验证交换机上的IP设备跟踪MAB后配置
简介
本文档介绍在MAB配置后IP设备跟踪的行为以及MAB身份验证后通信问题的可能解决方案。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科身份服务引擎的配置
- Cisco Catalyst的配置
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 身份服务引擎虚拟3.3补丁1
- C1000-48FP-4G-L 15.2(7)E9
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
图解
本文档介绍此图中的MAB身份验证配置和验证。
网络图
背景信息
即使MAB身份验证成功,但在重新启动(或拔掉并重新插入电缆)Win10 PC1后,它仍然无法成功ping通网关(Win10 PC3)。此意外行为是由于Win10 PC1上的IP地址冲突引起的。
默认情况下,在已配置MAB的接口上启用IP设备跟踪及其ARP探测。当Windows PC连接到启用了IP设备跟踪的Catalyst交换机时,Windows端可能会检测到IP地址冲突。 出现这种情况是因为在此机制的检测窗口期间收到ARP探测(发送方IP地址为0.0.0.0),将其视为IP地址冲突。
配置
此配置示例演示了MAB配置后IP设备跟踪的行为。
C1000中的配置
这是C1000 CLI中的最低配置。
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
ISE中的配置
步骤1:添加设备
导航到管理>网络设备,点击添加按钮以添加C1000设备。
- 名称:C1000
- IP地址:1.x.x.101
添加设备
第二步:添加终端
导航到情景可视性>终端,点击添加按钮添加终端的MAC。
添加终端
第三步:添加策略集
导航到策略>策略集,点击+ 添加策略集。
- 策略集名称:C1000_MAB
- 说明:用于mab测试
- 条件:Wired_MAB
- 允许的协议/服务器序列:默认网络访问
添加策略集
第四步:添加身份验证策略
导航到策略集,点击C1000_MAB添加身份验证策略。
- 规则名称:MAB_authentication
- 条件:Wired_MAB
- 使用:内部终端
添加身份验证策略
第五步:添加授权策略
导航到策略集,点击C1000_MAB添加授权策略。
- 规则名称:MAB_authorization
- 条件:Network_Access_Authentication_Passed
- 结果:PermitAccess
添加授权策略
验证
配置MAB之前
运行show ip device tracking all命令以确认IP设备跟踪功能已禁用。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------配置MAB之后
步骤1:在MAB身份验证之前
运行show ip device tracking all命令以确认IP设备跟踪功能已启用。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2第二步:在MAB身份验证之后
第二步:在MAB身份验证之后从Win10 PC1初始化MAB身份验证并运行show ip device tracking all命令,以确认GigabitEthernet1/0/2上IP设备跟踪的状态。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2第三步:确认身份验证会话
第三步:确认身份验证会话运行show authentication sessions interface GigabitEthernet1/0/2 details命令以确认MAB身份验证会话。
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc Success第四步:确认Radius实时日志
第四步:确认Radius实时日志在ISE GUI中导航到操作> RADIUS >实时日志,确认MAB身份验证的实时日志。
第五步:确认IP设备跟踪的数据包详细信息
第五步:确认IP设备跟踪的数据包详细信息运行show interfaces GigabitEthernet1/0/2命令以确认GigabitEthernet1/0/2的MAC地址。
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)在数据包捕获中,确认GigabitEthernet1/0/2每30秒发送一次ARP探测。
ARP探测功能
在数据包捕获中,确认ARP探测的发送方IP地址为0.0.0.0。
ARP探测的详细信息
问题
问题当Catalyst交换机发送带有发送方IP地址0.0.0.0的ARP探测时,该交换机的IP设备跟踪功能可能会导致Windows PC上的IP地址冲突。
可能的解决方案
可能的解决方案有关可能的解决方案,请参阅IP地址重复0.0.0.0的错误消息故障排除。
以下是思科实验室中测试的每种解决方案的示例,以了解更多详细信息。
1. 延迟ARP探测的发送
1. 延迟ARP探测的发送运行ip device tracking probe delay <1-120>命令以延迟从交换机发送ARP探报。此命令不允许交换机在检测到链路UP/抖动时发送<1-120>秒的探测,这样可以最大程度地降低在链路另一端的主机检查重复IP地址时发送探测的可能性。
这是为10配置ARP探测延迟的示例。
Switch (config)#ip device tracking probe delay 10运行show ip device tracking all命令以确认延迟设置。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/22. ARP探测的配置自动源
2. ARP探测的配置自动源运行ip device tracking probe auto-source fallback <host-ip> <mask> [override]命令以更改ARP探测的源IP地址。使用此命令,ARP探测功能的IP源不是0.0.0.0,而是主机所在VLAN中的交换机虚拟接口(SVI)的IP地址,或者如果SVI未设置IP地址,则会自动计算该IP地址。
这是将<host-ip>配置为0.0.0.200的示例。
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override模式1。已配置SVI的IP
模式1。已配置SVI的IP在本文档中,由于为执行MAB身份验证的接口(GigabitEthernet1/0/2)设置了SVI IP地址(vlan12的IP地址),因此ARP探测的源IP地址更改为192.168.10.254。
运行show ip device tracking all命令以确认自动源的设置。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2在数据包捕获中,确认GigabitEthernet1/0/2每30秒发送一次ARP探测。
ARP探测功能
在数据包捕获中,确认ARP探测的发送方IP地址为192.168.10.254,这是SVI (vlan 12)的IP。
ARP探测的详细信息
模式2.未配置SVI的IP
模式2.未配置SVI的IP在本文档中,由于ARP探测的目的地是192.168.10.10/24,如果未配置SVI IP地址,则源IP地址为192.168.10.200。
删除SVI的IP地址
Switch (config)#int vlan 12
Switch (config-if)#no ip address 运行show ip device tracking all命令以确认自动源的设置。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2在数据包捕获中,确认GigabitEthernet1/0/2每30秒发送一次ARP探测。
ARP探测功能
在数据包捕获中,确认ARP探测的发送方IP地址已更改为192.168.10.200。
ARP探测的详细信息
3. 强制禁用IP设备跟踪
3. 强制禁用IP设备跟踪运行 ip device tracking maximum 0 命令以禁用IP设备跟踪。
注意:此命令并不是真正禁用IP设备跟踪,而是将跟踪的主机数量限制为零。
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0运行show ip device tracking all命令以确认GigabitEthernet1/0/2上IP设备跟踪的状态。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2参考
参考 修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
18-Jul-2024 |
初始版本 |
反馈