Vérification du suivi des périphériques IP après la configuration MAB sur le commutateur

Options de téléchargement

  • PDF     (955.9 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:18 juillet 2024
ID du document:222132

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit le comportement du suivi de périphérique IP après la configuration MAB et les solutions possibles pour les problèmes de communication après l'authentification MAB.

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Configuration de Cisco Identity Services Engine
    • Configuration de Cisco Catalyst

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Correctif 1 d'Identity Services Engine Virtual 3.3
    • C1000-48FP-4G-L 15.2(7)E9

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Diagramme

    Ce document présente la configuration et la vérification de l'authentification MAB sur ce schéma.

    Diagramme du réseauDiagramme du réseau

    Informations générales

    Même si l'authentification MAB réussit, après le redémarrage (ou le débranchement et le rebranchement du câble) de Win10 PC1, il ne peut pas envoyer de requête ping à la passerelle (Win10 PC3) avec succès. Ce comportement inattendu est dû à un conflit d'adresses IP sur Win10 PC1.
    Le suivi de périphérique IP et ses sondes ARP sont activés par défaut sur l'interface qui est configurée MAB. Lorsque les PC Windows sont connectés à un commutateur Catalyst avec le suivi de périphérique IP activé, il est possible que le côté Windows détecte un conflit d'adresses IP. Cela se produit parce qu'une sonde ARP (avec une adresse IP d'expéditeur de 0.0.0.0) est reçue pendant la fenêtre de détection de ce mécanisme, elle est traitée comme un conflit d'adresses IP.

    Configuration

    Cet exemple de configuration illustre le comportement du suivi des périphériques IP après la configuration MAB.

    Configuration dans C1000

    Il s’agit de la configuration minimale de l’interface de ligne de commande C1000.

    aaa new-model

    radius server ISE33
    address ipv4 1.x.x.191
    key cisco123

    aaa group server radius AAASERVER
    server name ISE33

    aaa authentication dot1x default group AAASERVER
    aaa authorization network default group AAASERVER
    aaa accounting dot1x default start-stop group AAASERVER
    dot1x system-auth-control

    interface Vlan12
    ip address 192.168.10.254 255.255.255.0

    interface Vlan14
    ip address 1.x.x.101 255.0.0.0

    interface GigabitEthernet1/0/1
    Switch port access vlan 14
    Switch port mode access

    interface GigabitEthernet1/0/3
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/4
    Switch port access vlan 12
    Switch port mode access

    interface GigabitEthernet1/0/2
    Switch port access vlan 12
    Switch port mode access
    authentication host-mode multi-auth
    authentication port-control auto
    spanning-tree portfast edge
    mab

    // for packet capture
    monitor session 1 source interface Gi1/0/2
    monitor session 1 destination interface Gi1/0/3

    Configuration dans ISE

    Étape 1. Ajouter un périphérique

    Accédez à Administration > Network Devices, cliquez sur Add button to add C1000 device.

    • Nom : C1000
    • Adresse IP : 1.x.x.101

    Ajouter un périphériqueAjouter un périphérique

    Étape 2. Ajouter un terminal

    Accédez à Context Visibility > Endpoints, cliquez sur le bouton Add pour ajouter l'adresse MAC du point de terminaison.

    Ajouter un terminalAjouter un terminal

    Étape 3. Ajouter un jeu de stratégies

    Accédez à Policy > Policy Sets, cliquez sur + pour ajouter un jeu de stratégies.

    • Nom du jeu de stratégies : C1000_MAB
    • Description : pour le test mab
    • Conditions : Wired_MAB
    • Protocoles autorisés / Séquence de serveurs : accès réseau par défaut

    Ajouter un jeu de stratégiesAjouter un jeu de stratégies

    Étape 4. Ajouter une stratégie d'authentification

    Accédez à Jeux de stratégies, cliquez sur C1000_MAB pour ajouter une stratégie d'authentification.

    • Nom de la règle : MAB_authentication
    • Conditions : Wired_MAB
    • Utilisation : terminaux internes

    Ajouter une stratégie d'authentificationAjouter une stratégie d'authentification

    Étape 5. Ajouter une stratégie d'autorisation

    Accédez à Jeux de stratégies, cliquez sur C1000_MAB pour ajouter une stratégie d'autorisation.

    • Nom de la règle : MAB_authorization
    • Conditions : Network_Access_Authentication_Passed
    • Résultats : PermitAccess

    Ajouter une stratégie d'autorisationAjouter une stratégie d'autorisation

    Vérifier

    Avant la configuration de MAB

    Exécutez la commandeshow ip device tracking all pour confirmer que la fonction de suivi des périphériques IP est désactivée.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Disabled
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Après la configuration de MAB

    Étape 1. Avant authentification MAB

    Exécutez show ip device tracking all la commande pour confirmer que la fonction de suivi des périphériques IP est activée.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Étape 2. Après authentification MAB

    Initialisez l'authentification MAB à partir de Win10 PC1 et exécutez la show ip device tracking all commande pour confirmer l'état du suivi de périphérique IP sur GigabitEthernet1/0/2.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Étape 3. Confirmer la session d'authentification

    Exécutez show authentication sessions interface GigabitEthernet1/0/2 details la commande pour confirmer la session d'authentification MAB.

    Switch #show authentication sessions interface GigabitEthernet1/0/2 details 
    Interface: GigabitEthernet1/0/2
    MAC Address: b496.9115.84cb
    IPv6 Address: Unknown
    IPv4 Address: 192.168.10.10
    User-Name: B4-96-91-15-84-CB
    Status: Authorized
    Domain: DATA
    Oper host mode: multi-auth
    Oper control dir: both
    Session timeout: N/A
    Restart timeout: N/A
    Periodic Acct timeout: N/A
    Session Uptime: 114s
    Common Session ID: 01C200650000001D62945338
    Acct Session ID: 0x0000000F
    Handle: 0xBE000007
    Current Policy: POLICY_Gi1/0/2

    Local Policies:
    Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

    Server Policies:


    Method status list: 
    Method State

    mab Authc Success

    Étape 4. Confirmer le journal Radius en direct

    Accédez à Operations > RADIUS > Live Login ISE GUI, confirmez le journal en direct pour l'authentification MAB.

    Vérifier_001

    Étape 5. Confirmer le détail des paquets du suivi des périphériques IP

    Exécutez show interfaces GigabitEthernet1/0/2 la commande pour confirmer l'adresse MAC de GigabitEthernet1/0/2.

    Switch #show interfaces GigabitEthernet1/0/2
    GigabitEthernet1/0/2 is up, line protocol is up (connected) 
    Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)

    Dans la capture de paquets, vérifiez que les sondes ARP sont envoyées par GigabitEthernet1/0/2 toutes les 30 secondes.

    Sondes ARPSondes ARP

    Dans la capture de paquets, vérifiez que l’adresse IP de l’expéditeur des sondes ARP est 0.0.0.0.

    Détail des sondes ARPDétail des sondes ARP

    Problème

    Il est possible que la fonctionnalité de suivi de périphérique IP du commutateur Catalyst puisse provoquer un conflit d'adresses IP sur un PC Windows lorsqu'il envoie une sonde ARP avec l'adresse IP de l'expéditeur 0.0.0.0.

    Solutions possibles

    Consultez la section Dépannage des messages d'erreur d'adresse IP dupliquée 0.0.0.0 pour des solutions possibles.
    Voici des exemples de chaque solution testée dans un laboratoire Cisco pour plus de détails.

    1. Retarder l'envoi des sondes ARP

    Exécutez ip device tracking probe delay <1-120> la commande pour retarder l'envoi des sondes ARP à partir du commutateur. Cette commande ne permet pas à un commutateur d'envoyer une sonde pendant <1-120> secondes lorsqu'il détecte une liaison UP/flap, ce qui réduit la possibilité d'envoyer la sonde pendant que l'hôte de l'autre côté de la liaison recherche des adresses IP en double. 

    Ceci est un exemple de configuration du délai de la sonde ARP pour 10s.

    Switch (config)#ip device tracking probe delay 10

    Exécutez show ip device tracking all la commande pour confirmer le paramètre de délai.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 10
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    2. Configuration de la source automatique pour les sondes ARP

    Exécutez la commandeip device tracking probe auto-source fallback <host-ip> <mask> [override] pour modifier l'adresse IP source des sondes ARP. Avec cette commande, la source IP des sondes ARP n'est pas 0.0.0.0, mais c'est l'adresse IP de l'interface virtuelle de commutateur (SVI) dans le VLAN où réside l'hôte, ou elle est calculée automatiquement si l'interface SVI n'a pas d'adresse IP définie.

    Voici un exemple de configuration de <host-ip> sur 0.0.0.200.

    Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override

    Modèle 1. IP de SVI configuré

    Dans ce document, étant donné que l'adresse IP de l'interface SVI (l'adresse IP de vlan12) est définie pour l'interface (GigabitEthernet1/0/2) qui effectue l'authentification MAB, l'adresse IP source de la sonde ARP est changée en 192.168.10.254.

    Exécutez show ip device tracking all la commande pour confirmer le paramètre de source automatique.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Dans la capture de paquets, vérifiez que les sondes ARP sont envoyées par GigabitEthernet1/0/2 toutes les 30 secondes.

    Sondes ARPSondes ARP

    Dans la capture de paquets, vérifiez que l'adresse IP de l'expéditeur des sondes ARP est 192.168.10.254, qui est l'adresse IP de l'interface SVI (VLAN 12).

    Détail des sondes ARPDétail des sondes ARP

    Modèle 2. IP de SVI non configuré

    Dans ce document, comme la destination de la sonde ARP est 192.168.10.10/24, si l'adresse IP SVI n'est pas configurée, l'adresse IP source est 192.168.10.200.

    Supprimer l'adresse IP de l'interface SVI.

    Switch (config)#int vlan 12
    Switch (config-if)#no ip address

    Exécutez show ip device tracking all la commande pour confirmer le paramètre de source automatique.

    Switch #show ip device tracking all 
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    IP Device Tracking Probe Auto Source = Enabled
    Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------
    192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Dans la capture de paquets, vérifiez que les sondes ARP sont envoyées par GigabitEthernet1/0/2 toutes les 30 secondes.

    Sondes ARPSondes ARP

    Dans la capture de paquets, vérifiez que l'adresse IP de l'expéditeur des sondes ARP est remplacée par 192.168.10.200. 

    Détail des sondes ARPDétail des sondes ARP

    3. Désactivation forcée du suivi des périphériques IP

    Exécutez la ip device tracking maximum 0  commande pour désactiver le suivi des périphériques IP.

    note-icon

    Remarque : cette commande ne désactive pas vraiment le suivi des périphériques IP, mais elle limite le nombre d'hôtes suivis à zéro.

     
    Switch (config)#int g1/0/2
    Switch (config-if)#ip device tracking maximum 0

    Exécutez show ip device tracking all la commande pour confirmer l'état du suivi des périphériques IP sur GigabitEthernet1/0/2.

    Switch #show ip device tracking all
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
    IP Address MAC Address Vlan Interface Probe-Timeout State Source
    -----------------------------------------------------------------------------------------------

    Total number interfaces enabled: 1
    Enabled interfaces:
    Gi1/0/2

    Référence

    Dépannage des messages d'erreur d'adresse IP dupliquée 0.0.0.0

    Vérifier le fonctionnement des périphériques IPDT

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    18-Jul-2024
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Jian Zhang
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits