- はじめに
- 構成例
- 背景
- 設定例
- C1000側の設定
- ISE側の設定
- 1. デバイスの追加
- 2. Endpointの追加
- 3. Policy Setの追加
- 4. Authentication Policyの追加
- 5. Authorization Policyの追加
- IP Device Trackingの確認例
- MAB設定前
- MAB設定後
- 1.MAB認証を実施する前の確認
- 2. MAB認証を実施した後の確認
- 3. Authentication Sessionの確認
- 4. Radius Live Logの確認
- 5. IP Device Tracking機能によるARPプローブのパケットキャプチャの確認
- 事象
- 実行可能な解決策
- 1. ARPプローブの送信を遅らせる
- 2. ARPプローブのauto-sourceの設定
- パターン1:SVIのIPが設定されている
- パターン2:SVIのIPが設定されていない
- 3. IP Device Tracking機能のホスト数の制限
- 参考情報
はじめに
本ドキュメントは、スイッチ上でMAB認証後の通信問題に対する実行可能な解決策を紹介しています。本ドキュメントは、Identity Services Engine Virtual 3.3 Patch 1、C1000-48FP-4G-L 15.2(7)E9にて確認、作成をしております。
構成例
本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。
背景
IP Device Tracking及びそのARPプローブは、スイッチ上でMABが設定されたインターフェースにおいてデフォルトで有効化されています。本ドキュメントの構成例において、Win10 PC1を再起動する、あるいはケーブルを抜いて再挿入した後、MAB認証が成功しても、ゲートウェイ(Win10 PC3)へのpingが通らないという状況が発生する可能性があります。この予期せぬ挙動の原因は、Windows OSでスイッチ側のIP Device Tracking機能により発信された、送信元IPアドレスが0.0.0.0のARPプローブを受信すると、Windows側でのIPアドレス競合として判断されるためです。
設定例
この設定例は、MABの設定、及び認証を実施した後のIP Device Trackingの動作を示しています。
C1000側の設定
これはC1000 CLIでの設定例です。
aaa new-model
radius server ISE33
address ipv4 1.x.x.191
key cisco123
aaa group server radius AAASERVER
server name ISE33
aaa authentication dot1x default group AAASERVER
aaa authorization network default group AAASERVER
aaa accounting dot1x default start-stop group AAASERVER
dot1x system-auth-control
interface Vlan12
ip address 192.168.10.254 255.255.255.0
interface Vlan14
ip address 1.x.x.101 255.0.0.0
interface GigabitEthernet1/0/1
Switch port access vlan 14
Switch port mode access
interface GigabitEthernet1/0/2
Switch port access vlan 12
Switch port mode access
authentication host-mode multi-auth
authentication port-control auto
spanning-tree portfast edge
mab
interface GigabitEthernet1/0/3
Switch port access vlan 12
Switch port mode access
interface GigabitEthernet1/0/4
Switch port access vlan 12
Switch port mode access
// for packet capture
monitor session 1 source interface Gi1/0/2
monitor session 1 destination interface Gi1/0/3
ISE側の設定
1. デバイスの追加
「Administration > Network Devices」に移動し、「Add」ボタンをクリックしてC1000デバイスを追加します。
- Name : C1000
- IP Address : 1.x.x.101
2. Endpointの追加
「Context Visibility > Endpoints」に移動し、「Add」ボタンをクリックしてEndpointのMACアドレスを追加します。
3. Policy Setの追加
「Policy > Policy Sets」に移動し、「+」ボタンをクリックし、新しいPolicy Setを追加します。
- Policy Set Name : C1000_MAB
- Description : for mab test
- Conditions : Wired_MAB
- Allowed Protocols / Server Sequence : Default Network Access
4. Authentication Policyの追加
「Policy Sets」に移動し、「C1000_MAB」をクリックし、新しいAuthentication Policyを追加します。
- Rule Name : MAB_authentication
- Conditions : Wired_MAB
- Use : Internal Endpoints
5. Authorization Policyの追加
「Policy Sets」に移動し、「C1000_MAB」をクリックし、新しいAuthorization Policyを追加します。
- Rule Name : MAB_authorization
- Conditions : Network_Access_Authentication_Passed
- Results : PermitAccess
IP Device Trackingの確認例
MAB 設定前
「show ip device tracking all」コマンドを実行して、ip device tracking機能が無効になっていることを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Disabled
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
MAB 設定後
1. MAB認証を実施する前の確認
「show ip device tracking all」コマンドを実行して、ip device tracking機能が有効になっていることを確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
Switch #show authentication sessions interface GigabitEthernet1/0/2 details
Interface: GigabitEthernet1/0/2
MAC Address: b496.9115.84cb
IPv6 Address: Unknown
IPv4 Address: 192.168.10.10
User-Name: B4-96-91-15-84-CB
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Restart timeout: N/A
Periodic Acct timeout: N/A
Session Uptime: 114s
Common Session ID: 01C200650000001D62945338
Acct Session ID: 0x0000000F
Handle: 0xBE000007
Current Policy: POLICY_Gi1/0/2
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Server Policies:
Method status list:
Method State
mab Authc Success
4. Radius Live Logの確認
ISE GUIの「Operations > RADIUS > Live Logs」に移動し、MAB authenticationのlive logを確認します。
5. IP Device Tracking機能によるARPプローブのパケットキャプチャの確認
「show interfaces GigabitEthernet1/0/2」コマンドを実行して、GigabitEthernet1/0/2のMACアドレスを確認します。
Switch #show interfaces GigabitEthernet1/0/2
GigabitEthernet1/0/2 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 3c41.0e4f.1782 (bia 3c41.0e4f.1782)
パケットキャプチャで、GigabitEthernet1/0/2からのARPプローブが30秒ごとに送信されていることを確認します。
パケットキャプチャで、ARPプローブの送信元IPアドレスが0.0.0.0であることを確認します。
事象
上記「IP Device Trackingの確認例」で、Win10 PC1を再起動する、あるいはケーブルを抜いて再挿入した後、MAB認証が成功しても、Win10 PC1からゲートウェイ(Win10 PC3)へのpingが通らない事象が発生する可能性があります。
実行可能な解決策
実行可能な解決策については、Troubleshoot Duplicate IP Address 0.0.0.0 Error Messagesを参照してください。
以下に、シスコのラボでテスト済みの各解決策の例を詳しく説明します。これらの解決策を実施した後でも事象が改善できない場合は、Cisco TAC にお問い合わせください。
1. ARPプローブの送信を遅らせる
「ip device tracking probe delay <1-120>」コマンドを実行して、スイッチからのARPプローブの送信を遅延させます。このコマンドは、スイッチがリンクのUP/フラップを検出した際に、<1-120>秒間プローブを送信しないようにするもので、リンクの反対側にあるホストがIPアドレスの重複をチェックしている間にプローブが送信される可能性を最小限に抑えます。
以下は、ARPプローブの遅延を10秒に設定する例です。
Switch (config)#ip device tracking probe delay 10
「show ip device tracking all」コマンドを実行して、遅延設定を確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 10
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
2. ARPプローブのauto-sourceの設定
「ip device tracking probe auto-source fallback <host-ip> <mask> [override] 」コマンドを実行して、ARPプローブの送信元のIPアドレスを変更します。このコマンドにより、ARPプローブの送信元IPアドレスは0.0.0.0ではなく、スイッチ上に存在する仮想インターフェイス(SVI)のIPアドレスに変更されるか、またはSVIのIPアドレスが設定されていない場合、送信元IPアドレスは自動的に計算されます。
以下は、<host-ip>を0.0.0.200に設定する例です。
Switch (config)#ip device tracking probe auto-source fallback 0.0.0.200 255.255.255.0 override
パターン1:SVIのIPが設定されている
本ドキュメントにおいて、MAB認証を行うインターフェース(GigabitEthernet1/0/2)に対し、SVIのIPアドレス(vlan12のIPアドレス)が設定されているため、ARPプローブの送信元IPアドレスは192.168.10.254に変更されます。
「show ip device tracking all」コマンドを実行して、auto-sourceの設定を確認します。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
パケットキャプチャで、GigabitEthernet1/0/2からARPプローブが30秒ごとに送信されていることを確認してください。
パケットキャプチャで、ARPプローブの送信元IPアドレスが192.168.10.254(SVI vlan12のIPアドレス)であることを確認します。
パターン2:SVIのIPが設定されていない
本ドキュメントにおいて、ARPプローブの送信先は192.168.10.10/24であるため、SVIのIPアドレスが設定されない場合、送信元IPアドレスが192.168.10.200となります。
SVI インターフェースのIP アドレスを削除します。
Switch (config)#int vlan 12
Switch (config-if)#no ip address
「show ip device tracking all」コマンドを実行して、auto-sourceの設定を確認してください。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
IP Device Tracking Probe Auto Source = Enabled
Probe source IP selection order: SVI,Fallback 0.0.0.200 255.255.255.0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
192.168.10.10 b496.9115.84cb 12 GigabitEthernet1/0/2 30 ACTIVE ARP
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
パケットキャプチャで、GigabitEthernet1/0/2からARPプローブが30秒ごとに送信されていることを確認してください。
パケットキャプチャで、ARPプローブの送信者IPアドレスが192.168.10.200に変更されていることを確認します。
3. IP Device Tracking機能のホスト数の制限
「ip device tracking maximum 0」コマンドを実行して、対象InterfaceのIP Device Tracking機能でサポートするホストの数をゼロに制限します。
Switch (config)#int g1/0/2
Switch (config-if)#ip device tracking maximum 0
「show ip device tracking all」コマンドを実行して、GigabitEthernet1/0/2におけるIP device trackingの状態を確認してください。
Switch #show ip device tracking all
Global IP Device Tracking for clients = Enabled
Global IP Device Tracking Probe Count = 3
Global IP Device Tracking Probe Interval = 30
Global IP Device Tracking Probe Delay Interval = 0
-----------------------------------------------------------------------------------------------
IP Address MAC Address Vlan Interface Probe-Timeout State Source
-----------------------------------------------------------------------------------------------
Total number interfaces enabled: 1
Enabled interfaces:
Gi1/0/2
参考情報
Troubleshoot Duplicate IP Address 0.0.0.0 Error Messages
Verify IPDT Device Operations
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
