中央 Web 身份验证疑难解答
本主题介绍如何通过在 EX 系列交换机上启用身份验证作跟踪来获取详细的诊断信息。
Aruba ClearPass Policy Manager 提供了其他详细的诊断信息。有关更多信息,请参阅 Aruba ClearPass 文档。
使用追踪选项进行故障排除
您可以为 802.1X 协议启用追踪选项。以下命令集支持将跟踪日志写入名为 dot1x 的文件:
user@Policy-EX4300-01# set protocols dot1x traceoptions file dot1x user@Policy-EX4300-01# set protocols dot1x traceoptions file size 5m user@Policy-EX4300-01# set protocols dot1x traceoptions flag all
show log使用 CLI 命令显示跟踪日志文件的内容。例如:
user@Policy-EX4300-01> show log dot1x user@Policy-EX4300-01> show log dot1x | last 10 | refresh
还可以显示 UNIX 级别 shell 中的跟踪日志文件的内容。例如:
user@Policy-EX4300-01> start shell user@Policy-EX4300-01:RE:0% tail -f /var/log/dot1x
JNPR_RSVD_FILTER_CWA防火墙过滤器故障排除
JNPR_RSVD_FILTER_CWA防火墙过滤器动态安装在数据包转发引擎 (PFE) 中。由于未通过 Junos CLI 进行配置,因此无法使用 CLI 查看筛选词。
可以使用 Junos OS vty shell 命令连接到 PFE,以获取有关JNPR_RSVD_FILTER_CWA筛选器的更多信息。在下面的示例中,vty 命令用于查看有关作为 MAC RADIUS 身份验证过程的一部分安装的过滤器JNPR_RSVD_FILTER_CWA的详细信息。
注意:
vty 命令是隐藏命令,不受 JTAC 支持。由于 vty 命令未记录在案,并且使用可能会导致网络中断或作问题,因此通常不建议使用 vty。
开始 vty。
user@Policy-EX4300-01> start shell user@Policy-EX4300-01:RE:0% vty fpc0
show filter使用命令确定 ge-0/0/22 上过滤器的索引号。(vty)# sh filter Program Filters: --------------- Index Dir Cnt Text Bss Name -------- ------ ------ ------ ------ -------- Term Filters: ------------ Index Semantic Name -------- ---------------- 1 Classic Client_Policy 2 Classic guest_access_policy_1 3 Classic test_cwa_ISE 4 Classic IPPhone_mac_auth_policy1 5 Classic IPPhone_mac_auth_policy_1 17000 Classic __default_arp_policer__ 57006 Classic __jdhcpd__ 57007 Classic __dhcpv6__ 57008 Classic __cfm_filter_shared_lc__ 65008 Classic __jdhcpd_l2_snoop_filter__ 12582912 Classic dot1x_ge-0/0/6 12582913 Classic dot1x_ge-0/0/8 12582914 Classic dot1x_ge-0/0/22 46137360 Classic pfe-cos-cl-553-5-1 46137361 Classic pfe-cos-cl-554-5-1 46137362 Classic pfe-cos-cl-555-5-1显示与筛选器关联的计数器。
(vty)# sh filter index 12582914 counters Filter Counters/Policers: Index Packets Bytes Name -------- --------------- -------------------- -------- 12582914 0 0 CWA_arp_0050569b037f 12582914 0 0 CWA_destip_0050569b037f 12582914 0 0 CWA_dhcp_0050569b037f 12582914 0 0 CWA_https_0050569b037f 12582914 0 0 CWA_t_dns_0050569b037f 12582914 0 0 CWA_u_dns_0050569b037f 12582914 0 0 dot1x_ge-0/0/22_CWA_http_0050569b037f
显示筛选器的术语。
(vty)# sh filter index 12582914 program Filter index = 12582914 Optimization flag: 0x0 Filter notify host id = 0 Filter properties: None Filter state = CONSISTENT term CWA_destip_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-destination-address 10.105.5.153/32 then accept count CWA_destip_0050569b037f term CWA_t_dns_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-protocol 6 destination-port 53 then accept count CWA_t_dns_0050569b037f term CWA_u_dns_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-protocol