In dit document wordt beschreven hoe u IP Device Tracking (IPDT)-bewerkingen en enkele acties voor probleemoplossing kunt controleren.
Er zijn geen specifieke vereisten van toepassing op dit document.
De resultaten in dit document zijn gebaseerd op deze software- en hardwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De belangrijkste IPDT-taak is het bijhouden van verbonden hosts (koppeling van MAC- en IP-adres). Hiervoor stuurt het unicast Address Resolution Protocol (ARP)-probes met een standaardinterval van 30 seconden. Deze sondes worden verzonden naar het MAC-adres van de host die aan de andere kant van de link is aangesloten en gebruikt Layer 2 (L2) als standaardbron. Dit maakt het mogelijk het MAC-adres van de fysieke interface waaruit de ARP gaat en een afzender IP-adres van 0.0.0.0, op basis van de ARP Probe definitie vermeld in RFC 5227.
Opmerking: IPDT is afgeschaft ten gunste van apparaattracking op basis van SISF (Switch Integrated Security Features). SISF biedt verbeterde IP-tracking en ondersteunt zowel IPv4 als IPv6.
Vanaf Cisco IOS® XE Denali 16.1.1 hebben de bestaande IPv6-snuffelopdrachten en IPDT-opdrachten (IP Device Tracking) overeenkomstige op SISF gebaseerde opdrachten voor apparaattracking waarmee u uw configuratie kunt toepassen op zowel IPv4- als IPv6-adresfamilies.
Dit document wordt bewaard ter referentie omdat het betrekking heeft op de functionaliteit voor het traceren van oudere IP-apparaten (IPDT). Huidige implementaties kunnen gebruikmaken van op SISF gebaseerde apparaattracking, die IPDT vervangt in moderne Cisco IOS-XE-platforms. Zie Problemen oplossen met SISF op Switches van de Catalyst 9000-reeks voor meer informatie over het oplossen van problemen met SISF.
In dit document wordt de term ARP Probe gebruikt om te verwijzen naar een ARP Request-pakket, uitgezonden op de lokale link, met een volledig nul afzender IP-adres. Het adres van de afzender moet het hardwareadres bevatten van de interface die het pakket verzendt. Het veld IP-adres van de afzender MOET op alle nullen worden ingesteld om corruptie te voorkomen die ARP in andere hosts opslaat, op dezelfde link, in het geval dat het adres al door een andere host wordt gebruikt. Het veld Doel-IP-adres MOET worden ingesteld op het adres dat wordt onderzocht. Een ARP-sonde brengt zowel een vraag over (gebruikt iemand dit adres?) als een impliciete verklaring (Dit is het adres dat u hoopt te gebruiken.)
Het doel van IPDT is dat de switch een lijst van apparaten die via een IP-adres met de switch zijn verbonden, verkrijgt en bijhoudt. De sonde vult het trackingitem niet in; het wordt gewoon gebruikt om het item in de tabel te behouden nadat het is geleerd door een ARP-verzoek / antwoord van de host.
IP ARP-inspectie wordt automatisch ingeschakeld wanneer IPDT is ingeschakeld. Het detecteert de aanwezigheid van nieuwe hosts wanneer het ARP-pakketten bewaakt. Als dynamische ARP-inspectie is ingeschakeld, worden alleen de ARP-pakketten die worden gevalideerd, gebruikt om nieuwe hosts voor de tabel Apparaattracering te detecteren.
Indien ingeschakeld, detecteert IP DHCP de aanwezigheid of verwijdering van nieuwe hosts wanneer DHCP hun IP-adressen toewijst of herroept. Wanneer DHCP-verkeer wordt gezien voor een bepaalde host, wordt de intervaltimer van de IPDT ARP-sonde gereset.
IPDT is een functie die altijd beschikbaar is geweest, maar op recentere Cisco IOS® releases zijn de onderlinge afhankelijkheden standaard ingeschakeld (zie Cisco bug ID CSCuj04986). Het kan zeer nuttig zijn wanneer de database met IP/MAC-hostassociaties wordt gebruikt om de bron van de dynamische toegangscontrolelijsten (ACL's) te vullen of om een binding van een IP-adres aan een beveiligingsgroeptag te behouden.
De ARP-sonde wordt verzonden onder twee omstandigheden:
De keepalive-sonde die door de switch wordt verzonden, is een L2-controle. Vanuit het oogpunt van de switch zijn de IP-adressen die als bron worden gebruikt in de ARP's dan ook niet belangrijk: deze functie kan worden gebruikt op apparaten zonder een IP-adres geconfigureerd, dus de IP-bron van 0.0.0.0 is niet relevant.
Wanneer de host deze berichten ontvangt, antwoordt deze terug en vult het IP-veld van de bestemming met het enige IP-adres dat beschikbaar is in het ontvangen pakket, dat zijn eigen IP-adres is. Dit kan leiden tot valse dubbele IP-adresmeldingen omdat de host die antwoordt, zijn eigen IP-adres ziet als zowel de bron als de bestemming van het pakket; raadpleeg het artikel Problemen oplossen "Dupliceer IP-adres 0.0.0.0" Foutberichten voor meer informatie over scenario's voor dubbele IP-adressen.
De globale aan/uit-configuratie voor IPDT is een verouderd gedrag dat problemen in het veld veroorzaakte, omdat klanten zich niet altijd bewust waren dat ze IPDT moesten inschakelen om bepaalde functies te laten werken. In de huidige releases wordt IPDT alleen op interfaceniveau bestuurd wanneer het een functie inschakelt die IPDT vereist.
IPDT is standaard ingeschakeld binnen deze releases; dat wil zeggen, geen globale configuratie opdracht:
Het is belangrijk op te merken dat, zelfs als IPDT wereldwijd is ingeschakeld, dit niet noodzakelijkerwijs betekent dat IPDT een bepaalde poort actief bewaakt.
Op releases waar IPDT altijd aan staat en waar IPDT wereldwijd kan worden uitgeschakeld wanneer IPDT wereldwijd is ingeschakeld, bepalen andere functies of het actief is op een specifieke interface (zie de sectie Functionaliteitsgebieden).
IPDT en zijn ARP-sondes die uit een bepaalde interface worden verzonden, worden voor deze functies gebruikt:
| Platform |
Feature |
Standaard ingeschakeld (Start in) |
methode uitschakelen |
CLI uitschakelen |
| CAT 2960/3750 (Cisco IOS) |
IPDT |
15.2, lid 1, onder e) * |
Globale CLI (oudere versies) * per-interface |
Geen IP-apparaattracking * Volgen van IP-apparaat maximaal 0 *** |
| CAT 2960/3750 (Cisco IOS) |
NMSP |
Nee |
Globale CLI of per-interface-CLI |
Geen NMSP ingeschakeld NMSP-bevestiging onderdrukken **** |
| CAT 2960/3750 (Cisco IOS) |
apparaatsensor |
15,0(1)SE |
Globale CLI |
Geen automatische macro-monitor |
| CAT 2960/3750 (Cisco IOS) |
ARP Snooping |
15.2(1)E ** |
N.v.t. |
N.v.t. |
| CAT 3850 |
IPDT |
Alle releases * |
Per-interface * |
IP-apparaat-tracking maximaal 0 *** |
| CAT 3850 |
NMSP |
Alle releases |
Per-interface |
NMSP-bijlage onderdrukken |
| CAT 3850 |
apparaatsensor |
Nee |
N.v.t. |
N.v.t. |
| CAT 3850 |
ARP Snooping |
Alle releases ** |
N.v.t. |
N.v.t. |
| CAT 4500 |
IPDT |
15,2(1)e / 3,5,0e * |
Globale CLI (oudere versies) * per-interface |
Geen IP-apparaattracking * IP-apparaat-tracking maximaal 0 *** |
| CAT 4500 |
NMSP |
Nee |
Globale CLI of per-interface-CLI |
Geen NMSP ingeschakeld NMSP-bevestiging onderdrukken **** |
| CAT 4500 |
apparaatsensor |
15.1(1)SG / 3.3.0SG |
Globale CLI |
Geen automatische macro-monitor |
| CAT 4500 |
ARP Snooping |
15,2(1)e / 3,5,0e ** |
N.v.t. |
N.v.t. |
Bij releases waarbij IPDT standaard niet is ingeschakeld, kan IPDT globaal worden uitgeschakeld door deze opdracht uit te voeren:
Switch(config)#no ip device tracking
Op releases waar IPDT altijd aan staat, is het uitvoeren van de vorige opdracht niet beschikbaar of kunt u IPDT niet uitschakelen (Cisco bug ID CSCuj04986). In dit geval zijn er verschillende manieren om ervoor te zorgen dat IPDT een specifieke poort niet bewaakt of geen dubbele IP-meldingen genereert.
Met deze opdracht kan een switch gedurende 10 seconden geen sonde verzenden wanneer deze een link UP / flap detecteert, waardoor de mogelijkheid om de sonde te laten verzenden wordt geminimaliseerd terwijl de host aan de andere kant van de link controleert op dubbele IP-adressen. De RFC specificeert een venster van 10 seconden voor de detectie van dubbele adressen. Als u de apparaatvolgsonde uitstelt, kan het probleem in de meeste gevallen worden opgelost.
Als de switch een ARP-probe voor de client verzendt terwijl de host (bijvoorbeeld een pc met Microsoft Windows) zich in de fase voor de detectie van dubbele adressen bevindt, detecteert de host de probe als een duplicaat-IP-adres en geeft de gebruiker een bericht dat er een duplicaat-IP-adres is gevonden in het netwerk. Als de pc geen adres krijgt en de gebruiker het adres handmatig moet vrijgeven/vernieuwen, de verbinding verbreken en opnieuw verbinding maken met het netwerk of de pc opnieuw opstarten om toegang tot het netwerk te krijgen.
Naast de probe-delay stelt de delay zichzelf ook opnieuw in wanneer de switch een probe van de pc/host detecteert. Als de timer van de sonde bijvoorbeeld is afgeteld tot vijf seconden en een ARP-sonde van de pc / host detecteert, wordt de timer teruggezet naar 10 seconden.
Deze configuratie is beschikbaar gemaakt via Cisco bug ID CSCtn27420.
Met deze opdracht kunt u de switch configureren voor het verzenden van een ARP-sonde die niet voldoet aan de RFC. De IP-bron is niet 0.0.0.0, maar de Switch Virtual Interface (SVI) in het VLAN waar de host zich bevindt. Microsoft Windows-machines zien de sonde niet langer als een sonde zoals gedefinieerd door RFC 5227 en markeert deze niet als potentieel duplicaat IP.
Voor klanten die geen voorspelbare/controleerbare eindapparaten hebben, of voor degenen die veel switches in een L2-only rol hebben, is de configuratie van een SVI, die een Layer 3-variabele in het ontwerp introduceert, geen geschikte oplossing. Een verbetering die is geïntroduceerd in versie 15.2(2)E en later, de mogelijkheid om arbitraire toewijzing van een IP-adres toe te staan hoeft niet te behoren tot de switch voor gebruik als het bronadres in ARP-sondes gegenereerd door IPDT. Deze verbetering introduceert de kans om het automatische gedrag van het systeem op deze manieren aan te passen (deze lijst laat zien hoe het systeem zich automatisch gedraagt nadat elke opdracht is gebruikt):
Als voorbeeld van de vorige berekeningen, neem aan dat u host 192.168.1.200 probe, met het masker en host bits verstrekt, genereert u een bronadres van 192.168.1.1. Als u inzending 10.5.5.20 onderzoekt, kunt u een ARP-sonde genereren met bronadres 10.5.5.1, enzovoort.
Deze opdracht schakelt IPDT niet echt uit, maar beperkt het aantal getraceerde hosts tot nul. Dit is geen aanbevolen oplossing, en het moet met voorzichtigheid worden gebruikt omdat het van invloed is op alle andere functies die afhankelijk zijn van IPDT, waaronder de poortkanaalconfiguraties die worden beschreven in Cisco bug ID CSCun81556.
Enkele functies die IPDT kunnen activeren zijn NMSP, apparaatsensor, dot1x/MAB, WebAuth en IPSG. Deze functies worden niet aanbevolen voor trunkpoorten. Deze oplossing is voorbehouden voor de moeilijkste of meest complexe situaties, waarbij ofwel alle eerder beschikbare oplossingen niet werkten zoals verwacht, ofwel bijkomende problemen ontstonden. Dit is echter de enige oplossing die extreme granulariteit mogelijk maakt wanneer u IPDT uitschakelt, omdat u alleen de IPDT-gerelateerde functies kunt uitschakelen die problemen veroorzaken en al het andere onaangetast laten.
In het meest recente Cisco IOS, Versies 15.2(2)E en hoger, ziet u een uitvoer vergelijkbaar met deze:
Switch#show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IPv6 Device Tracking Client Registered Handle: 75
IP Device Tracking Enabled Features:
HOST_TRACK_CLIENT_ATTACHMENT
HOST_TRACK_CLIENT_SM
De twee lijnen in alle doppen aan de onderkant van de uitgang zijn die welke IPDT gebruiken om te werken. De meeste problemen die worden gemaakt wanneer u de apparaattracking uitschakelt, kunnen worden vermeden als u de afzonderlijke services uitschakelt die in de interface worden uitgevoerd.
In eerdere versies van Cisco IOS is de eenvoudige manier om te weten welke modules zijn ingeschakeld onder een interface nog niet beschikbaar, dus u moet een meer betrokken proces doorlopen om dezelfde resultaten te verkrijgen. U moet de foutopsporingsinterface van het IP-apparaat inschakelen, een logboek met lage frequentie dat in de meeste instellingen veilig moet zijn. Zorg ervoor dat u niet alle debug ip-apparaattracking inschakelt, omdat dit integendeel de console overstroomt in geschaalde situaties.
Zodra het foutopsporingselement is ingeschakeld, brengt u een interface terug naar standaard en voegt u een IPDT-service toe aan de interfaceconfiguratie en verwijdert u deze. De resultaten van de debugs vertellen u welke service is ingeschakeld / uitgeschakeld met de opdracht die u hebt gebruikt.
Switch(config)#interface GigabitEthernet 1/0/9
Switch(config-if)#ip device tracking maximum 10
Switch(config-if)#
*Mar 27 09:58:49.470: sw_host_track-interface:Feature 00000008 enabled on port Gi1/0/9, mask now 0000004C, 65 ports enabled
*Mar 27 09:58:49.471: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP host tracking max set to 10
Switch(config-if)#
Wat de uitvoer onthult, is dat u feature 00000008 hebt ingeschakeld en dat het nieuwe feature mask 0000004C is.
Verwijder nu de configuratie die u zojuist hebt toegevoegd:
Switch(config-if)#no ip device tracking maximum 10
Switch(config-if)#
*Mar 27 10:02:31.154: sw_host_track-interface:Feature 00000008 disabled on port
Gi1/0/9, mask now 00000044, 65 ports enabled
*Mar 27 10:02:31.154: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max cleared
*Mar 27 10:02:31.154: sw_host_track-interface:Max limit has been removed from
the interface GigabitEthernet1/0/9.
Switch(config-if)#
Zodra u functie 00000008 hebt verwijderd, ziet u het 00000044-masker, dat het oorspronkelijke standaardmasker moet zijn geweest. De waarde van 00000044 wordt verwacht omdat AIM 0x00000040 is en SM 0x000000040, wat samen resulteert in 0x00000044.
Er zijn verschillende IPDT-services die onder een interface kunnen worden uitgevoerd:
| IPT-service |
Interface |
| HOST_TRACK_CLIENT_IP_ADMISSIONS |
= 0x00000001 |
| HOST_TRACK_CLIENT_DOT1X |
= 0x00000002 |
| HOST_TRACK_CLIENT_ATTACHMENT |
= 0x00000004 |
| HOST_TRACK_CLIENT_TRACK_HOST_UPTO_MAX |
= 0x00000008 |
| HOST_TRACK_CLIENT_RSVP |
= 0x00000010 |
| HOST_TRACK_CLIENT_CTS |
= 0x00000020 |
| HOST_TRACK_CLIENT_SM |
= 0x00000040 |
| HOST_TRACK_CLIENT_WIRELESS |
= 0x00000080 |
In het voorbeeld HOST_TRACK_CLIENT_SM (SESSION-MANAGER) en HOST_TRACK_CLIENT_ATTACHMENT (ook bekend als AIM/NMSP) worden modules geconfigureerd voor IPDT. Als u IPDT op deze interface wilt uitschakelen, moet u beide uitschakelen, omdat IPDT ALLEEN is uitgeschakeld als ook alle functies die IPDT gebruiken zijn uitgeschakeld.
Nadat u deze functies hebt uitgeschakeld, hebt u een uitvoer die vergelijkbaar is met deze:
Switch(config-if)#do show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled ß IPDT is disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IP Device Tracking Enabled Features:
ß No active features
--------------------------------------------
Op deze manier wordt IPDT uitgeschakeld met meer granulariteit.
Hier zijn enkele voorbeelden van opdrachten die worden gebruikt om een aantal van de eerder besproken functies uit te schakelen:
Voer de volgende opdrachten uit om de IPDT-status op uw apparaat te controleren:
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
5.0 |
07-Jul-2026
|
Bijgewerkte waarschuwingen voor spelling, grammatica, spatiëring en CCW. |
4.0 |
04-Dec-2025
|
Vertaling van machines en SEO. |
3.0 |
19-Dec-2024
|
Opmaak bijgewerkt. |
2.0 |
21-Aug-2023
|
Bijgewerkte SEO, stijlvereisten en opmaak. |
1.0 |
25-Nov-2014
|
Eerste vrijgave |