Controleer de werking van het IPDT-apparaat

Inleiding

In dit document wordt beschreven hoe u IP Device Tracking (IPDT)-bewerkingen kunt controleren en hoe u deze acties kunt uitschakelen.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De resultaten in dit document zijn gebaseerd op deze software- en hardwareversies:

• Cisco WS-C2960X
• Cisco IOS® 15.2

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

IPDT-overzicht

Definitie en gebruik

De belangrijkste IPDT-taak is het bijhouden van verbonden hosts (koppeling van MAC- en IP-adres). Om dit te doen, verzendt het unicast Address Resolution Protocol (ARP)-sondes met een standaardinterval van 30 seconden. Deze sondes worden verzonden naar het MAC-adres van de host die aan de andere kant van de link is aangesloten en gebruiken Layer 2 (L2) als de standaardbron waarnaar het MAC-adres van de fysieke interface gaat waaruit de ARP gaat en een afzender IP-adres van 0.0.0.0, op basis van de ARP Probe-definitie vermeld in RFC 5227

Opmerking: IPDT is afgeschaft ten gunste van de meer geavanceerde op SISF gebaseerde (Switch Integrated Security Features) apparaattracking. SISF biedt verbeterde IP-tracking en ondersteunt zowel IPv4 als IPv6.

Opmerking: vanaf Cisco IOS XE Denali 16.1.1 hebben de bestaande IPv6-opdrachten voor snuffelen en IP Device Tracking (IPDT) overeenkomstige op SISF gebaseerde opdrachten voor apparaattracking waarmee u uw configuratie kunt toepassen op zowel IPv4- als IPv6-adresfamilies.

Opmerking: dit document wordt bewaard ter referentie omdat het betrekking heeft op de functionaliteit voor het traceren van oudere IP-apparaten (IPDT). Huidige implementaties kunnen gebruikmaken van op SISF gebaseerde apparaattracking, die IPDT vervangt in moderne IOS-XE-platforms.

Opmerking: Zie Problemen oplossen met SISF op Switches van de Catalyst 9000-reeks voor aanvullende richtlijnen voor het oplossen van problemen met SISF

uittreksel

In dit document wordt de term ARP Probe gebruikt om te verwijzen naar een ARP Request-pakket, uitgezonden op de lokale link, met een volledig nul afzender IP-adres. Het adres van de afzender moet het hardwareadres bevatten van de interface die het pakket verzendt. Het veld IP-adres van de afzender MOET op alle nullen worden ingesteld om corruptie te voorkomen ARP-caches in andere hosts, op dezelfde link, in het geval dat het adres al in gebruik blijkt te zijn door een andere host. Het veld Doel-IP-adres MOET worden ingesteld op het adres dat wordt onderzocht. Een ARP-sonde brengt zowel een vraag over (gebruikt iemand dit adres?) als een impliciete verklaring (Dit is het adres dat u hoopt te gebruiken.).

Het doel van IPDT is dat de switch een lijst van apparaten die via een IP-adres met de switch zijn verbonden, verkrijgt en bijhoudt. De sonde vult het trackingitem niet in; het wordt gewoon gebruikt om het item in de tabel te behouden nadat het is geleerd door een ARP-verzoek / antwoord van de host.

IP ARP-inspectie wordt automatisch ingeschakeld wanneer IPDT is ingeschakeld. Het detecteert de aanwezigheid van nieuwe hosts wanneer het ARP-pakketten bewaakt. Als dynamische ARP-inspectie is ingeschakeld, worden alleen de ARP-pakketten die worden gevalideerd, gebruikt om nieuwe hosts voor de apparaatvolgtabel te detecteren.

Indien ingeschakeld, detecteert IP DHCP de aanwezigheid of verwijdering van nieuwe hosts wanneer DHCP hun IP-adressen toewijst of herroept.  Wanneer DHCP-verkeer wordt gezien voor een bepaalde host, wordt de intervaltimer van de IPDT ARP-sonde gereset. 

IPDT is een functie die altijd beschikbaar is geweest. Bij recentere Cisco IOS^® releases zijn de onderlinge afhankelijkheden echter standaard ingeschakeld (zie Cisco bug ID CSCuj04986). Het kan zeer nuttig zijn wanneer de database met IP/MAC-hostassociaties wordt gebruikt om de bron van de IP-dynamische toegangscontrolelijsten (ACL's) te vullen of om een binding van een IP-adres aan een beveiligingsgroeptag te behouden.

De ARP-sonde wordt verzonden onder twee omstandigheden:

• De koppeling die is gekoppeld aan een huidig item in de IPDT-database wordt verplaatst van een DOWN naar een UP-status en het ARP-item is ingevuld.
• Een koppeling die zich al in de status UP bevindt en die is gekoppeld aan een vermelding in de IPDT-database, heeft een verlopen proefinterval.

Probleem

De keepalive-sonde die door de switch wordt verzonden, is een L2-controle. Vanuit het oogpunt van de switch zijn de IP-adressen die als bron worden gebruikt in de ARP's dan ook niet van belang: deze functie kan worden gebruikt op apparaten zonder IP-adres dat helemaal niet is geconfigureerd, dus de IP-bron van 0.0.0 is niet van belang.

Wanneer de host deze berichten ontvangt, antwoordt deze terug en vult het IP-veld van de bestemming met het enige IP-adres dat beschikbaar is in het ontvangen pakket, dat zijn eigen IP-adres is. Dit kan leiden tot valse dubbele IP-adresmeldingen, omdat de host die antwoordt zijn eigen IP-adres ziet als zowel de bron als de bestemming van het pakket; raadpleeg het dubbele IP-adres 0.0.0.0. Foutbericht Problemen oplossen artikel voor meer informatie over het scenario voor dubbele IP-adressen.

Standaardstatus en -werking

De globale aan/uit-configuratie voor IPDT is een verouderd gedrag dat problemen in het veld veroorzaakte, omdat klanten zich niet altijd bewust waren dat ze IPDT moesten inschakelen om bepaalde functies te laten werken. In de huidige releases wordt IPDT alleen op interfaceniveau bestuurd wanneer het een functie inschakelt waarvoor IPDT vereist is.

IPDT is standaard ingeschakeld binnen deze releases; dat wil zeggen, geen globale configuratie opdracht:

• Katalysator 2k/3k: 15.2(1)E
• Katalysator 3850: 3.2.0SE
• Katalysator 4k: 15.2(1)E / 3.5.0E

Het is belangrijk op te merken dat, zelfs als IPDT wereldwijd is ingeschakeld, dit niet noodzakelijkerwijs betekent dat IPDT een bepaalde poort actief bewaakt.

Op releases waar IPDT altijd aan staat en waar IPDT wereldwijd kan worden uitgeschakeld wanneer IPDT wereldwijd is ingeschakeld, bepalen andere functies daadwerkelijk of het actief is op een specifieke interface (zie de sectie Functionaliteitsgebieden).

Functionaliteitsgebieden

IPDT en zijn ARP-sondes die uit een bepaalde interface worden verzonden, worden voor deze functies gebruikt:

• Network Mobility Services Protocol (NMSP), Versies 3.2.0E, 15.2(1)E, 3.5.0E en hoger
• Apparaatsensor, Versies 15.2(1)E, 3.5.0E en hoger
• 1X, MAC Authentication Bypass (MAB), sessiebeheer
• Webgebaseerde verificatie
• Auth-proxy
• IP Source Guard (IPSG) voor statische hosts
• Flexibele netflow
• Cisco TrustSec (CTS)
• Mediumtracering
• HTTP-omleidingen

functiematrix

Kenmerken

• IPDT kan niet globaal worden uitgeschakeld in nieuwere versies, maar IPDT is alleen actief op poorten, als functies die het vereisen actief zijn.
• ARP-snooping is alleen actief als specifieke functiecombinaties dit mogelijk maken.
• Als u IPDT per interface uitschakelt, stopt dit niet ARP-snooping, maar voorkomt het IPDT-tracking. Deze is verkrijgbaar bij i3.3.0SE, 15.2(1)E, 3.5.0E en hoger.
• Per-interface NMSP-onderdrukking is alleen beschikbaar als NMSP wereldwijd is ingeschakeld.

IPDT uitschakelen

Bij releases waarbij IPDT standaard niet is ingeschakeld, kan IPDT globaal worden uitgeschakeld met deze opdracht:

Switch(config)#no ip device tracking

Op releases waar IPDT altijd aan staat, is de vorige opdracht niet beschikbaar of kunt u IPDT niet uitschakelen (Cisco bug ID CSCuj04986). In dit geval zijn er verschillende manieren om ervoor te zorgen dat IPDT een specifieke poort niet bewaakt of geen dubbele IP-meldingen genereert.

Voer de opdracht IP Device Tracking Probe Delay 10 in

Met deze opdracht kan een switch gedurende 10 seconden geen sonde verzenden wanneer deze een link UP / flap detecteert, waardoor de mogelijkheid om de sonde te laten verzenden wordt geminimaliseerd terwijl de host aan de andere kant van de link controleert op dubbele IP-adressen. De RFC specificeert een venster van 10 seconden voor de detectie van dubbele adressen, dus als u de apparaatvolgsonde uitstelt, kan het probleem in de meeste gevallen worden opgelost.

Als de switch een ARP-probe voor de client verzendt terwijl de host (bijvoorbeeld een pc met Microsoft Windows) zich in de fase voor de detectie van dubbele adressen bevindt, detecteert de host de probe als een duplicaat-IP-adres en geeft de gebruiker een bericht dat er een duplicaat-IP-adres is gevonden in het netwerk. Als de pc geen adres krijgt en de gebruiker het adres handmatig moet vrijgeven/vernieuwen, de verbinding moet verbreken en opnieuw verbinding moet maken met het netwerk of de pc opnieuw moet opstarten om toegang tot het netwerk te krijgen.

Naast de probe-delay stelt de delay zichzelf ook opnieuw in wanneer de switch een probe van de pc/host detecteert. Als de timer van de sonde bijvoorbeeld is afgeteld tot vijf seconden en een ARP-sonde van de pc / host detecteert, wordt de timer teruggezet naar 10 seconden.

Deze configuratie is beschikbaar gemaakt via Cisco bug ID CSCtn27420.

Voer de IP Device Tracking Probe Use SVI Command in

Met deze opdracht kunt u de switch configureren om een niet-RFC-compatibele ARP-sonde te verzenden; de IP-bron is niet 0.0.0.0, maar het is de Switch Virtual Interface (SVI) in het VLAN waar de host zich bevindt. Microsoft Windows-machines zien de sonde niet langer als een sonde zoals gedefinieerd door RFC 5227 en markeren geen potentieel duplicaat IP.

Voer de opdracht IP Device Tracking Probe Auto-Source [fallback <host-ip> <mask>] [override] in

Voor klanten die geen voorspelbare / controleerbare eindapparaten hebben, of voor degenen die veel switches in een L2-only rol hebben, is de configuratie van een SVI, die een Layer 3-variabele in het ontwerp introduceert, geen geschikte oplossing. Een verbetering die is geïntroduceerd in versie 15.2(2)E en later, de mogelijkheid om een IP-adres dat niet bij de switch hoeft te horen, willekeurig toe te wijzen voor gebruik als het bronadres in ARP-sondes die door IPDT zijn gegenereerd. Deze verbetering introduceert de kans om het automatische gedrag van het systeem op deze manieren aan te passen (deze lijst laat zien hoe het systeem zich automatisch gedraagt nadat elke opdracht is gebruikt):

Voer de opdracht Auto-Source van de IP Device Tracking Probe in

1. Stel de bron in op VLAN SVI, indien aanwezig.
   
   
2. Zoek naar een bron/MAC-paar in de IP-hosttabel voor hetzelfde subnet.
   
   
3. Verzend de nul-IP-bron zoals in het standaardgeval.

Voer de opdracht IP Device Tracking Probe Auto-Source Fallback 0.0.0.1 255.255.255.0 in

1. Stel de bron in op VLAN SVI, indien aanwezig.
   
   
2. Zoek naar een bron/MAC-paar in de IP-hosttabel voor hetzelfde subnet.
   
   
3. Bereken de bron-IP van het IP-adres van de bestemming met de meegeleverde hostbit en het bijbehorende masker.

Voer de opdracht IP Device Tracking Probe Auto-Source Fallback 0.0.0.1 255.255.255.0 Override in

1. Stel de bron in op VLAN SVI, indien aanwezig.
   
   
2. Bereken de bron-IP van het IP-adres van de bestemming met de meegeleverde hostbit en het bijbehorende masker.
   
   

   Opmerking: Met een overschrijving slaat u de zoekopdracht voor een item in de tabel over.

Als een voorbeeld van de vorige berekeningen, ga ervan uit dat u probe host 192.168.1.200. Met het meegeleverde masker en host-bits genereert u een bronadres van 192.168.1.1. Als u inzending 10.5.5.20 onderzoekt, kunt u een ARP-sonde genereren met bronadres 10.5.5.1, enzovoort.

Voer de opdracht Maximaal 0 IP-apparaat volgen in

Deze opdracht schakelt IPDT niet echt uit, maar beperkt het aantal getraceerde hosts tot nul. Dit is geen aanbevolen oplossing, en het moet met voorzichtigheid worden gebruikt, omdat het invloed heeft op alle andere functies die afhankelijk zijn van IPDT, waaronder de poort-kanalen configuratie zoals beschreven in Cisco bug ID CSCun81556.

Schakel actieve functies uit die IPDT activeren

Enkele functies die IPDT kunnen activeren, zijn NMSP, apparaatsensor, dot1x/MAB, WebAuth en IPSG. Deze functies worden niet aanbevolen om in te schakelen op trunkpoorten. Deze oplossing is voorbehouden voor de moeilijkste of meest complexe situaties, waarin alle eerder beschikbare oplossingen niet werkten zoals verwacht, of bijkomende problemen veroorzaakten. Dit is echter de enige oplossing die extreme granulariteit mogelijk maakt wanneer u IPDT uitschakelt, omdat u alleen de IPDT-gerelateerde functies kunt uitschakelen die problemen veroorzaken en al het andere onaangetast laten.

In het meest recente Cisco IOS, Versies 15.2(2)E en hoger, ziet u een uitvoer vergelijkbaar met deze:

Switch#show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IPv6 Device Tracking Client Registered Handle: 75
IP Device Tracking Enabled Features:
       HOST_TRACK_CLIENT_ATTACHMENT
       HOST_TRACK_CLIENT_SM

De twee lijnen in alle doppen aan de onderkant van de uitgang zijn die welke IPDT gebruiken om te werken. De meeste problemen die worden veroorzaakt wanneer u de apparaattracking uitschakelt, kunnen worden vermeden als u de afzonderlijke services uitschakelt die in de interface worden uitgevoerd.

In eerdere versies van Cisco IOS is deze eenvoudige manier om te weten welke modules zijn ingeschakeld onder een interface nog niet beschikbaar, dus u moet een meer betrokken proces doorlopen om dezelfde resultaten te krijgen. U moet de foutopsporingsinterface van het IP-apparaat inschakelen, een logboek met lage frequentie dat in de meeste instellingen veilig moet zijn. Zorg ervoor dat u niet alle debug ip-apparaattracking inschakelt, omdat dit integendeel de console overstroomt in schaalsituaties.

Zodra het foutopsporingselement is ingeschakeld, brengt u een interface terug naar standaard en voegt u een IPDT-service toe aan de interfaceconfiguratie en verwijdert u deze. De resultaten van de debugs vertellen u welke service is ingeschakeld / uitgeschakeld met de opdracht die u hebt gebruikt.

Voorbeeld

Switch(config)#interface GigabitEthernet 1/0/9
Switch(config-if)#ip device tracking maximum 10
Switch(config-if)#
*Mar 27 09:58:49.470: sw_host_track-interface:Feature 00000008 enabled on port
Gi1/0/9, mask now 0000004C, 65 ports enabled
*Mar 27 09:58:49.471: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max set to 10
Switch(config-if)#

Wat de uitvoer onthult, is dat u feature 00000008 hebt ingeschakeld en dat het nieuwe feature mask 0000004C is.

Verwijder nu de configuratie die u zojuist hebt toegevoegd:

Switch(config-if)#no ip device tracking maximum 10
Switch(config-if)#
*Mar 27 10:02:31.154: sw_host_track-interface:Feature 00000008 disabled on port
Gi1/0/9, mask now 00000044, 65 ports enabled
*Mar 27 10:02:31.154: sw_host_track-interface:Gi1/0/9[L2 DOWN, IPHOST DIS]IP
host tracking max cleared
*Mar 27 10:02:31.154: sw_host_track-interface:Max limit has been removed from
the interface GigabitEthernet1/0/9.
Switch(config-if)#

Nadat u functie 00000008 hebt verwijderd, ziet u het 00000044-masker, dat het originele standaardmasker moet zijn geweest. Deze waarde van 00000044 wordt verwacht omdat AIM 0x00000040 is en SM 0x000000040, wat samen resulteert in 0x00000044.

Er zijn verschillende IPDT-services die onder een interface kunnen worden uitgevoerd:

In het voorbeeld worden HOST_TRACK_CLIENT_SM (SESSION-MANAGER) en HOST_TRACK_CLIENT_ATTACHMENT (ook bekend als AIM/NMSP) modules geconfigureerd voor IPDT. Om IPDT op deze interface uit te schakelen, moet u beide uitschakelen, omdat IPDT ALLEEN is uitgeschakeld wanneer alle functies die het gebruiken ook zijn uitgeschakeld.

Nadat u deze functies hebt uitgeschakeld, hebt u een uitvoer die vergelijkbaar is met deze:

Switch(config-if)#do show ip device tracking interface GigabitEthernet 1/0/9
--------------------------------------------
Interface GigabitEthernet1/0/9 is: STAND ALONE
IP Device Tracking = Disabled     ß IPDT is disabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 180000
IP Device Tracking Enabled Features:
ß No active features
--------------------------------------------

Op deze manier wordt IPDT uitgeschakeld met meer granulariteit.

Hier zijn enkele voorbeelden van opdrachten die worden gebruikt om een aantal van de eerder besproken functies uit te schakelen:

• NMSP-koppelingsonderdrukking
• Geen automatische macro-monitor

Opmerking: De nieuwste functie moet alleen beschikbaar zijn op platforms die Smart Ports ondersteunen, die worden gebruikt om functies in te schakelen op basis van de locatie van een switch in het netwerk en voor grootschalige configuratie-implementaties in het hele netwerk. 

IPDT-werking controleren

Gebruik deze opdrachten om de IPDT-status op uw apparaat te controleren:

• IP-apparaattracking weergeven 
  Deze opdracht geeft interfaces weer waar IPDT is ingeschakeld en waar MAC/IP/interface-associaties momenteel worden bijgehouden.
• IP-apparaattracking wissen 
• Met deze opdracht worden IPDT-gerelateerde items gewist.
  
  

Opmerking: De switch stuurt ARP-sondes naar de hosts die zijn verwijderd. Als een host aanwezig is, reageert deze op de ARP-sonde en voegt de switch een IPDT-vermelding toe voor de host. U moet ARP-sondes uitschakelen voordat u de IPDT-opdracht leeg maakt; op die manier zijn alle ARP-vermeldingen verdwenen. Als ARP-sondes zijn ingeschakeld na de opdracht IP-apparaattracking wissen, komen alle items opnieuw terug.

• IP-apparaattracking foutopsporing 
  Met deze opdracht kunt u fouten verzamelen om de IPDT-activiteit in realtime weer te geven.