt geleerd.
IP ARP Inspectie wordt automatisch ingeschakeld wanneer IPDT is ingeschakeld. Het detecteert de aanwezigheid van nieuwe hosts wanneer het ARP-pakketten bewaakt. Als dynamische ARP-inspectie is ingeschakeld, worden alleen de ARP-pakketten die worden gevalideerd gebruikt om nieuwe hosts voor de tabel Apparaattracering te detecteren.
IP DHCP-spionage detecteert, indien ingeschakeld, de aanwezigheid of verwijdering van nieuwe hosts wanneer DHCP hun IP-adressen toewijst of intrekt. Wanneer DHCP-verkeer wordt gezien voor een bepaalde host, wordt de IPDT ARP-sonde interfacetimer opnieuw ingesteld.
IPDT is een functie die altijd beschikbaar is geweest. Bij recentere Cisco IOS®-releases is de onderlinge afhankelijkheid echter standaard ingeschakeld (zie Cisco bug-id CSCuj04986). Het kan uiterst nuttig zijn wanneer zijn database van IP/MAC-hostassociaties wordt gebruikt om de IP-bron van dynamische toegangscontrolelijsten (ACL’s) te vullen of om een binding van een IP-adres aan een beveiligingsgroeptag te handhaven.
De ARP-sonde wordt onder twee omstandigheden verzonden:
- De link die gekoppeld is aan een huidige ingang in de IPDT-database beweegt zich van een DOWN naar een UP-staat, en de ARP-ingang is ingevuld.
- Een link die al in de UP staat die is gekoppeld aan een ingang in de IPDT-database heeft een verlopen sonde-interval.
Probleem
De keepalive-sonde die door de switch wordt verzonden is een L2-controle. Vanuit het oogpunt van de switch zijn de IP-adressen die als bron in de ARP’s worden gebruikt, dan ook niet van belang: deze functie kan worden gebruikt op apparaten zonder IP-adres dat helemaal niet is ingesteld, zodat de IP-bron van 0,0,0,0 niet van belang is.
Wanneer de host deze berichten ontvangt, antwoordt hij terug en vult het IP-doelveld met het enige IP-adres dat beschikbaar is in het ontvangen pakket, dat zijn eigen IP-adres is. Dit kan valse dubbele IP-adreswaarschuwingen veroorzaken, omdat de host die antwoordt zijn eigen IP-adres ziet als zowel de bron als de bestemming van het pakket; zie Dubbel IP-adres 0.0.0. Error Message Troubleshoot artikel voor meer informatie over het dubbele IP-adresscenario.
Stand en werking
De wereldwijde aan/uit-configuratie voor IPDT is een legacy-gedrag dat problemen in het veld veroorzaakte omdat klanten zich niet altijd bewust waren dat ze IPDT moesten inschakelen om bepaalde functies te laten werken. In huidige releases, wordt IPDT alleen bestuurd op interfaceniveau wanneer het een functie inschakelt die IPDT vereist.
IPDT is wereldwijd standaard ingeschakeld binnen deze releases; dat wil zeggen, geen globale configuratieopdracht:
- Catalyst 2k/3k: 15.2(1)E
- Catalyst 3850: 3.2.0SE
- Catalyst 4k: 15.2(1)E / 3.5.0E
Het is belangrijk om op te merken dat, zelfs als IPDT mondiaal wordt toegelaten, dat niet noodzakelijk impliceert dat IPDT actief een bepaalde haven controleert.
Op releases waar IPDT altijd is ingeschakeld en waar IPDT globaal kan worden uitgeschakeld als IPDT wereldwijd is ingeschakeld, bepalen andere functies of het actief is op een specifieke interface (zie de sectie Functionaliteitsgebieden).
Functionaliteitsgebieden
IPDT en zijn ARP sondes die uit een bepaalde interface worden verzonden worden gebruikt voor deze eigenschappen:
- Network Mobility Services Protocol (NMSP), versies 3.2.0E, 15.2(1)E, 3.5.0E en hoger
- Apparaatsensor, versies 15.2(1)E, 3.5.0E en hoger
- 1X, MAC-verificatie-omleiding (MAB), sessiebeheer
- Webgebaseerde verificatie
- Automatische proxy
- IP-bronbewaking (IPSG) voor statische hosts
- Flexibele netflow
- Cisco TrustSec (CTS)
- Mediatraining
- HTTP-omleidingen
Functiematrix
| Platform |
Feature |
Standaard ingeschakeld (Start in) |
Methode uitschakelen |
CLI uitschakelen |
| Kat 2960/3750 (Cisco IOS) |
IPDT |
15.2, lid 1, onder e) * |
wereldwijde CLI (oudere releases) * per interface |
geen ip-apparaat tracking * IP-apparaat traceren maximaal 0 *** |
| Kat 2960/3750 (Cisco IOS) |
NMSP |
nee |
wereldwijde CLI of per-interface CLI |
geen nmsp inschakelen nmsp-bijlage onderdrukt **** |
| Kat 2960/3750 (Cisco IOS) |
Apparaatsensor |
15.0(1)SE |
wereldwijde CLI |
geen macro-automatische monitor |
| Kat 2960/3750 (Cisco IOS) |
ARP-controle |
15.2(1)E ** |
N.v.t. |
N.v.t. |
| Kat 3850 |
IPDT |
alle releases * |
per interface * |
IP-apparaat traceren maximaal 0 *** |
| Kat 3850 |
NMSP |
alle releases |
per interface |
nmsp-bijlage onderdrukken |
| Kat 3850 |
Apparaatsensor |
nee |
N.v.t. |
N.v.t. |
| Kat 3850 |
ARP-controle |
alle releases ** |
N.v.t. |
N.v.t. |
| Kat 4500 |
IPDT |
15.2(1)E / 3.5.0E * |
wereldwijde CLI (oudere releases) * per interface |
geen ip-apparaat tracking * IP-apparaat traceren maximaal 0 *** |
| Kat 4500 |
NMSP |
nee |
wereldwijde CLI of per-interface CLI |
geen nmsp inschakelen nmsp-bijlage onderdrukt **** |
| Kat 4500 |
Apparaatsensor |
15.1(1)SG / 3.3.0SG |
wereldwijde CLI |
geen macro-automatische monitor |
| Kat 4500 |
ARP-controle |
15.2(1)E / 3.5.0E ** |
N.v.t. |
N.v.t. |
Functies
- IPDT kan niet wereldwijd worden uitgeschakeld in nieuwere releases, maar IPDT is alleen actief op poorten, als functies die het vereisen actief zijn.
- ARP snooping is alleen actief als specifieke functie combinaties het mogelijk maken.
- Als u IPDT per interface uitschakelt, stopt het ARP-snuffelen niet, het verhindert IPDT-tracking niet. Dit is verkrijgbaar bij i3.3.0SE, 15.2(1)E, 3.5.0E en hoger.
- NMSP-onderdrukking per interface is alleen beschikbaar als NMSP wereldwijd is ingeschakeld.
IPDT uitschakelen
Op releases waar IPDT standaard niet is ingeschakeld, kan IPDT globaal worden uitgeschakeld met deze opdracht:
Switch(config)#no ip device tracking
Op releases waar IPDT altijd is ingeschakeld, is de vorige opdracht niet beschikbaar of u kunt IPDT niet uitschakelen (Cisco-bug-id CSCuj04986). In dit geval zijn er verschillende manieren om ervoor te zorgen dat IPDT geen specifieke poort controleert of geen dubbele IP-waarschuwingen genereert.
Opdracht Vertraging IP-apparaattracering 10 invoeren
Met deze opdracht kan een switch 10 seconden lang geen sonde verzenden wanneer hij een link UP/flap detecteert, waardoor de mogelijkheid om de sonde te laten versturen wordt geminimaliseerd terwijl de host aan de andere kant van de link dubbele IP-adressen controleert. De RFC specificeert een venster van 10 seconden voor dubbele adresdetectie, dus als u de apparaat-tracking sonde uitstelt, kan het probleem in de meeste gevallen worden opgelost.
Als de switch een ARP-sonde voor de client verstuurt terwijl de host (bijvoorbeeld een Microsoft Windows PC) zich in de fase van Duplicate-Address Detection bevindt, detecteert de host de sonde als een dubbel IP-adres en geeft deze aan de gebruiker een bericht dat op het netwerk een dubbel IP-adres is gevonden. Als de PC geen adres verkrijgt en de gebruiker het adres handmatig moet vrijgeven/vernieuwen, de verbinding moet verbreken en opnieuw verbinding moet maken met het netwerk, of de PC moet opnieuw opstarten om netwerktoegang te krijgen.
Naast de sonde-vertraging, stelt de vertraging zich ook terug wanneer de switch een sonde van PC/host detecteert. Als de sonde bijvoorbeeld is afgeteld tot vijf seconden en een ARP-sonde van de PC/host wordt gedetecteerd, wordt de timer teruggezet op 10 seconden.
Deze configuratie is beschikbaar gesteld via Cisco bug-id CSC27420.
Opdracht SVI gebruiken voor het volgen van IP-apparaten
Met deze opdracht kunt u de switch configureren om een niet-RFC-conforme ARP-sonde te verzenden. De IP-bron is niet 0.0.0.0, maar is de Switch Virtual Interface (SVI) in het VLAN waar de host zich bevindt. Microsoft Windows-machines zien de sonde niet meer als een sonde zoals gedefinieerd door RFC 5227 en markeren geen potentiële dubbele IP.
Voer de Auto-Source [fallback <host-ip> <mask>] [override] in voor de traceringssonde van IP-apparaat
Voor klanten die niet beschikken over voorspelbare / controleerbare eindapparaten, of voor klanten die veel switches hebben in een L2-functie, is de configuratie van een SVI, die een Layer 3-variabele in het ontwerp introduceert, geen geschikte oplossing. Een verbetering die in Versie 15.2(2)E en later wordt geïntroduceerd, de mogelijkheid om de willekeurige toewijzing van een IP-adres toe te staan dat niet aan de switch hoeft te behoren voor gebruik als bronadres in ARP-sondes die door IPDT worden gegenereerd. Deze verbetering introduceert de kans om het automatische gedrag van het systeem op deze manieren te wijzigen (deze lijst toont hoe het systeem zich automatisch gedraagt nadat elke opdracht wordt gebruikt):
Opdracht voor automatische bron van IP-apparaattracering
- Stel de bron in op VLAN SVI, indien aanwezig.
- Zoek naar een bron/MAC-paar in de IP-hosttabel voor dezelfde subnetverbinding.
- Verzend de nul IP bron zoals in het standaardgeval.
Voer de opdracht Auto-Source Fallback van de IP-apparaattraceringssonde 0.0.1 255.255.255.0 in
- Stel de bron in op VLAN SVI, indien aanwezig.
- Zoek naar een bron/MAC-paar in de IP-hosttabel voor dezelfde subnetverbinding.
- Bereken de bron-IP vanaf de bestemming-IP met het geleverde hostbit en -masker.
Voer de Auto-Source Fallback van de IP-trackingsonde voor apparaten in 0.0.0.1 255.255.255.0 Opdracht voor negeren
- Stel de bron in op VLAN SVI, indien aanwezig.
- Bereken de bron-IP vanaf de bestemming-IP met het geleverde hostbit en -masker.
Opmerking: met een overschrijving slaat u de zoekactie voor een item in de tabel over.
Als voorbeeld van de vorige berekeningen, ga ervan uit dat u host 192.168.1.200. Met het masker en de host bits die worden geleverd, genereert u een bronadres van 192.168.1.1. Als u ingang 10.5.5.20 sonderen, kunt u een ARP sonde met bronadres 10.5.5.1, etc. produceren.
Opdracht Maximum aantal IP-apparaten bij traceren invoeren
Deze opdracht schakelt IPDT niet echt uit, maar beperkt wel het aantal getraceerde hosts tot nul. Dit is geen aanbevolen oplossing en deze moet met voorzichtigheid worden gebruikt, omdat alle andere functies die op IPDT vertrouwen hierdoor worden beïnvloed, inclusief de poortkanaalconfiguratie zoals beschreven in Cisco bug-id CSCun81556.
Schakel actieve functies uit die IPDT activeren
Sommige functies die IPDT kunnen activeren zijn NMSP, apparaatsensor, dot1x/MAB, WebAuth en IPSG. Deze functies worden niet aanbevolen om ingeschakeld te worden op trunkpoorten. Deze oplossing is gereserveerd voor de moeilijkste of meest complexe situaties, waar ofwel alle oplossingen die voorheen beschikbaar waren niet werkten zoals verwacht, of ze leidden tot extra problemen. Dit is echter de enige oplossing die extreme granulariteit toestaat wanneer je IPDT uitschakelt, omdat je alleen de IPDT-gerelateerde functies die problemen veroorzaken kunt uitschakelen en alles onaangetast laat.
In de meest recente Cisco IOS-software, versie 15.2(2)E en hoger, ziet u een uitvoer die vergelijkbaar is met deze:
Switch#show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IPv6 Device Tracking Client Registered Handle: 75
IP Device Tracking Enabled Features:
HOST_TRACK_CLIENT_ATTACHMENT
HOST_TRACK_CLIENT_SM
De twee regels in alle caps aan de onderkant van de output zijn de regels die IPDT gebruiken om te werken. De meeste problemen die ontstaan wanneer u de apparaattracering uitschakelt, kunnen worden vermeden als u de afzonderlijke services die in de interface worden uitgevoerd, uitschakelt.
In eerdere versies van Cisco IOS is deze eenvoudige manier om te weten welke modules zijn ingeschakeld onder een interface nog niet beschikbaar, zodat u door een meer betrokken proces moet gaan om dezelfde resultaten te verkrijgen. U moet de debug IP-interface voor apparaattracering inschakelen, die een logbestand met lage frequentie is dat in de meeste instellingen veilig moet zijn. Wees voorzichtig om debug ip apparaat volgen niet aan te zetten omdat dit, in tegendeel, overspoelt de console in schaalsituaties.
Zodra debug is, breng een interface terug naar gebrek, en voeg en verwijder dan de dienst IPDT uit de interfaceconfiguratie toe. De resultaten van de debugs vertellen u welke service is ingeschakeld/uitgeschakeld met de opdracht die u hebt gebruikt.
Voorbeeld
Switch(config)#interface GigabitEthernet 1/0/9
Switch(config-if)#ip device tracking maximum 10
Switch(config-if)#
*Mar 27 09:58:49.470: sw_host_track-interface:Feature 00000008 enabled on port
Gi1/0/9, mask now 0000004C, 65 ports enabled
*Mar 27 09:58:49.471: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max set to 10
Switch(config-if)#
Wat de output onthult is dat u eigenschap 00000008 instelde, en dat het nieuwe eigenschapmasker 0000004C is.
Verwijder nu de configuratie die u zojuist hebt toegevoegd:
Switch(config-if)#no ip device tracking maximum 10
Switch(config-if)#
*Mar 27 10:02:31.154: sw_host_track-interface:Feature 00000008 disabled on port
Gi1/0/9, mask now 00000044, 65 ports enabled
*Mar 27 10:02:31.154: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max cleared
*Mar 27 10:02:31.154: sw_host_track-interface:Max limit has been removed from
the interface GigabitEthernet1/0/9.
Switch(config-if)#
Zodra u functie 00000008 verwijdert, kunt u het 00000044 masker zien, dat moet het origineel, standaard masker zijn geweest. Deze waarde van 00000044 wordt verwacht aangezien AIM 0x00000004 is en SM 0x00000040 is, die samen in 0x00000044 resulteren.
Er zijn verschillende IPDT-services die onder een interface kunnen worden uitgevoerd:
| IPT-service |
Interface |
| HOST_TRACK_CLIENT_IP_TOEGANGSRECHTEN |
= 0x00000001 |
| HOST_TRACK_CLIENT_DOT1X |
= 0x00000002 |
| HOST_TRACK_CLIENT_ATTACHMENT |
= 0x00000004 |
| HOST_TRACK_CLIENT_TRACK_HOST_UPTO_MAX |
= 0x00000008 |
| HOST_TRACK_CLIENT_RSVP |
= 0x00000010 |
| HOST_TRACK_CLIENT_CTS |
= 0x00000020 |
| HOST_TRACK_CLIENT_SM |
= 0x00000040 |
| HOST_TRACK_CLIENT_DRAADLOOS |
= 0x00000080 |
In het voorbeeld zijn HOST_TRACK_CLIENT_SM (SESSION-MANAGER) en HOST_TRACK_CLIENT_ATTACHMENT (ook bekend als AIM/NMSP) modules geconfigureerd voor IPDT. Om IPDT op deze interface uit te schakelen moet u beide uitschakelen, omdat IPDT ALLEEN uitgeschakeld is als alle functies die het gebruiken ook uitgeschakeld zijn.
Nadat u die functies hebt uitgeschakeld, hebt u een uitvoer die vergelijkbaar is met deze:
Switch(config-if)#do show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled ß IPDT is disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IP Device Tracking Enabled Features:
ß No active features
--------------------------------------------
Op deze manier wordt IPDT uitgeschakeld met meer granulariteit.
Hier zijn een paar voorbeelden van opdrachten die worden gebruikt om een aantal van de eerder besproken functies uit te schakelen:
- nmsp-attach-onderdrukking
- geen macro-automatische monitor
Opmerking: de laatste optie moet alleen beschikbaar zijn op platformen die Smart Ports ondersteunen, die worden gebruikt om functies in te schakelen op basis van de locatie van een switch in het netwerk, en voor massaconfiguratie-implementaties in het netwerk.
Controleer de werking van IPDT
Gebruik deze opdrachten om de IPDT-status op uw apparaat te verifiëren:
- IP-apparaattracering tonen
Deze opdracht geeft interfaces weer waar IPDT is ingeschakeld en waar momenteel MAC/IP/interface-associaties worden bijgehouden. - overzichtelijk IP-apparaat bijhouden
- Deze opdracht schakelt IPDT-gerelateerde vermeldingen uit.
Opmerking: De switch stuurt ARP-sondes naar de hosts die zijn verwijderd. Als een host aanwezig is, reageert deze op de ARP-sonde en voegt de switch een IPDT-vermelding toe voor de host. U moet ARP sondes vóór het duidelijke bevel IPDT onbruikbaar maken; op die manier, zijn alle ARP ingangen weg. Als ARP sondes na het duidelijke IP apparaat het volgen bevel worden toegelaten, komen alle ingangen opnieuw terug.
- foutherstel van IP-apparaat
Met deze opdracht kunt u debugs verzamelen om IPDT-activiteit in real time weer te geven.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
21-Aug-2023 |
Bijgewerkt SEO, Stijl Vereisten en het Opmaken. |
1.0 |
25-Nov-2014 |
Eerste vrijgave |
Bijgedragen door Cisco-engineers
- Cisco TAC-engineers
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)