Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les problèmes liés aux adresses APIPA et fournit des solutions pour les mêmes.
Les utilisateurs finaux attribuent l'APIPA dans ces scénarios,
Firewall/pri/act# show arp | include abcd.abcd.abcd
inside 10.1.1.12 abcd.abcd.abcd 30
inside 10.1.1.13 abcd.abcd.abcd 40
inside 10.1.1.14 abcd.abcd.abcd 51
inside 10.1.1.15 abcd.abcd.abcd 53
DHCPD/RA: creating ARP entry (10.1.1.12, abcd.abcd.abcd).
DHCPRA: Adding rule to allow client to respond using offered address 10.1.1.12
Le périphérique final peut ainsi penser que son adresse est dupliquée.
2. Captures sur le périphérique final ou le pare-feu
Les captures montrent le périphérique final envoyant des paquets DHCP Refuser une fois le processus DORA terminé.
Remarque : assurez-vous qu'aucun périphérique n'agit en tant que proxy ou n'envoie de réponse pour les sondes ARP des utilisateurs finaux.
.
Remarque : assurez-vous que le serveur DHCP n'a pas d'étendues en double configurées.
Firewall# show arp | i abcd
Inside 10.1.1.22 abcd.abcd.abcd 48
Inside 10.1.1.23 abcd.abcd.abcd 49
Inside 10.1.1.24 abcd.abcd.abcd 50
***DROP*** Broadcast to Access-Tunnel disallowed (accessTunnelBroadcastDrop)
router lisp
instance-id 8456
flood access-tunnel
Remarque : assurez-vous d'activer flood access-tunnel sous lisp, si le périphérique final est configuré pour recevoir une offre de diffusion.
#show mac address-table interface gigabitethernet1/0/20
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
10 0000.0001.000a DYNAMIC Drop
2. La session Show Authentication affiche de nombreuses entrées, pouvant dépasser 2000, voire 10000.
switch2#show authentication sessions
Gi1/0/1 0000.0001.1234 N/A UNKNOWN Unauth 0AFF0B8D000000EC000000AF
Gi1/0/1 0000.0001.2345 N/A UNKNOWN Unauth 0AFF0B8D000000F00016B7D7
Gi1/0/1 0000.0001.3456 N/A UNKNOWN Unauth 0AFF0B8D0028DE3500000000
Remarque : assurez-vous d'activer la sécurité des ports ou la session d'authentification Dot1x en mode hôte multidomaine.
ISE représente cette erreur sur le serveur.
Extensible Authentication Protocol
Code: Response (2)
Id: 4
Length: 1492
Type: TLS EAP (EAP-TLS) (13)
• EAP-TLS Flags: 0xc0
..0. .... = Start: False
EAP-TLS Length: 3736
Remarque : assurez-vous d'activer le même MTU sur tout le chemin du flux de paquets.
stratégie de suivi des périphériques IPDT_POLICY
aucun protocole udp
activation du suivi
La stratégie IPDT configurée avec la configuration « security-level guard » abandonne les paquets ARP, ce qui rend inaccessibles un petit nombre de périphériques finaux, voire tous
Configurez « security-level glean » dans la stratégie IPDT
Remarque : il s'agit d'un défaut bien connu et il serait corrigé dans la version 17.15.1 et ultérieure.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
31-Jul-2024
|
Première publication |