キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Catalystスイッチ - IP Device Tracking機能について

    本ドキュメントでは、Catalystスイッチ(※)における IP Device Tracking の動作、及び IP Device Trackingによる影響について記載します。
     

    ※対象機器

    - Catalyst 2960S/2960Plus/2960X/3560X/3750Xシリーズ
    - Catalyst 4500/4500Xシリーズ
    - Catalyst 3850/3650
    シリーズ (IOS-XE 16.x 以降は除く)

     

     

    IP Device Trackingの基本動作

    IP Device Tracking は、ネットワーク上のHostに対し、ARP Probeを定期的(default 30sec)に送信しHostの監視、管理を行う機能です。

    IP Device Tracking はデフォルト状態では無効(※) となっておりますが、以下の関連機能に連動して動作し、これらの機能が有効となることで IP Device Tracking も連動して無効状態から有効状態へと自動で切り替わる動作をとります。

    ※ IOS 15.2(1)E 前後でのデフォルト状態の動きが変更されていますので、詳細については " IP Device Tracking のデフォルト動作" で説明します。

     

    IP Device Tracking が監視を行う関連機能

    Network Mobility Services Protocol (NMSP) ( 3.2.0E, 15.2(1)E/3.5.0E 以降)
    Device sensor802.1X, MAC Authentication Bypass (MAB)
    Web-based authentication
    HTTP redirects
    Auth-proxy
    IPSG for static hosts
    Flexible netflowCisco TrustSec (CTS)
    Media trace
    

     

    これらの関連機能の対象Host がネットワーク上に存在する場合は、IP Device Tracking は連動して無効から有効となり、監視をはじめます。

    関連機能が無効状態で、対象Hostが存在しない場合は、IP Device Tracking による監視は行われず、IP Device Tracking も無効な状態となります。また、この場合、show ip device tracking all を確認した際に Global IP Device Tracking for Clients = Disabled と表示されます。
     

    対象Hostがネットワーク上に存在する場合

    Switch#sho ip device tracking all
    Global IP Device Tracking for clients = Enabled
    Global IP Device Tracking Probe Count = 3
    Global IP Device Tracking Probe Interval = 30
    Global IP Device Tracking Probe Delay Interval = 0
    -----------------------------------------------------------------------------------------------
      IP Address    MAC Address   Vlan  Interface           Probe-Timeout      State    Source
    -----------------------------------------------------------------------------------------------
    192.168.1.100   0012.3456.789a 1    GigabitEthernet1/0/1  30              ACTIVE   ARP
    192.168.1.101   0012.3456.789b 1    GigabitEthernet1/0/1  30              ACTIVE   ARP

     

    対象Hostがネットワーク上に存在しない場合

    Switch#show ip device tracking all
    Global IP Device Tracking for clients = Disabled
    -----------------------------------------------------------------------------------------------
      IP Address    MAC Address   Vlan  Interface           Probe-Timeout      State    Source
    -----------------------------------------------------------------------------------------------
    

     

    IP Device Tracking のデフォルト動作

    IOS 15.2(1)E 以降において、IP Device Tracking デフォルト状態の動作が変更されています。


    15.2(1)E以前 ※15.2(1)Eを含まない

    グローバル設定で "ip device tracking" を明示的に設定しないと、関連機能に連動して自動で有効となる動作をとりません。"ip device tracking" 設定後は、"no ip device tracking" で元の状態に戻すことが可能です。

    また、"ip device tracking" を設定した状態でも、関連機能が無効で対象Hostが存在しない場合は、IP Device Tracking も無効状態であり、監視は行われません。

     

    15.2(1)E以降 ※15.2(1)Eを含む

    グローバル設定を行わなくても、関連機能に連動して自動で有効となる動作をとります。15.2(1)E 以降では、グローバル設定 (ip device tracking / no ip device tracking) はサポートされておらず、IP Device Tracking を明示的に無効にする (15.2(1)E以前のデフォルト状態と同じにする) ことは出来ません。

    ※IOSXE搭載の Catalyst 3850 / 3650 シリーズは、リリース時から IOS-XE 16.x より前までの動作となります。IOS-XE 1.6x以降の動作は 別途リリースノートを参照ください。

     

    IP Device Trackingの無効化

    上記の通り、IOS 15.2(1)E 以降では、IP Device Tracking をグローバル設定で無効にすることは出来ない実装ですので、IP Device Tracking を無効状態にするには、上記の "IP Device Tracking が監視を行う関連機能" を全て無効にしてください。

    または、監視対象Hostが存在するインターフェースにて、ip device tracking maximum 0 と 設定することで、監視するHost数を 0 とするため、そのインターフェースでの IP Device Tracking が強制的に無効となります。
    ※IP Device Tracking の関連機能が動作していても、IP Device Trackingによる監視が行われなくなるのでご注意ください。

     

    IP Device Tracking Interface の確認

    Switch#show ip device tracking int gig1/0/1
    --------------------------------------------
    Interface GigabitEthernet1/0/48 is: STAND ALONE
    IP Device Tracking = Enabled
    IP Device Tracking Probe Count = 3
    IP Device Tracking Probe Interval = 30
    IPv6 Device Tracking Client Registered Handle: 102
    IP Device Tracking Enabled Features:
            HOST_TRACK_CLIENT_SM
    --------------------------------------------
    192.168.1.100       0012.2356.789a 1    GigabitEthernet1/0/1  30              ACTIVE   ARP
    192.168.1.101       0012.2356.789b 1    GigabitEthernet1/0/1  30              ACTIVE   ARP

     

    ip device tracking maximum 0 を設定

    Switch#conf t
    Switch(config)#interface gig1/0/1
    Switch(config-if)#ip device tracking maximum 0
    Switch(config-if)#

     

    IP Device Tracking の 無効化を確認

    Switch#show ip device tracking int gig1/0/1
    --------------------------------------------
    Interface GigabitEthernet1/0/1 is: STAND ALONE
    IP Device Tracking = Disabled
    IP Device Tracking Probe Count = 3
    IP Device Tracking Probe Interval = 30
    IP Device Tracking Enabled Features:
    ----------------------------------------

     

    ※ "ip device tracking maximum xx" が設定されている Interface に Port-channelの設定を行うと(channel-group x mode xxx)、設定が弾かれる不具合がございますので、ご注意ください。詳細については CSCui69119 を参照ください。

     

    IP Device Tracking による影響

    IP Device Tracking が有効状態となっている Catalystスイッチに Vista/2008/7 等の OS が稼働するWindows 機器を接続した際に Windwos側 で IPアドレスの重複が検知される場合があります。
     これは、Windows Vista 以降、RFC5227に基づいて導入された IPアドレス重複検出メカニズムの検知ウィンドウの間に、Catalystスイッチからの IP Device Tracking による  ARP Probe (送信元 IPアドレス 0.0.0.0) を受信した場合、これを IPアドレス 重複として扱われるためです。


    <回避方法>

    下記設定を実施することで事象の回避を試みてください。
     

    1) ip device tracking probe delay <1-120>

    IP Device Tracking の ARP Probe 送信を遅らせるコマンドを設定します。
    Windows の IPアドレス重複検知ウィンドウの時間よりも大きな値を設定することで事象を回避します。(デフォルト0秒)


    2) ip device tracking probe use-svi

    上記1) の方法で解決しない場合は本コマンドを設定し、回避可能か確認してみてください。

    ip device tracking probe use-svi を実行すると、Catalystスイッチから送信される ARP Probe の 送信元 IPアドレスが 0.0.0.0 から SVI に設定されている IP アドレスに変更されます。送信元 IPアドレスが 0.0.0.0 以外であれば、Windows側では IP アドレス重複検知対象として扱われないとされています。

    尚、15.2(2)E 以降では、コマンドが以下のように変更されております。
    ip device tracking probe use-svi と設定すること自体は可能ですが、show running-config では、以下のコマンドに自動で変更され保存されます。

    15.2(2)E 以降
    ip device tracking probe auto-source [fallback <host-ip> <mask>] [override]

     

    3) ip device tracking maximum 0

    本コマンドは、上記 "IP Device Trackingの無効化" にて記載の通り、そのインターフェースでの
    IP Device Tracking を強制的に無効するコマンドとなり、本コマンドを設定することで回避可能となります。
    尚、IP Device Tracking 自体は無効となりますが、IP Device Tracking によって Host監視が行われる機能(例、802.1x認証、MAC認証等、上記参照) 自体が無効となるわけではございません。


    本事象に関する詳細原因及び、Windows側での対策についても以下のLinkに説明がありますのでご参照ください。

    Duplicate IP Address 0.0.0.0 Error Message Troubleshoot
     

     

    バージョン履歴
    改訂番号
    3/3
    最終更新:
    ‎09-14-2017 03:19 PM
    更新者:
     
    ラベル(1)