AAA テストおよびトラブルシューティング
AAA 構成テストおよびトラブルシューティング
加入者管理は、加入者の AAA 設定を確認できるテスト機能をサポートしています。テスト機能を使用して、加入者のAAA設定を確認し、加入者のログイン問題のトラブルシューティングや分離に役立てることができます。AAA テスト プロセスは、加入者を認証し、加入者にアドレスを割り当て、アカウンティング開始パケットを発行する疑似セッションを作成します。その後、このプロセスはアカウンティング停止要求を発行し、アドレスを解放して、疑似セッションを終了します。
AAA テスト結果は、ログイン時に加入者管理が加入者に割り当てる属性に関する詳細を提供します。属性は、RADIUS、動的プロファイル、静的インターフェイス設定によって割り当てられるか、静的に割り当てられている場合があります。DHCP、PPP、および認証ライト加入者のAAA設定をテストできます。L2TP クライアントの場合、AAA テスト プロセスはすべてのトンネル パラメーターを表示しますが、実際のトンネル セッションは作成されません。
コマンドは test aaa
、IETF 標準属性とジュニパーネットワークス VSA の両方のすべての RADIUS 送信元属性をサポートしています。受信した属性が出力に表示されます。標準 RADIUS 属性については、 AAA サービス フレームワークでサポートされている RADIUS IETF 属性を参照してください。ジュニパーネットワークスのVSAの詳細については、 AAAサービスフレームワークでサポートされているジュニパーネットワークスVSAを参照してください。
コマンドは test aaa
、ボリュームタイム アカウンティング(Juniper Networks VSA 26-69(値 2))をサポートしていません。ボリュームタイムアカウンティングがテスト加入者に設定されている場合、 test コマンドは統計情報を時間のみのアカウンティング統計に置き換えます。
加入者AAA設定のテスト
目的
ログイン時に加入者管理が加入者に割り当てるAAA属性を表示します。
次の例では、PPP加入者のAAA設定をテストします。コマンドを test aaa dhcp user 使用して、DHCP 加入者に対して同様のテストを実行し、コマンドを test aaa authd-lite user 使用して認証ライト加入者をテストできます。
アクション
user@host>test aaa ppp user user45@test.net password $ABC123 Authentication Grant ************User Attributes*********** User Name - user45@test.net Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - TEST Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - $ABC123 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Idle Timeout - 600 Session Timeout - 6000 Service Name (1) - cos-service(video_sch, nc_sch) Service Statistics (1) - 1 Service Acct Interim (1) - 600 Service Activation Type (1) - 1 Service Name (2) - filter-service(in_filter, out_filter) Service Statistics (2) - 2 Service Acct Interim (2) - 900 Service Activation Type (2) - 1 Cos shaping rate - 100m Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 1 Acct Interim Interval - 750 Acct Type - 1 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 1 IPv4 ADF Rule - 010100 IPv4 ADF Rule - 010101 IPv6 ADF Rule - 030100 IPv6 ADF Rule - 030101 ****Pausing 10 seconds before disconnecting the test user********* Logging out subscriber Terminate Id - not set Test complete. Exiting
オプションと コマンドを agent-remote-id ari
test aaa dhcp user
test aaa ppp user
使用して、DSL フォーラム エージェント-リモート ID(VSA 26-2)をサポートするネットワークで DHCP および PPP 加入者認証を検証できます。
DSL フォーラム Agent-Remote-Id を指定した場合、出力には指定された値が含まれます。VSAを指定しない場合、エージェントリモートID値は.NULL
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212” Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 192.168.1.1 Client IP Netmask - 255.255.0.0 ... NAS Ip Address - 0.0.0.0 Agent Remote Id - (202)555–1212 ...
以下の例は、無効なパスワードによる認証許可に失敗した場合の出力を示しています。
user@host>test aaa ppp user user45@test.net password 55N33%%56 Authentication Deny Reason : Access Denied Received Attributes : User Name - user45@test.net Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 Virtual Router Name - default Agent Remote Id - NULL Reply Message - NULL Primary DNS IP Address - 0.0.0.0 Secondary DNS IP Address - 0.0.0.0 Primary WINS IP Address - 0.0.0.0 Secondary WINS IP Address - 0.0.0.0 Primary DNS IPv6 Address - :: Secondary DNS IPv6 Address - :: Framed Pool - not set Class Attribute - not set Service Type - 0 Client IPv6 Address - :: Client IPv6 Mask - null Framed IPv6 Prefix - ::/0 Framed IPv6 Pool - not-set NDRA IPv6 Prefix - not-set Login IPv6 Host - :: Framed Interface Id - 0:0:0:0 Delegated IPv6 Prefix - ::/0 Delegated IPv6 Pool - not-set User Password - 55N33%%56 CHAP Password - NULL Mac Address - 00:00:5E:00:53:ab Filter Id - not set Framed MTU - (null) Framed Route - not set Ingress Policy Name - not set Egress Policy Name - not set IGMP - disabled Redirect VR Name - default Service Bundle - Null Framed Ip Route Tag - not set Ignore DF Bit - disabled IGMP Access Group Name - not set IGMP Access Source Group Name - not set MLD Access Group Name - not set MLD Access Source Group Name - not set IGMP Version - not set MLD Version - not set IGMP Immediate Leave - disabled MLD Immediate Leave - disabled IPv6 Ingress Policy Name - not set IPv6 Egress Policy Name - not set Acct Session ID - 12 Acct Interim Interval - 0 Acct Type - 0 Ingress Statistics - disabled Egress Statistics - disabled Chargeable user identity - 0 NAS Port Id - -0/0/0.0 NAS Port - 4095 NAS Port Type - 15 Framed Protocol - 0 Test complete. Exiting
VLAN-OOB 加入者を持つレイヤー 2 ネットワークなど、一部のネットワークでは、RADIUS はクライアント プロファイルの加入者アドレスを Client-Profile-Name VSA(26~174)で提供するように構成されています。デフォルト設定では、RADIUSから加入者アドレスを直接受信しない場合、テストは失敗します。これらの加入者を正常にテストするには、 オプションを no-address-request
含める必要があります。コマンド出力には、動的プロファイルフィールドのクライアントプロファイル名と、ルーティングインスタンスフィールドの仮想ルーターVSA(26-1)によって伝達されたルーティングインスタンスの名前が表示されます。
user@host>test aaa ppp user thomastank no-address-request Authentication Grant ************User Attributes*********** User Name - thomastank Client IP Address - 0.0.0.0 Client IP Netmask - 0.0.0.0 ... IPv6 Egress Policy Name - not set Dynamic Profile- filter-service Routing Instance - VR27fin ...
Junos OS リリース 19.3R1 以降、XML 出力形式が変更されました。各 RADIUS サーバー属性名には、関連する属性値があります。これらの各ペアは、<radius-server-data>タグで囲まれています。新しいタグを使用すると、オペレーターとAPIクライアントの両方で、名前/値のペアを簡単に認識できます。
XML 出力を使用するスクリプトを変更して、新しい形式を正しく処理しなければならない場合があります。
次の例は、古い形式のサンプル XML 出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>
次の例は、新しい形式のサンプル XML 出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml <rpc-reply xmlns:junos="namespace-URL"> <aaa-test-result> <aaa-test-status>Authentication Grant</aaa-test-status> <aaa-test-status>************User Attributes***********</aaa-test-status> <radius-server-data> <radius-server-attribute-name>User Name -</radius-server-attribute-name> <radius-server-attribute-value>user45@test.net</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name> <radius-server-attribute-value>default:default</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Service Type -</radius-server-attribute-name> <radius-server-attribute-value>Framed</radius-server-attribute-value> </radius-server-data> <radius-server-data> <radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name> <radius-server-attribute-value><not set></radius-server-attribute-value> </radius-server-data> ... <aaa-test-status>Test complete. Exiting</aaa-test-status> </aaa-test-result> <cli> <banner></banner> </cli> </rpc-reply>