In diesem Dokument wird beschrieben, wie IP Device Tracking (IPDT)-Prozesse und einige Maßnahmen zur Fehlerbehebung überprüft werden.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Ergebnisse in diesem Dokument basieren auf den folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Die wichtigste IPDT-Aufgabe besteht darin, den Überblick über verbundene Hosts zu behalten (Zuordnung von MAC- und IP-Adresse). Dazu sendet es Unicast Address Resolution Protocol (ARP)-Tests mit einem Standardintervall von 30 Sekunden. Diese Tests werden an die MAC-Adresse des Hosts gesendet, der auf der anderen Seite der Verbindung angeschlossen ist, und verwenden Layer 2 (L2) als Standardquelle. Dies ermöglicht die MAC-Adresse der physischen Schnittstelle, von der der ARP ausgeht, und die Absender-IP-Adresse 0.0.0.0, basierend auf der ARP-Sondendefinition in RFC 5227.
Anmerkung: IPDT wurde zugunsten von SISF-basierter (Switch Integrated Security Features) Geräteverfolgung veraltet. SISF bietet eine verbesserte IP-Nachverfolgung und unterstützt sowohl IPv4 als auch IPv6.
Ab Cisco IOS® XE Denali 16.1.1 verfügen die vorhandenen IPv6-Snooping- und IP Device Tracking (IPDT)-Befehle über entsprechende SISF-basierte Device Tracking-Befehle, mit denen Sie Ihre Konfiguration auf IPv4- und IPv6-Adressfamilien anwenden können.
Dieses Dokument wird als Referenz beibehalten, da es die ältere IPDT-Funktion (IP Device Tracking) betrifft. Bei aktuellen Bereitstellungen kann SISF-basierte Geräteverfolgung verwendet werden, die IPDT in modernen Cisco IOS-XE-Plattformen ersetzt. Weitere Informationen zur Fehlerbehebung von SISF finden Sie unter Fehlerbehebung bei SISF bei Catalyst Switches der Serie 9000.
In diesem Dokument bezieht sich der Begriff "ARP-Anfrage" auf ein ARP-Anforderungspaket, das über den lokalen Link übertragen wird und eine Absender-IP-Adresse "0" hat. Die Hardwareadresse des Absenders MUSS die Hardwareadresse der Schnittstelle enthalten, die das Paket sendet. Das Feld für die Absender-IP-Adresse MUSS auf alle Nullen gesetzt werden, um eine Beschädigung zu vermeiden, die ARP auf anderen Hosts über dieselbe Verbindung zwischenspeichert, falls sich herausstellt, dass die Adresse bereits von einem anderen Host verwendet wird. Das Ziel-IP-Adressfeld MUSS auf die Adresse gesetzt werden, die geprüft wird. Eine ARP-Anfrage vermittelt sowohl eine Frage (wird diese Adresse von anderen verwendet?) als auch eine implizite Aussage (Sie hoffen, diese Adresse zu verwenden.)
Der Zweck von IPDT besteht darin, dass der Switch eine Liste der Geräte abruft und verwaltet, die über eine IP-Adresse mit dem Switch verbunden sind. Die Probe füllt den Verfolgungseintrag nicht aus; wird er einfach verwendet, um den Eintrag in der Tabelle beizubehalten, nachdem er durch eine ARP-Anfrage/Antwort vom Host abgerufen wurde.
IP-ARP-Inspektion wird automatisch aktiviert, wenn IPDT aktiviert ist. Bei der Überwachung von ARP-Paketen erkennt er neue Hosts. Wenn die dynamische ARP-Inspektion aktiviert ist, werden nur die validierten ARP-Pakete zum Erkennen neuer Hosts für die Tabelle "Device Tracking" (Geräteverfolgung) verwendet.
Wenn IP DHCP Snooping aktiviert ist, erkennt es das Vorhandensein oder Entfernen neuer Hosts, wenn DHCP ihre IP-Adressen zuweist oder widerruft. Wenn DHCP-Datenverkehr für einen bestimmten Host erkannt wird, wird der IPDT ARP-Intervall-Timer zurückgesetzt.
IPDT ist eine Funktion, die schon immer verfügbar war. Bei neueren Cisco IOS®-Versionen sind die Abhängigkeiten jedoch standardmäßig aktiviert (siehe Cisco Bug-ID CSCuj04986). Es kann äußerst nützlich sein, wenn die eigene Datenbank mit IP/MAC-Hosts-Verknüpfungen verwendet wird, um die Quell-IP dynamischer Zugriffskontrolllisten (ACLs) auszufüllen oder um die Bindung einer IP-Adresse an ein Sicherheitsgruppen-Tag aufrechtzuerhalten.
Die ARP-Probe wird unter zwei Umständen gesendet:
Die vom Switch gesendete Keepalive-Anfrage ist eine L2-Prüfung. Aus Switch-Sicht sind daher die IP-Adressen, die als Quelle in den ARPs verwendet werden, nicht wichtig: Diese Funktion kann auf Geräten ohne konfigurierte IP-Adresse verwendet werden, sodass die IP-Quelle 0.0.0.0 nicht relevant ist.
Wenn der Host diese Nachrichten empfängt, antwortet er zurück und füllt das Ziel-IP-Feld mit der einzigen im empfangenen Paket verfügbaren IP-Adresse, nämlich der eigenen IP-Adresse, auf. Dies kann Warnungen über falsche doppelte IP-Adressen verursachen, da der antwortende Host seine eigene IP-Adresse sowohl als Quelle als auch als Ziel des Pakets sieht. Weitere Informationen zu Szenarios mit doppelten IP-Adressen finden Sie im Artikel Troubleshoot "Duplicate IP Address 0.0.0.0" Error Messages.
Die globale On/Off-Konfiguration für IPDT ist ein älteres Verhalten, das Probleme vor Ort verursacht hat, da Kunden nicht immer wussten, dass sie IPDT aktivieren müssen, damit bestimmte Funktionen funktionieren. In aktuellen Versionen wird IPDT nur auf Schnittstellenebene gesteuert, wenn eine Funktion aktiviert wird, für die IPDT erforderlich ist.
IPDT ist in diesen Versionen standardmäßig global aktiviert. d. h. kein globaler Konfigurationsbefehl:
Beachten Sie, dass selbst wenn IPDT global aktiviert ist, dies nicht unbedingt bedeutet, dass IPDT einen bestimmten Port aktiv überwacht.
Bei Versionen, bei denen IPDT immer aktiv ist und bei denen IPDT global ein- und ausgeschaltet werden kann, wenn IPDT global aktiviert ist, bestimmen andere Funktionen, ob es auf einer bestimmten Schnittstelle aktiv ist (siehe Abschnitt Funktionsbereiche).
IPDT und seine ARP-Tests, die von einer bestimmten Schnittstelle gesendet werden, werden für die folgenden Funktionen verwendet:
| Plattform |
Funktion |
Standard am (Start in) |
Disable-Methode |
CLI deaktivieren |
| Cat 2960/3750 (Cisco IOS) |
IPDT |
15.2(1)E * |
Globale Kommandozeile (ältere Versionen) * pro Schnittstelle |
Keine IP-Geräte-Nachverfolgung * Nachverfolgung von IP-Geräten max. 0 *** |
| Cat. 2960/3750 (Cisco IOS) |
NMSP |
Nein |
Globale CLI oder Kommandozeile pro Schnittstelle |
Keine NMSP-Aktivierung NMSP-Anhang unterdrücken **** |
| Cat 2960/3750 (Cisco IOS) |
Gerätesensor |
15.0(1)SE |
Globale CLI |
Keine automatische Makroüberwachung |
| Cat 2960/3750 (Cisco IOS) |
ARP-Snooping |
15.2(1)E ** |
– |
– |
| Cat 3850 |
IPDT |
Alle Versionen * |
Pro Schnittstelle * |
Nachverfolgung von IP-Geräten max. 0 *** |
| Cat 3850 |
NMSP |
Alle Versionen |
Pro Schnittstelle |
Unterdrücken der NMSP-Anlage |
| Cat 3850 |
Gerätesensor |
Nein |
– |
– |
| Cat 3850 |
ARP-Snooping |
Alle Versionen ** |
– |
– |
| Cat 4500 |
IPDT |
15.2(1)E / 3.5.0E * |
Globale Kommandozeile (ältere Versionen) * pro Schnittstelle |
Keine Nachverfolgung von IP-Geräten* Nachverfolgung von IP-Geräten max. 0 *** |
| Cat 4500 |
NMSP |
Nein |
Globale CLI oder Kommandozeile pro Schnittstelle |
Keine NMSP-Aktivierung NMSP-Anhang unterdrücken **** |
| Cat 4500 |
Gerätesensor |
15.1(1)SG/3.3.0SG |
Globale CLI |
Keine automatische Makroüberwachung |
| Cat 4500 |
ARP-Snooping |
15.2(1)E/3.5.0E ** |
– |
– |
In Versionen, in denen IPDT nicht standardmäßig aktiviert ist, kann IPDT global deaktiviert werden, indem der folgende Befehl ausgeführt wird:
Switch(config)#no ip device tracking
Bei Versionen, bei denen IPDT immer aktiviert ist, ist der vorherige Befehl nicht verfügbar, oder Sie können IPDT nicht deaktivieren (Cisco Bug-ID CSCuj04986). In diesem Fall gibt es mehrere Möglichkeiten sicherzustellen, dass IPDT einen bestimmten Port nicht überwacht oder keine doppelten IP-Warnmeldungen generiert.
Mit diesem Befehl kann ein Switch 10 Sekunden lang keinen Prüfpunkt senden, wenn er eine Verbindung UP/Flap erkennt. Dadurch wird die Möglichkeit minimiert, den Prüfpunkt senden zu lassen, während der Host auf der anderen Seite der Verbindung nach doppelten IP-Adressen sucht. Der RFC gibt ein 10-Sekunden-Fenster für die Erkennung doppelter Adressen an. Wenn Sie die Geräteüberwachungssonde verzögern, kann das Problem in den meisten Fällen gelöst werden.
Wenn der Switch einen ARP-Prüfpunkt für den Client sendet, während sich der Host (z. B. ein Microsoft Windows-PC) in der Phase der Erkennung doppelter Adressen befindet, erkennt der Host den Prüfpunkt als doppelte IP-Adresse und sendet dem Benutzer die Meldung, dass eine doppelte IP-Adresse im Netzwerk gefunden wurde. Wenn der PC keine Adresse erhält und der Benutzer die Adresse manuell freigeben/erneuern muss; Trennen Sie die Verbindung zum Netzwerk, und stellen Sie sie erneut her, oder starten Sie den PC neu, um Netzwerkzugriff zu erhalten.
Zusätzlich zur "Probe-Delay"-Verzögerung setzt sich die Verzögerung auch zurück, wenn der Switch eine Probe vom PC/Host erkennt. Wenn der Zeitgeber beispielsweise bis zu fünf Sekunden gezählt hat und eine ARP-Anfrage vom PC/Host erfasst, wird der Zeitgeber auf 10 Sekunden zurückgesetzt.
Diese Konfiguration wurde über die Cisco Bug-ID CSCtn27420 bereitgestellt.
Mit diesem Befehl können Sie den Switch so konfigurieren, dass ein nicht RFC-konformer ARP-Test gesendet wird. Die IP-Quelle ist nicht 0.0.0.0, sondern die Switch Virtual Interface (SVI) im VLAN, in dem sich der Host befindet. Für Microsoft Windows-Computer wird der Prüfpunkt nicht mehr als Prüfpunkt im Sinne von RFC 5227 angezeigt, und er wird nicht als potenziell duplizierte IP-Adresse gekennzeichnet.
Für Kunden ohne vorhersehbare/kontrollierbare Endgeräte oder mit vielen Switches in einer reinen L2-Rolle ist die Konfiguration einer SVI, die eine Layer-3-Variable in das Design einführt, keine geeignete Lösung. Eine in Version 15.2(2)E und höher eingeführte Erweiterung, bei der die Möglichkeit, eine beliebige Zuweisung einer IP-Adresse zuzulassen, nicht unbedingt Teil des Switches sein muss, damit er als Quelladresse in von IPDT generierten ARP-Tests verwendet werden kann. Diese Erweiterung bietet die Möglichkeit, das automatische Verhalten des Systems auf diese Weise zu ändern (diese Liste zeigt, wie sich das System nach jedem Befehl automatisch verhält):
Nehmen Sie als Beispiel für die vorherigen Berechnungen an, Sie testen den Host 192.168.1.200 mit den bereitgestellten Masken- und Host-Bits. Sie generieren die Quelladresse 192.168.1.1. Wenn Sie den Eintrag 10.5.5.20 testen, können Sie einen ARP-Test mit der Quelladresse 10.5.5.1, usw.
Mit diesem Befehl wird IPDT nicht wirklich deaktiviert. Die Anzahl der verfolgten Hosts wird jedoch auf Null beschränkt. Dies ist keine empfohlene Lösung, und sie muss mit Vorsicht verwendet werden, da sie alle anderen Funktionen betrifft, die auf IPDT basieren. Dazu gehören auch die Port-Channel-Konfigurationen, die unter der Cisco Bug-ID CSCun81556 beschrieben werden.
Zu den Funktionen, die IPDT auslösen können, gehören NMSP, Gerätesensor, dot1x/MAB, WebAuth und IPSG. Diese Funktionen sollten nicht auf Trunk-Ports aktiviert werden. Diese Lösung ist für die schwierigsten oder komplexesten Situationen reserviert, in denen entweder alle zuvor verfügbaren Lösungen nicht wie erwartet funktionierten oder zusätzliche Probleme auftraten. Dies ist jedoch die einzige Lösung, die eine extreme Detailgenauigkeit ermöglicht, wenn Sie IPDT deaktivieren, da Sie nur die IPDT-bezogenen Funktionen deaktivieren können, die Probleme verursachen, und alles andere davon unberührt lassen.
In der neuesten Version von Cisco IOS, Version 15.2(2)E und höher, sehen Sie eine Ausgabe ähnlich dieser:
Switch#show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IPv6 Device Tracking Client Registered Handle: 75
IP Device Tracking Enabled Features:
HOST_TRACK_CLIENT_ATTACHMENT
HOST_TRACK_CLIENT_SM
Die beiden Zeilen in allen Großbuchstaben am unteren Rand der Ausgabe sind diejenigen, die IPDT verwenden, um zu arbeiten. Die meisten Probleme, die beim Deaktivieren der Geräteverfolgung entstehen, können vermieden werden, wenn Sie die einzelnen Dienste deaktivieren, die auf der Schnittstelle ausgeführt werden.
In früheren Versionen von Cisco IOS ist es noch nicht möglich, auf einfache Weise herauszufinden, welche Module über eine Schnittstelle aktiviert wurden. Sie müssen daher einen aufwändigeren Prozess durchlaufen, um die gleichen Ergebnisse zu erhalten. Sie müssen die debug ip device track interface aktivieren. Hierbei handelt es sich um ein Protokoll mit niedriger Frequenz, das in den meisten Setups sicher sein muss. Achten Sie darauf, nicht zu aktivieren debug ip device tracking alle, weil dies, im Gegenteil, flutet die Konsole in skalierten Situationen.
Sobald das Debugging aktiviert ist, setzen Sie eine Schnittstelle wieder auf die Standardeinstellung zurück, und fügen Sie dann einen IPDT-Dienst zur Schnittstellenkonfiguration hinzu bzw. entfernen Sie diesen. Die Ergebnisse der Fehlersuche zeigen Ihnen, welcher Dienst mit dem von Ihnen verwendeten Befehl aktiviert/deaktiviert wurde.
Switch(config)#interface GigabitEthernet 1/0/9
Switch(config-if)#ip device tracking maximum 10
Switch(config-if)#
*Mar 27 09:58:49.470: sw_host_track-interface:Feature 00000008 enabled on port Gi1/0/9, mask now 0000004C, 65 ports enabled
*Mar 27 09:58:49.471: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP host tracking max set to 10
Switch(config-if)#
Die Ausgabe zeigt, dass Sie das Feature 00000008 aktiviert haben und dass die neue Feature-Maske 0000004C lautet.
Entfernen Sie nun die Konfiguration, die Sie gerade hinzugefügt haben:
Switch(config-if)#no ip device tracking maximum 10
Switch(config-if)#
*Mar 27 10:02:31.154: sw_host_track-interface:Feature 00000008 disabled on port
Gi1/0/9, mask now 00000044, 65 ports enabled
*Mar 27 10:02:31.154: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max cleared
*Mar 27 10:02:31.154: sw_host_track-interface:Max limit has been removed from
the interface GigabitEthernet1/0/9.
Switch(config-if)#
Wenn Sie das Feature 00000008 entfernen, sehen Sie die Maske 00000044, die die ursprüngliche Standardmaske sein muss. Der Wert von 00000044 wird erwartet, da AIM 0x00000004 und SM 0x00000040 ist, was zusammen zu 0x00000044 führt.
Es gibt mehrere IPDT-Dienste, die unter einer Schnittstelle ausgeführt werden können:
| IPT-Service |
Schnittstelle |
| HOST_TRACK_CLIENT_IP_ADMISSIONS |
= 0x00000001 |
| HOST_TRACK_CLIENT_DOT1X |
= 0x00000002 |
| HOST_TRACK_CLIENT_ATTACHING |
= 0x00000004 |
| HOST_TRACK_CLIENT_TRACK_HOST_UPTO_MAX |
= 0x00000008 |
| HOST_TRACK_CLIENT_RSVP |
= 0x00000010 |
| HOST_TRACK_CLIENT_CTS |
= 0x00000020 |
| HOST_SPUR_CLIENT_SM |
= 0x00000040 |
| HOST_TRACK_CLIENT_WIRELESS |
= 0x00000080 |
Im Beispiel HOST_TRACK_CLIENT_SM (SESSION-MANAGER) und HOST_TRACK_CLIENT_ATTACHMENT (auch als AIM/NMSP bezeichnet) werden Module für IPDT konfiguriert. Um IPDT auf dieser Schnittstelle zu deaktivieren, müssen Sie beide deaktivieren, da IPDT NUR dann deaktiviert ist, wenn alle Funktionen, die IPDT verwenden, ebenfalls deaktiviert sind.
Nachdem Sie diese Funktionen deaktiviert haben, haben Sie eine Ausgabe wie diese:
Switch(config-if)#do show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled ß IPDT is disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IP Device Tracking Enabled Features:
ß No active features
--------------------------------------------
Auf diese Weise wird IPDT detaillierter deaktiviert.
Nachfolgend finden Sie einige Beispiele für Befehle, die zum Deaktivieren einiger der zuvor besprochenen Funktionen verwendet wurden:
Führen Sie die folgenden Befehle aus, um den IPDT-Status auf Ihrem Gerät zu überprüfen:
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
5.0 |
07-Jul-2026
|
Aktualisierte Rechtschreibung, Grammatik, Abstände und CCW-Warnmeldungen. |
4.0 |
04-Dec-2025
|
Aktualisierte maschinelle Übersetzung und Suchmaschinenoptimierung |
3.0 |
19-Dec-2024
|
Formatierung aktualisiert. |
2.0 |
21-Aug-2023
|
Aktualisierte SEO, Stilanforderungen und Formatierung. |
1.0 |
25-Nov-2014
|
Erstveröffentlichung |