Problemen met het APIPA-adres in het netwerk oplossen

Downloadopties

  • PDF     (647.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:31 juli 2024
Document-id:222255

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de problemen met betrekking tot APIPA-adressen en biedt oplossingen voor hetzelfde.

    Gebruikte componenten

    • Katalysator 9000 switches.
    • ASA Firewalls zoals 5516
    • DHCP-server van elke soort
    • Catalyst 9300 in SDA-opstelling
    • Software: niet beschikbaar

    redenen

      Eindgebruikers wijzen APIPA toe tijdens deze scenario's,

    • DHCP-server niet beschikbaar.
    • DHCP-aanbieding is ingetrokken vóór of huidige hop.
    • De ARP-probe krijgt een antwoord dat staat voor Duplicate IP.

    Scenario's en probleemoplossing   

    Scenario 1 - Firewall-proxyconfiguratie

    ASA5516  

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Probleemsymptomen

    1. Gebruikers op een specifiek VLAN ervaren intermitterende problemen waarbij ze een APIPA IP-adres ontvangen en de verbinding met het netwerk verliezen.
    2. Firewalls hebben meerdere ARP-vermeldingen voor een MAC-adres voor één eindgebruiker zoals dit:
    Firewall/pri/act# show arp | include abcd.abcd.abcd
    inside 10.1.1.12 abcd.abcd.abcd 30 
    inside 10.1.1.13 abcd.abcd.abcd 40 
    inside 10.1.1.14 abcd.abcd.abcd 51 
    inside 10.1.1.15 abcd.abcd.abcd 53

    Stappen voor probleemoplossing

    1. Foutopsporing in Firewall wijst naar de firewall die het antwoord naar de ARP-sonde van eindgebruikers verzendt.
    DHCPD/RA: creating ARP entry (10.1.1.12, abcd.abcd.abcd). 
    DHCPRA: Adding rule to allow client to respond using offered address 10.1.1.12

    Dit zorgt ervoor dat het eindapparaat denkt dat het een dubbel adres is. 

    2. Opnamen op eindapparaat of firewall

    Vastleggingen tonen dat eindapparaat DHCP-pakketten verzendt nadat het DORA-proces is voltooid.

    Image-1

    isolement

    • Firewall inside interface reageert op de ARP-sonde door op te treden als proxy, zodra het DORA-proces is voltooid. Dit maakt de pc om DHCP te verzenden afneemt. 

    Actieplan

    • Schakel de proxy arp op Firewall inside interface met behulp van de opdracht "sysopt noproxyarp inside"

    Resolutie/verificatie

    • Eindapparaten ontvangen IP-adres nadat proxy-arp is uitgeschakeld.
    • note-icon

      Opmerking: zorg ervoor dat geen enkel apparaat als proxy fungeert of antwoord verzendt voor ARP-probes van eindgebruikers.

    .

    Scenario 2 - DHCP-serverbereik

    DHCP Server

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Symptomen

    1. Gebruikers op een specifiek vlan krijgen alleen een APIPA IP-adres en verliezen de verbinding met het netwerk.

    Problemen oplossen uitgevoerd

    • DHCP weigeren verzonden naar eindgebruikers en het is geconfigureerd met APIPA-adres

    isolement

    • DHCP-server wijst één IP-adres toe aan scope A en hetzelfde IP-adres wordt toegewezen aan een andere Laptop omdat scope B hetzelfde bereik heeft. Dit veroorzaakt een daling van DHCP:
    • Image-2

    Actieplan

    • Uniek bereik van DHCP toewijzen

    Resolutie/verificatie

    • Eindapparaten ontvangen IP-adres na wijziging van het bereik.
    • note-icon

      Opmerking: zorg ervoor dat op de DHCP-server geen dubbele scopes zijn geconfigureerd.

    Scenario 3 - C9300 SDA-configuratie

    Cat9300

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Symptomen van gebruiker

    1. Sommige gebruikers in een specifiek VLAN kunnen geen DHCP-adressen verkrijgen via het draadloze toegangspunt.
    2. Firewall had meerdere arp-vermeldingen voor één MAC-adres voor eindgebruikers
    Firewall# show arp | i abcd
    Inside 10.1.1.22 abcd.abcd.abcd 48
    Inside 10.1.1.23 abcd.abcd.abcd 49
    Inside 10.1.1.24 abcd.abcd.abcd 50

    Problemen oplossen uitgevoerd

    • DHCP-aanbieding is door switch ingetrokken
    • FTD bevolkt ARP op basis van DHCP-AANBIEDING die terugkomt van DHCP-server.
    ***DROP*** Broadcast to Access-Tunnel disallowed (accessTunnelBroadcastDrop)

    isolement

    • Als VLAN met alleen L2 is geconfigureerd voor draadloze SDA-installatie, bereikt het aanbiedingspakket met broadcast-vlag het toegangspunt niet. Omdat Access-tunnel standaard geen broadcast-pakketten toestaat.

    Actieplan

    • "Overstromingsvermogen" toestaan in LISP-omgeving.
    router lisp 
    instance-id 8456 
    flood access-tunnel

    Resolutie/verificatie

    • Na het configureren van `flood access-tunnel` in de C9300 aangesloten op de interne interface, ontvangen klanten DHCP-adressen.
    note-icon

    Opmerking: Zorg ervoor dat u de toegangstunnel onder lisp inschakelt als het eindapparaat is geconfigureerd om uitzendingsaanbiedingen te ontvangen.

    Scenario 4 - Probleem met LAN-adapter

    ISE

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Symptomen

    1. In de Mac-adrestabel staan vermeldingen met "drop".
    #show mac address-table interface gigabitethernet1/0/20           
    Mac Address Table 
    -------------------------------------------   
    Vlan    Mac Address       Type        Ports 
    ----    -----------       --------    -----   
    10    0000.0001.000a    DYNAMIC     Drop

    2. De sessie Verificatie weergeven bevat veel items, mogelijk meer dan 2000 of zelfs meer dan 10000.

    switch2#show authentication sessions
    Gi1/0/1  0000.0001.1234 N/A   UNKNOWN Unauth  0AFF0B8D000000EC000000AF
    Gi1/0/1  0000.0001.2345 N/A   UNKNOWN Unauth  0AFF0B8D000000F00016B7D7
    Gi1/0/1  0000.0001.3456 N/A   UNKNOWN Unauth  0AFF0B8D0028DE3500000000

    Stappen voor probleemoplossing

    isolement

    •  Dit is een indicatie van het Adaptor-probleem van de eindgebruiker.Dit stuurt misvormde pakketten die de switch begrijpt als willekeurige bron-MAC-adressen.

    Actieplan

    • Configureer "Authentication host-mode multi-domain" die slechts 2 MAC-adressen toestaat.
    • Identificeer en isoleer de boosdoener.

    Resolutie/verificatie

    • Na het configureren van deze tijdelijke oplossing kan er geen probleem worden waargenomen.
    • note-icon

      Opmerking: zorg ervoor dat de poortbeveiliging of de Dot1x auth-sessiehost-modus voor meerdere domeinen is ingeschakeld.

    Scenario 5 - MTU Mismatch

    Image-3

    ISE staat voor deze fout op de server.

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Symptomen van gebruiker

    1. Eindclient verzendt EAP-respons met pakketlengte hoger dan (Voorbeeld: 3736) de werkelijke verwachte pakketlengte 1492.
    Extensible Authentication Protocol
    Code: Response (2)
    Id: 4
    Length: 1492
    Type: TLS EAP (EAP-TLS) (13)
    • EAP-TLS Flags: 0xc0
    ..0. .... = Start: False
    EAP-TLS Length: 3736

    Problemen oplossen uitgevoerd

    • MTU ingesteld op minder grootte op switch als een systeembrede ingang. (Voorbeeld: 1998 bytes)
    • Ingang-interface geconfigureerd met een hogere grootte. (Voorbeeld: 9198 bytes)

    isolement

    • Mismatch in MTU gedurende het hele pad veroorzaakt het probleem.

    Actieplan

    • Het systeem MTU wijzigen in 1500 en de switch opnieuw laden

    Resolutie/verificatie

    • Nadat u deze instellingen hebt geconfigureerd, wordt de verificatie voltooid.
    • note-icon

      Opmerking: schakel dezelfde MTU in tijdens het hele pad van de pakketstroom.

    Scenario 6 - IPDT Guard

    Probleembeschrijving:

    • Gebruikersmachines ontvangen het APIPA IP-adres en de connectiviteit van de gebruiker wordt beïnvloed.

    Symptomen van gebruiker

    • Als u VM's in HA hebt, als u dit beleid hebt toegepast in de interface:

    apparaatvolgbeleid IPDT_POLICY

    Geen UDP-protocol

    volgen inschakelen

    • Na een failover wordt het ARP-antwoord door de access switch verwijderd.

    Problemen oplossen uitgevoerd

    1. ARP-reacties op de sondes zouden met de switch worden weggelaten.
    2. Switch is geconfigureerd met IPDT Guard.
    3. IPDT - Guard dropping ARP probe & end device getting APIPA.

    isolement

    • ARP-sondepakketten bereiken IPDT en worden gedropt vanwege de Guard-functie.

    • IPDT-beleid geconfigureerd met 'security-level guard'-configuratie laat ARP-pakketten vallen waardoor weinig of alle eindapparaten onbereikbaar zijn

    Actieplan

    • Wijzig de instelling van Bewaken in Glean.

      Configureer 'security-level glean' in het IPDT-beleid

    Resolutie/verificatie

    • Na het configureren van glean instellingen worden de ARP-sondes verwerkt door het ARP-proces en wordt het probleem opgelost.
    • note-icon

      Opmerking: Dit is een bekend defect en het zou worden opgelost in 17.15.1 versie en later.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    31-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • InayathUlla Sharieff
      Cisco TAC
    • Parthiban Jeyabal
      Cisco TAC

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco