O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o comportamento do rastreamento de dispositivo IP após a configuração MAB e possíveis soluções para problemas de comunicação após a autenticação MAB.
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este documento apresenta a configuração e a verificação da autenticação MAB neste diagrama.
Mesmo que a autenticação MAB tenha êxito, após reinicializar (ou desconectar e reconectar o cabo) o Win10 PC1, ele não poderá fazer ping no gateway (Win10 PC3) com êxito. Este comportamento inesperado é devido a um conflito de endereço IP no Win10 PC1.
O rastreamento de dispositivo IP e suas sondas ARP são ativados por padrão na interface que está configurada como MAB. Quando o PC com Windows está conectado a um Switch Catalyst com rastreamento de dispositivo IP ativado, há uma possibilidade de que o lado do Windows detecte um conflito de endereço IP. Isso ocorre porque uma prova ARP (com um endereço IP do remetente de 0.0.0.0) é recebida durante a janela de detecção desse mecanismo, ela é tratada como um conflito de endereço IP.
Este exemplo de configuração demonstra o comportamento do rastreamento do dispositivo IP após a configuração MAB.
Essa é a configuração mínima na CLI do C1000.
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
Navegue até Administração > Dispositivos de rede, clique no botão Adicionar para adicionar o dispositivo C1000.
Navegue até Visibilidade de contexto > Pontos finais, clique no botão Adicionar para adicionar o MAC do Ponto final.
Navegue para Política > Conjuntos de políticas, clique em + para adicionar um conjunto de políticas.
Navegue até Policy Sets, clique em C1000_MAB para adicionar uma política de autenticação.
Navegue até Policy Sets, clique em C1000_MAB para adicionar uma política de autorização.
Execute show ip device tracking all o comando para confirmar se o recurso de rastreamento de dispositivo IP está desabilitado.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Após a configuração do MAB
Etapa 1. Antes da autenticação MAB
Execute
show ip device tracking all o comando para confirmar se o recurso de rastreamento de dispositivo IP está habilitado.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Etapa 2. Após a autenticação MAB
Inicialize a autenticação MAB do Win10 PC1 e execute o comando
show ip device tracking all para confirmar o status do rastreamento do dispositivo IP em GigabitEthernet1/0/2.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Etapa 3. Confirmar sessão de autenticação
Execute
show authentication sessions interface GigabitEthernet1/0/2 details o comando para confirmar a sessão de autenticação MAB.
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc Success
Etapa 4. Confirmar registro ao vivo do Radius
Navegue até Operations > RADIUS > Live Logons na GUI do ISE, confirme o registro ao vivo para autenticação MAB.
Etapa 5. Confirmar detalhes do pacote de rastreamento de dispositivo IP
Execute
show interfaces GigabitEthernet1/0/2 o comando para confirmar o endereço MAC de GigabitEthernet1/0/2.
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)
Na captura de pacotes, confirme se as sondas ARP são enviadas por GigabitEthernet1/0/2 a cada 30s.
Na captura do pacote, confirme se o endereço IP do remetente dos testes ARP é 0.0.0.0.
Problema
Há uma possibilidade de que o recurso de rastreamento de dispositivo IP do Switch Catalyst possa causar um conflito de endereço IP em um PC com Windows quando ele envia uma Prova ARP com um endereço IP de remetente de 0.0.0.0.
Soluções possíveis
Consulte Troubleshoot Duplicate IP Address 0.0.0.0 Error Messages para obter soluções possíveis.
Aqui estão exemplos de cada solução testada em um laboratório da Cisco para obter mais detalhes.
1. Atrasar o envio de provas ARP
Execute
ip device tracking probe delay <1-120> o comando para atrasar o envio de provas ARP do Switch. Esse comando não permite que um Switch envie uma sonda por <1-120> segundos quando detecta um link UP/flap, o que minimiza a possibilidade de que a sonda seja enviada enquanto o host no outro lado do link verifica se há endereços IP duplicados.
Este é um exemplo para configurar o atraso da prova ARP para 10s.
Switch (config)#ip device tracking probe delay 10
Execute
show ip device tracking all o comando para confirmar a configuração do atraso.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
2. Origem Automática de Configuração para Sondas ARP
Execute
ip device tracking probe auto-source fallback <host-ip> <mask> [override] o comando para alterar o endereço IP origem para Probes ARP. Com esse comando, a origem IP dos testadores ARP não é 0.0.0.0, mas é o endereço IP da interface virtual do switch (SVI) na VLAN onde o host reside ou será automaticamente calculada se a SVI não tiver um endereço IP definido.
Este é um exemplo para configurar o <host-ip> para 0.0.0.200.
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override
Padrão 1. O IP do SVI está configurado
Neste documento, como o endereço IP da SVI (o endereço IP da vlan12) está definido para a interface (GigabitEthernet1/0/2) que executa a autenticação MAB, o endereço IP origem para a prova ARP é alterado para 192.168.10.254.
Execute
show ip device tracking all o comando para confirmar a configuração da fonte automática.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Na captura de pacotes, confirme se as sondas ARP são enviadas por GigabitEthernet1/0/2 a cada 30s.
Na captura de pacotes, confirme se o endereço IP do remetente dos testes ARP é 192.168.10.254, que é o IP do SVI (vlan 12).
Padrão 2. O IP do SVI não está configurado
Neste documento, como o destino da prova ARP é 192.168.10.10/24, se o endereço IP da SVI não estiver configurado, o endereço IP origem é 192.168.10.200.
Exclua o endereço IP do SVI.
Switch (config)#int vlan 12
Switch (config-if)#no ip address
Execute
show ip device tracking all o comando para confirmar a configuração da fonte automática.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Na captura de pacotes, confirme se as sondas ARP são enviadas por GigabitEthernet1/0/2 a cada 30s.
Na captura de pacotes, confirme se o endereço IP do remetente dos testes ARP foi alterado para 192.168.10.200.
3. Desabilite Forçadamente o Rastreamento de Dispositivos IP
Execute o
ip device tracking maximum 0 comando para desabilitar o rastreamento de dispositivo IP.
Observação: esse comando não desabilita realmente o rastreamento de dispositivos IP, mas limita o número de hosts rastreados a zero.
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0
Execute show ip device tracking all o comando para confirmar o status do rastreamento do dispositivo IP em GigabitEthernet1/0/2.
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Referência
Solucionar problemas de mensagens de erro de endereço IP duplicado 0.0.0.0
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
18-Jul-2024 |
Versão inicial |