المقدمة
يوضح هذا المستند كيفية التحقق من عمليات تعقب جهاز IP (IPDT) وكيفية تعطيل هذه الإجراءات.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
أسست المخرجات في هذا وثيقة على هذا برمجية وجهاز صيغة:
- Cisco WS-C2960X
- IOS® 15.2 من Cisco
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة على IPDT
التعريف والاستخدام
تتمثل مهمة IPDT الرئيسية في تعقب الأجهزة المضيفة المتصلة (اقتران عناوين MAC و IP). للقيام بهذا الإجراء، يرسل بروتوكول تحليل العنوان (ARP) للبث الأحادي بفاصل افتراضي مقداره 30 ثانية. يتم إرسال هذه الاستقصاءات إلى عنوان MAC للمضيف المتصل على الجانب الآخر من الارتباط، واستخدام الطبقة 2 (L2) كمصدر افتراضي له عنوان MAC للواجهة المادية التي يذهب منها ARP وعنوان IP للمرسل 0.0.0.0، استنادا إلى تعريف إستقصاء ARP المدرج في RFC 5227
مقتطف
في هذا المستند، يتم إستخدام مصطلح ARP Probe للإشارة إلى حزمة طلب ARP، والتي يتم بثها على الارتباط المحلي، بعنوان IP للمرسل الذي يكون الكل صفرا. يجب أن يحتوي عنوان جهاز المرسل على عنوان الجهاز الخاص بالواجهة التي ترسل الحزمة. يجب تعيين حقل عنوان IP الخاص بالمرسل إلى جميع الأصفار لتجنب تلف ذاكرة تخزين ARP المؤقت في البيئات المضيفة الأخرى، على نفس الارتباط، في الحالة التي يتبين فيها أن العنوان قيد الاستخدام بالفعل من قبل مضيف آخر. يجب تعيين حقل عنوان IP الهدف على العنوان الذي تم التحقق منه. ينقل مسبر ARP كلا من سؤال (هل يستخدم أي شخص هذا العنوان؟ ) وجملة ضمنية (هذا هو العنوان الذي تأمل إستخدامه.)
والغرض من IPDT هو أن يحصل المحول على قائمة بالأجهزة المتصلة بالمحول عبر عنوان IP والاحتفاظ بها. لا يقوم المسبار بتعميم إدخال التعقب؛ يتم إستخدامه ببساطة للحفاظ على الإدخال في الجدول بعد تعلمه من خلال طلب/رد ARP من المضيف.
يتم تمكين فحص IP ARP تلقائيا عند تمكين IPDT. هو يكتشف وجود مضيف جديد عندما يراقب ARP ربط. إذا تم تمكين فحص ARP الديناميكي، يتم إستخدام حزم ARP التي يتحقق منها فقط لاكتشاف البيئات المضيفة الجديدة لجدول تعقب الجهاز.
يقوم التطفل على بروتوكول IP DHCP، في حالة تمكينه، باكتشاف وجود أو إزالة البيئات المضيفة الجديدة عند قيام DHCP بتعيين عناوين IP الخاصة بها أو إبطالها. عندما يرى DHCP حركة مرور لمضيف معين، ال IPDT ARP مسبار وقت أعدت.
IPDT هي ميزة كانت دائما متوفرة. ومع ذلك، في إصدارات Cisco IOS® الأحدث، يتم تمكين تبعياته بشكل افتراضي (راجع معرف تصحيح الأخطاء من Cisco CSCuj04986). يمكن أن يكون مفيدا للغاية عندما يتم إستخدام قاعدة البيانات الخاصة بها لاتحادات مضيفي IP/MAC لملء مصدر IP الخاص بقوائم التحكم في الوصول الديناميكية (ACLs)، أو للحفاظ على ربط عنوان IP لعلامة مجموعة أمان.
يتم إرسال فحص ARP في ظل ظرفين:
- ينتقل الارتباط المرتبط بالإدخال الحالي في قاعدة بيانات IPDT من حالة "لأسفل" إلى "أعلى"، وقد تم ملء إدخال ARP.
- يوجد إرتباط بالفعل في حالة UP مقترن بإدخال في قاعدة بيانات IPDT به فترة إختبار منتهية الصلاحية.
المشكلة
المسبار keepalive المرسل من قبل المفتاح هو فحص L2. على هذا النحو، من وجهة نظر المحول، لا تعد عناوين IP المستخدمة كمصدر في بروتوكولات تحليل العناوين (ARPs) مهمة: يمكن إستخدام هذه الميزة على الأجهزة التي ليس لها عنوان IP مكون على الإطلاق، لذلك فإن مصدر IP الخاص ب 0.0.0.0 غير ذي صلة.
عندما يستلم المضيف هذا رسالة، هو يرد الخلف ويعبئ الغاية ip مجال مع العنوان وحيد يتوفر في الربط يستلم، أي يكون العنوان هو نفسه. قد يتسبب ذلك في حدوث تنبيهات عنوان IP مكرر زائف، لأن المضيف الذي يرد عليه يرى عنوان IP الخاص به كمصدر الحزمة ووجهتها على حد سواء؛ ارجع إلى عنوان IP مكرر 0.0.0.0.0. مقالة أستكشاف أخطاء رسائل الخطأ وإصلاحها للحصول على مزيد من المعلومات حول سيناريو عنوان IP مكرر.
الحالة الافتراضية والعملية
إن التكوين العام للتشغيل/إيقاف التشغيل ل IPDT هو سلوك قديم تسبب مشاكل في الميدان لأن العملاء لا يدركون دائما أنهم بحاجة إلى تشغيل IPDT لكي تعمل ميزات معينة. وفي الإصدارات الحالية، يتم التحكم في IPDT فقط على مستوى الواجهة عندما تقوم بتمكين ميزة تتطلب IPDT.
IPDT بشكل عام بشكل افتراضي ضمن هذه الإصدارات؛ وهذا، بدون أمر تكوين عام:
- مادة حفازة 2k/3k: 15٫2(1)E
- Catalyst 3850: 3.2.0SE
- مادة حفازة 4k: 15.2(1)E / 3.5.0E
ومن المهم ملاحظة أنه، حتى في حالة تمكين IPDT على الصعيد العالمي، فإن ذلك لا يعني بالضرورة أن IPDT تراقب بشكل فعال ميناء معينا.
وفيما يتعلق بالإصدارات التي تكون IPDT فيها مشغلة دائما، والتي يمكن فيها تغيير IPDT/تشغيل على مستوى عالمي عندما يكون IPDT ممكنا على مستوى عالمي، تحدد الميزات الأخرى بالفعل ما إذا كانت نشطة على واجهة معينة (انظر قسم مجالات الوظائف).
مجالات الوظائف
يتم إستخدام IPDT ومستكشفات ARP الخاصة به والمرسلة من واجهة معينة لهذه الميزات:
- بروتوكول خدمات إمكانية تنقل الشبكات (NMSP)، الإصدارات 3.2.0E و 15.2(1)E و 3.5.0E والإصدارات الأحدث
- مستشعر الجهاز، الإصدارات 15.2(1)E و 3.5.0E والإصدارات الأحدث
- 1X، تجاوز مصادقة MAC (MAB)، مدير الجلسة
- المصادقة المستندة إلى الويب
- Auth-proxy
- واقي مصدر بروتوكول الإنترنت (IPSG) للمضيفين الثابتين
- تقنية Flexible NetFlow
- Cisco TrustSec (CTS)
- تتبع الوسائط
- عمليات إعادة توجيه HTTP
مصفوفة الميزات
| المنصة |
الميزة |
تشغيل افتراضي (بدء في) |
تعطيل الأسلوب |
تعطيل CLI |
| CAT 2960/3750 (Cisco IOS) |
IPDT |
15.2(1)E * |
واجهة سطر الأوامر (CLI) العالمية (الإصدارات الأقدم) * لكل واجهة |
لا يوجد تتبع لجهاز IP * الحد الأقصى لتتبع أجهزة IP 0 *** |
| CAT 2960/3750 (Cisco IOS) |
NMSP |
لا |
واجهة سطر الأوامر العالمية أو واجهة سطر الأوامر لكل واجهة |
ما من nmsp enable منع مرفقات NMSP **** |
| CAT 2960/3750 (Cisco IOS) |
مستشعر الجهاز |
15.0(1)SE |
واجهة سطر الأوامر (CLI) العالمية |
لا يوجد مراقبة آلية ماكرو |
| CAT 2960/3750 (Cisco IOS) |
إستطلاع ARP |
15.2(1)E ** |
غير متوفر |
غير متوفر |
|
|
|
|
|
| كات 3850 |
IPDT |
جميع الإصدارات * |
لكل واجهة * |
الحد الأقصى لتتبع أجهزة IP 0 *** |
| كات 3850 |
NMSP |
جميع الإصدارات |
لكل واجهة |
منع مرفقات NMSP |
| كات 3850 |
مستشعر الجهاز |
لا |
غير متوفر |
غير متوفر |
| كات 3850 |
إستطلاع ARP |
جميع الإصدارات ** |
غير متوفر |
غير متوفر |
|
|
|
|
|
| كات 4500 |
IPDT |
15.2(1)E / 3.5.0E * |
واجهة سطر الأوامر (CLI) العالمية (الإصدارات الأقدم) * لكل واجهة |
لا يوجد تتبع لجهاز IP * الحد الأقصى لتتبع أجهزة IP 0 *** |
| كات 4500 |
NMSP |
لا |
واجهة سطر الأوامر العالمية أو واجهة سطر الأوامر لكل واجهة |
ما من nmsp enable منع مرفقات NMSP **** |
| كات 4500 |
مستشعر الجهاز |
15.1(1)SG / 3.3.0SG |
واجهة سطر الأوامر (CLI) العالمية |
لا يوجد مراقبة آلية ماكرو |
| كات 4500 |
إستطلاع ARP |
15.2(1)E / 3.5.0E ** |
غير متوفر |
غير متوفر |
الميزات
- لا يمكن تعطيل IPDT بشكل عام في الإصدارات الأحدث، ولكن IPDT يكون نشطا فقط على المنافذ، إذا كانت الميزات التي تتطلب ذلك نشطة.
- يكون إستطلاع ARP نشطا فقط إذا كانت مجموعات ميزات معينة تمكنه.
- إذا قمت بتعطيل IPDT على أساس كل واجهة، فإنها لا تمنع التطفل على ARP، بل تمنع تعقب IPDT. يتوفر هذا الطراز من i3.3.0SE و 15.2(1)E و 3.5.0E والإصدارات الأحدث.
- يتوفر حظر NMSP لكل واجهة فقط في حالة تمكين NMSP بشكل عام.
تعطيل IPDT
في الإصدارات التي لا يتم فيها تمكين IPDT بشكل افتراضي، يمكن إيقاف IPDT بشكل عام باستخدام هذا الأمر:
Switch(config)#no ip device tracking
في الإصدارات التي يكون IPDT فيها دائما قيد التشغيل، لا يتوفر الأمر السابق، أو لا يسمح لك بتعطيل IPDT (معرف تصحيح الأخطاء من Cisco CSCuj04986). في هذه الحالة، هناك عدة طرق لضمان أن IPDT لا يراقب ميناء خاص أو هو لا يلد مضاعفة IP تنبيهات.
إدخال الأمر IP Device Tracking Probe Delay 10
لا يسمح هذا أمر مفتاح أن يرسل تحقيق ل 10 ثاني عندما يكتشف هو خطوة up/flap، أي يقلل من إمكانية أن يتم إرسال المسبار بينما المضيف على الجانب الآخر من الخطوة يتحقق من مضاعفة عنوان IP. يعين ال rfc 10 ثاني نافذة ل مضاعفة عنوان كشف، لذلك إن أنت تؤجل الأداة تعقب تحقيق، الإصدار يستطيع كنت حلت في معظم الحالات.
إذا قام المحول بإرسال تحقيق ARP للعميل أثناء قيام المضيف (على سبيل المثال، كمبيوتر Microsoft Windows) في مرحلة "اكتشاف التكرارات والعناوين"، يقوم المضيف باكتشاف التحقيق كعنوان IP مكرر ويعرض على المستخدم رسالة تشير إلى العثور على عنوان IP مكرر على الشبكة. إذا لم يحصل الكمبيوتر على عنوان، فيجب على المستخدم تحرير/تجديد العنوان يدويا، أو قطع الاتصال بالشبكة، أو إعادة تمهيد الكمبيوتر من أجل اكتساب حق الوصول إلى الشبكة.
بالإضافة إلى تأخير المسبار، يعيد التأخير أيضا ضبط نفسه عندما يكتشف المحول مسبارا من الكمبيوتر/المضيف. على سبيل المثال، إذا قام مؤقت المسبار بحساب حتى خمس ثوان واكتشاف مسبار ARP من الكمبيوتر الشخصي/المضيف، فإن المؤقت يعيد الضبط إلى 10 ثوان.
تم توفير هذا التكوين من خلال معرف تصحيح الأخطاء من Cisco CSCtn27420.
أدخل أمر SVI لمسار تعقب جهاز IP
مع هذا أمر، أنت يستطيع شكلت المفتاح in order to أرسلت غير RFC متوافق ARP تحقيق؛ ال ip ليس مصدر 0.0.0.0، غير أن هو المفتاح قارن ظاهري (SVI) في ال VLAN حيث المضيف يقيم. لم تعد أجهزة Microsoft Windows ترى المسبار كمسبار كما هو محدد بواسطة RFC 5227 ولا تشير إلى عنوان IP مكرر محتمل.
أدخل الأمر [override] [passive] [backback <host-ip> الخاص بمسبار تعقب جهاز IP]
بالنسبة للعملاء الذين لا يمتلكون أجهزة طرفية يمكن التنبؤ بها / التحكم فيها أو لهؤلاء الذين لديهم محولات كثيرة في دور المستوى الثاني فقط، فإن تكوين SVI الذي يقدم متغير الطبقة 3 في التصميم لا يعد حلا مناسبا. تحسين تم تقديمه في الإصدار 15.2(2)E والإصدارات الأحدث، وهو إمكانية السماح بالتعيين التعسفي لعنوان IP لا يلزم أن ينتمي إلى المحول لاستخدامه كعنوان مصدر في مستكشفات ARP التي تم إنشاؤها بواسطة IPDT. يوفر هذا التحسين فرصة تعديل السلوك التلقائي للنظام بهذه الطرق (توضح هذه القائمة كيفية تصرف النظام تلقائيا بعد إستخدام كل أمر):
إدخال الأمر IP Device Tracking Probe Auto-source
- ثبتت المصدر إلى VLAN SVI، إن يتواجد.
- ابحث عن زوج مصدر/MAC في جدول مضيف IP لنفس الشبكة الفرعية.
- قم بإرسال مصدر IP صفر في الحالة الافتراضية.
أدخل الأمر IP Device Tracking Probe Auto-source fallback 0.0.0.1 255.255.255.0
- ثبتت المصدر إلى VLAN SVI، إن يتواجد.
- ابحث عن زوج مصدر/MAC في جدول مضيف IP لنفس الشبكة الفرعية.
- حوسبة IP المصدر من IP الوجهة مع توفير بت المضيف والقناع.
إدخال أمر تجاوز تجاوز مسابر تعقب جهاز IP Auto-source backback 0.0.0.1 255.255.255.0
- ثبتت المصدر إلى VLAN SVI، إن يتواجد.
- حوسبة IP المصدر من IP الوجهة مع توفير بت المضيف والقناع.
ملاحظة: يؤدي التجاوز إلى تخطي البحث عن إدخال في الجدول.
كمثال على العمليات الحسابية السابقة، افترض أنك قمت بسبر المضيف 192.168.1.200. باستخدام القناع ووحدات بت المضيف المتوفرة، يمكنك إنشاء عنوان مصدر بقيمة 192.168.1.1. إذا قمت بسبر الإدخال 10.5.5.20، يمكنك إنشاء تحقيق ARP بعنوان المصدر 10.5.5.1، وما إلى ذلك.
إدخال الأمر ip device tracking maximum 0
لا يقوم هذا الأمر بتعطيل IPDT حقا، ولكنه يحد من عدد الأجهزة المضيفة المتتبعة إلى صفر. هذا ليس حلا مستحسنا، ويجب إستخدامه مع الحذر لأنه يؤثر على جميع الميزات الأخرى التي تعتمد على IPDT، والتي تتضمن تكوين قنوات المنفذ كما هو موضح في معرف تصحيح الأخطاء من Cisco CSCun81556.
إيقاف تشغيل الميزات النشطة التي تشغل IPDT
تتضمن بعض الميزات التي يمكن أن تشغل IPDT NMSP، ومستشعر الجهاز، و dot1x/MAB، و WebAuth، و IPSG. لا يوصى بتمكين هذه الميزات على منافذ خطوط الاتصال. تم حفظ هذا الحل لأكثر الحالات صعوبة أو تعقيدا، حيث لم تعمل جميع الحلول المتوفرة من قبل كما هو متوقع، أو أنها خلقت مشاكل إضافية. ومع ذلك، هذا هو الحل الوحيد الذي يسمح بالقابلية الفائقة للتحصيل عند تعطيل IPDT، لأنك تستطيع إيقاف تشغيل الميزات المرتبطة ب IPDT فقط التي تسبب المشاكل وتترك كل شيء آخر غير متأثر.
في أحدث إصدارات برنامج Cisco IOS، الإصدار 15.2(2)E والإصدارات الأحدث، يمكنك مشاهدة إخراج مشابه لما يلي:
Switch#show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IPv6 Device Tracking Client Registered Handle: 75
IP Device Tracking Enabled Features:
HOST_TRACK_CLIENT_ATTACHMENT
HOST_TRACK_CLIENT_SM
الخطان في كل الحروف كبيرة في أسفل المخرجات هما تلك التي تستخدم IPDT من أجل العمل. يمكن تجنب معظم المشاكل التي تم إنشاؤها عند تعطيل تعقب الجهاز إذا قمت بتعطيل الخدمات الأحادية التي يتم تشغيلها في الواجهة.
في الإصدارات السابقة من Cisco IOS، لا تتوفر هذه الطريقة السهلة لمعرفة الوحدات النمطية التي يتم تمكينها تحت واجهة بعد، لذلك يجب عليك المرور بعملية أكثر مشاركة للحصول على النتائج نفسها. يجب تشغيل واجهة تعقب جهاز IP debug ip، وهو سجل منخفض التردد يجب أن يكون آمنا في معظم العمليات. أحرص على عدم تشغيل تتبع جهاز IP ل debug all لأن هذا، على العكس، يفيض وحدة التحكم في حالات النطاق.
بمجرد تشغيل تصحيح الأخطاء، قم بإعادة الواجهة إلى الوضع الافتراضي، ثم قم بإضافة خدمة IPDT وإزالتها من تكوين الواجهة. تخبرك نتائج تصحيح الأخطاء عن الخدمة التي تم تمكينها/تعطيلها باستخدام الأمر الذي أستخدمته.
مثال
Switch(config)#interface GigabitEthernet 1/0/9
Switch(config-if)#ip device tracking maximum 10
Switch(config-if)#
*Mar 27 09:58:49.470: sw_host_track-interface:Feature 00000008 enabled on port
Gi1/0/9, mask now 0000004C, 65 ports enabled
*Mar 27 09:58:49.471: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max set to 10
Switch(config-if)#
ما تكشف عنه المخرجات هو أن أنت مكنت سمة 0000008، وأن السمة قناع جديد هو 000004C.
الآن، قم بإزالة التكوين الذي أضفته للتو:
Switch(config-if)#no ip device tracking maximum 10
Switch(config-if)#
*Mar 27 10:02:31.154: sw_host_track-interface:Feature 00000008 disabled on port
Gi1/0/9, mask now 00000044, 65 ports enabled
*Mar 27 10:02:31.154: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max cleared
*Mar 27 10:02:31.154: sw_host_track-interface:Max limit has been removed from
the interface GigabitEthernet1/0/9.
Switch(config-if)#
ما إن يزيل أنت سمة 0000008، أنت يستطيع رأيت ال 0000044 قناع، أي ينبغي كنت ال أصلي، تقصير قناع. من المتوقع أن تكون هذه القيمة 0000044 نظرا لأن AIM هو 0x000004 و SM هو 0x00000040، والتي ينتج عنها معا 0x00000044.
هناك العديد من خدمات IPDT التي يمكن تشغيلها تحت واجهة:
| خدمة IPT |
الواجهة |
| Host_TRACK_CLIENT_IP_ADMISSIONS |
= 0x0000001 |
| Host_TRACK_CLIENT_DOT1X |
= 0x000002 |
| Host_TRACK_CLIENT_ATTACHMENT |
= 0x0000004 |
| host_track_client_track_host_upto_max |
= 0x0000008 |
| Host_TRACK_CLIENT_RSVP |
= 0x0000010 |
| Host_TRACK_CLIENT_CTS |
= 0x0000020 |
| host_track_client_sm |
= 0x0000040 |
| Host_TRACK_CLIENT_Wireless |
= 0x0000080 |
في المثال، يتم تكوين الوحدات النمطية HOST_TRACK_CLIENT_SM (session-manager) و HOST_TRACK_CLIENT_ATTACHMENT (المعروف أيضا باسم AIM/NMSP) ل IPDT. in order to إيقاف IPDT على هذا قارن، أنت ينبغي أعجزت كلا، لأن IPDT معطل فقط عندما all of the وظيفة أن يستعمل هو يكون معأق أيضا.
بعد أن تقوم بتعطيل تلك الميزات، يكون لديك مخرجات مماثلة لهذا:
Switch(config-if)#do show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled ß IPDT is disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IP Device Tracking Enabled Features:
ß No active features
--------------------------------------------
وبهذه الطريقة، يتم تعطيل IPDT بمزيد من القابلية للتعديل.
هنا بعض الأمثلة من أمر يستعمل in order to أعجزت بعض من الوظائف يناقش سابقا:
- منع إرفاق NMSP
- لا يوجد مراقبة آلية ماكرو
ملاحظة: يجب أن تكون الميزة الأخيرة متاحة فقط على الأنظمة الأساسية التي تدعم المنافذ الذكية، والتي يتم إستخدامها لتمكين الميزات استنادا إلى موقع محول في الشبكة، ولعمليات نشر التكوين الجماعي عبر الشبكة.
التحقق من عملية IPDT
أستخدم هذه الأوامر للتحقق من حالة IPDT على جهازك:
- show ip device tracking
يعرض هذا أمر قارن حيث IPDT يكون مكنت، وحيث MAC/IP/قارن يكون monitore حاليا.
- تعقب واضح لأجهزة IP
- يعمل هذا الأمر على مسح الإدخالات المرتبطة ب IPDT.
ملاحظة: يرسل المحول مستكشفات ARP إلى الأجهزة المضيفة التي تمت إزالتها. إذا كان المضيف موجودا، فإنه يستجيب إلى مسبار ARP والمحول يضيف إدخال IPDT للمضيف. أنت ينبغي أعجزت ARP تدقيق قبل ال clear IPDT أمر؛ بهذه الطريقة، تم إنهاء كافة إدخالات ARP. إذا تم تمكين عمليات مراقبة ARP بعد الأمر clear ip device tracking، فستعود جميع الإدخالات مرة أخرى.
- تتبع جهاز ip debug
يتيح لك هذا الأمر تجميع تصحيح الأخطاء لعرض نشاط IPDT في الوقت الفعلي.
التعليقات