セントラルWeb認証のトラブルシューティング
このトピックでは、EX シリーズ スイッチで認証操作のトレースを有効にすることで、詳細な診断情報を取得する方法について説明します。
Aruba ClearPass Policy Manager は、追加の詳細な診断情報を提供します。詳細については、Aruba ClearPassのドキュメントを参照してください。
トレースオプションを使用したトラブルシューティング
802.1X プロトコルのトレース オプションを有効にすることができます。次のコマンド セットを使用すると、 dot1x という名前のファイルにトレース ログを書き込むことができます。
user@Policy-EX4300-01# set protocols dot1x traceoptions file dot1x user@Policy-EX4300-01# set protocols dot1x traceoptions file size 5m user@Policy-EX4300-01# set protocols dot1x traceoptions flag all
show log
CLI コマンドを使用して、トレース ログ ファイルの内容を表示します。例えば:
user@Policy-EX4300-01> show log dot1x user@Policy-EX4300-01> show log dot1x | last 10 | refresh
UNIX レベルのシェルからトレース ログ ファイルの内容を表示することもできます。例えば:
user@Policy-EX4300-01> start shell user@Policy-EX4300-01:RE:0% tail -f /var/log/dot1x
JNPR_RSVD_FILTER_CWAファイアウォールフィルターのトラブルシューティング
JNPR_RSVD_FILTER_CWAファイアウォールフィルターは、パケット転送エンジン(PFE)に動的にインストールされます。Junos CLI で設定されていないため、CLI を使用してフィルター条件を表示することはできません。
Junos OS vty シェル・コマンドを使用して PFE に接続し、JNPR_RSVD_FILTER_CWA・フィルターに関する詳細情報を取得できます。以下の例では、vty コマンドを使用して、MAC RADIUS 認証プロセスの一部としてインストールされるフィルター JNPR_RSVD_FILTER_CWAに関する詳細情報を確認します。
vtyコマンドは隠しコマンドであり、JTACではサポートされていません。vty コマンドは文書化されておらず、使用するとネットワークの中断や運用上の問題が発生する可能性があるため、vty の使用は一般的には推奨されません。
vty を起動します。
user@Policy-EX4300-01> start shell user@Policy-EX4300-01:RE:0% vty fpc0
show filter
コマンドを使用して、ge-0/0/22 のフィルターのインデックス番号を確認します。(vty)# sh filter Program Filters: --------------- Index Dir Cnt Text Bss Name -------- ------ ------ ------ ------ -------- Term Filters: ------------ Index Semantic Name -------- ---------------- 1 Classic Client_Policy 2 Classic guest_access_policy_1 3 Classic test_cwa_ISE 4 Classic IPPhone_mac_auth_policy1 5 Classic IPPhone_mac_auth_policy_1 17000 Classic __default_arp_policer__ 57006 Classic __jdhcpd__ 57007 Classic __dhcpv6__ 57008 Classic __cfm_filter_shared_lc__ 65008 Classic __jdhcpd_l2_snoop_filter__ 12582912 Classic dot1x_ge-0/0/6 12582913 Classic dot1x_ge-0/0/8 12582914 Classic dot1x_ge-0/0/22 46137360 Classic pfe-cos-cl-553-5-1 46137361 Classic pfe-cos-cl-554-5-1 46137362 Classic pfe-cos-cl-555-5-1
フィルターに関連付けられているカウンターを表示します。
(vty)# sh filter index 12582914 counters Filter Counters/Policers: Index Packets Bytes Name -------- --------------- -------------------- -------- 12582914 0 0 CWA_arp_0050569b037f 12582914 0 0 CWA_destip_0050569b037f 12582914 0 0 CWA_dhcp_0050569b037f 12582914 0 0 CWA_https_0050569b037f 12582914 0 0 CWA_t_dns_0050569b037f 12582914 0 0 CWA_u_dns_0050569b037f 12582914 0 0 dot1x_ge-0/0/22_CWA_http_0050569b037f
フィルターの条件を表示します。
(vty)# sh filter index 12582914 program Filter index = 12582914 Optimization flag: 0x0 Filter notify host id = 0 Filter properties: None Filter state = CONSISTENT term CWA_destip_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-destination-address 10.105.5.153/32 then accept count CWA_destip_0050569b037f term CWA_t_dns_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-protocol 6 destination-port 53 then accept count CWA_t_dns_0050569b037f term CWA_u_dns_0050569b037f term priority 0 smac 0.80.86.155.3.127/48 ip-protocol