2. switchport mac vlan および no switchport mac auto-vlan 設定有の場合7運用コマンドshow web-authentication
3.9.3 MAC 認証使用時の通信障害
MAC 認証使用時に通信ができない場合は,次の表に示す障害解析方法に従って原因の切り分けを行って ください。
表 3-26 MAC 認証使用時の障害解析方法
5 認証専用IPv4アクセスリストの設定 認証前状態の端末から本装置外に通信するために必要なフィルタ条件が,
コンフィグレーションコマンドauthentication ip access-groupおよび ip access-list extendedで正しく設定されていることを確認してくださ い。
6 ARPパケット中継の設定 認証前状態の端末から本装置外の機器宛にARPパケットを通信させる ためのコンフィグレーションコマンドauthentication arp-relayが正し く設定されていることを確認してください。
項 番
確認内容・コマンド 対応
1 端末が通信できるか確認してください。 • ローカル認証方式で認証できない場合は項番2へ。
• RADIUS認証方式で認証できない場合は項番3へ。
• 上記に該当しない場合は項番6へ。
2 運用コマンドshow mac-authentication mac-addressでMACアドレスと
VLAN IDが登録されているこを確認し
てください。
• MACアドレスが登録されていない場合は,運用コマンドset mac-authentication mac-addressでMACアドレスおよびVLAN ID を登録してください。登録後は,運用コマンドcommit
mac-authenticatonで運用に反映してください。
【固定VLANモード】
• コンフィグレーションコマンドmac-authentication vlan-checkを設 定している場合は,MACアドレスと認証対象端末が所属するVLAN IDが登録されていることを確認してください。
【ダイナミックVLANモード】
• MACアドレスと認証後VLAN IDが登録されていることを確認してく ださい。
• 上記以外で固定VLANモードまたはダイナミックVLANモードの場 合は項番5へ。
• 上記に該当しない場合は項番6へ。
3 RADIUSサーバにMACアドレスが登
録されているかを確認してください。
• RADIUSサーバのユーザIDとして,MACアドレスが登録されてい
ない場合は,RADIUSサーバに登録してください。
• ユーザIDおよびパスワードにMACアドレスが登録されている場合 は,MACアドレスの値を確認してください。
また,MACアドレス形式が,コンフィグレーションコマンド mac-authentication id-formatの設定と一致しているか確認してくだ さい。
• パスワードに任意文字列を登録している場合は,コンフィグレーショ ンコマンドmac-authentication passwordで設定した文字列と一致し ているか確認してください。
【固定VLANモード】
• RADIUSサーバのNAS-IdentifierのVLAN IDが認証対象端末が所属
するVLAN IDと一致しているか確認してください。
• コンフィグレーションコマンドmac-authentication vlan-checkを設 定している場合は,ユーザIDの登録文字列がmac-authentication vlan-checkで設定した区切り文字列およびVLAN IDと一致している か確認してください。
項 番
確認内容・コマンド 対応
3.
運用中機能障害におけるトラブルシュート注※1
コンフィグレーションコマンドの設定が下記に該当するか確認してください。
1. switchport mac vlan および no switchport mac auto-vlan 設定無の場合
•
vlan mac-based で RADIUS サーバの VLAN ID が設定されていること
【ダイナミックVLANモード】
• RADIUSサーバのRADIUS属性のTunnel-Private-Group-ID属性に 設定されたVLAN IDと,認証対象ポートのVLAN ID※1が一致する ように設定してください。
• RADIUSサーバにVLAN名称で登録している場合は,該当VLANの コンフィグレーションコマンドname※2と一致しているか確認して ください。
• 上記に該当しない場合は項番4へ。
4 運用コマンドshow mac-authentication statisticsでRADIUSサーバとの通信 状態を確認してください。
• 表示項目"[RADIUS frames]"の"TxTotal"の値が"0"の場合は,下記 のコンフィグレーションが正しく設定されているか確認してください。
aaa authentication mac-authentication default
mac-authenticatin radius-server hostまたはradius-server host
• 固定VLANモードまたはダイナミックVLANモードの場合は項番5 へ。
• 上記に該当しない場合は項番6へ。
5 認証専用IPv4アクセスリストの設定を 確認してください。
• 認証前状態の端末から本装置外に特定のパケット通信を行う場合,認 証専用IPv4アクセスリストが設定されていることを確認してくださ い。
また,認証対象ポートに通常のアクセスリストと認証専用IPv4アク セスリストの両方を設定した場合,認証専用IPv4アクセスリストに 設定したフィルタ条件が通常のアクセスリストにも設定されているこ とを確認してください。
• 認証専用IPv4アクセスリストのフィルタ条件の宛先IPアドレスに,
anyが設定されていないことを確認してください。
• 上記に該当しない場合は項番6へ。
6 運用コマンドshow mac-authentication statisticsでMAC認証の統計情報が表 示されるかを確認してください。
• MAC認証の統計情報が表示されない場合は項番7へ。
• 上記に該当しない場合は項番8へ。
7 コンフィグレーションコマンド mac-authentication
system-auth-controlが設定されている かを確認してください。
• コンフィグレーションコマンドmac-authentication
system-auth-controlが設定されていない場合は,設定してください。
• 上記に該当しない場合は項番8へ。
8 運用コマンドshow mac-authentication
loggingを実行し,動作に問題がないか
を確認してください。
動作ログ種別LOGINで,下記の動作ログが表示されている合は認証に 失敗しています。
•「Login failed : xxxxxxxxxxx」
動作ログ内容を確認して,RADIUSサーバ,内蔵MAC認証DB,コ ンフィグレーションなどの設定内容を見直してください。
動作ログ内容は,運用コマンドレファレンスを参照してください。
• 認証端末が接続されているポートの認証情報が表示されない場合は,
コンフィグレーションコマンドmac-authentication portで認証対象 ポートが正しく設定されているか確認してください。
• 端末が接続されている認証対象ポートがリンクダウンまたはシャット ダウンしていないことを確認してください。
• 上記以外の場合は,MAC認証のコンフィグレーションを確認してく ださい。
項 番
確認内容・コマンド 対応
2. switchport mac vlan および no switchport mac auto-vlan 設定有の場合
•
switchport mac vlan と一致していること
注※2コンフィグレーションコマンドnameで設定するVLAN名称を,RADIUS認証の認証後VLANとして使用する ときは下記に注意してください。
• VLAN名称が,複数のVLANで重複しないように設定してください。VLAN名称が重複していると,重複して いるうちで最も小さいVLAN IDがRADIUS認証の認証後VLANとして割り当てられます。
• VLAN名称の先頭に数字を指定しないでください。先頭の数字をVLAN IDとして認識し,認証に失敗する場合 があります。
MAC 認証に関係するコンフィグレーションは次の点を確認してください。
表 3-27 MAC 認証のコンフィグレーションの確認
項番
確認内容・コマンド 対応
1 MAC認証のコンフィグレーション 次のコンフィグレーションコマンドが正しく設定されていることを確認 してください。
【MAC認証共通】
• aaa authentication mac-authentication default group radius
• mac-authentication access-group
• mac-authentication auto-logout
• mac-authentication id-format
• mac-authentication interface
• mac-authentication max-timer
• mac-authentication password
• mac-authentication system-auth-control
【固定VLANモード】
• mac-authentication port
• mac-authentication vlan-check
• authentication arp-relay
• authentication ip access-group
【ダイナミックVLANモード】
• mac-authentication port
• authentication arp-relay
• authentication ip access-group 2 VLANインタフェースの設定 【固定VLANモード】
対象VLANインタフェースにIPアドレスが正しく設定されていること を確認してください。
【ダイナミックVLANモード】
次の各VLANインタフェースにIPアドレスが正しく設定されているこ とを確認してください。
• 認証前VLAN
• 認証後VLAN
3 フィルタ設定 フィルタによって特定のパケットが廃棄されているか,またはQoS制御 のシェーパによってパケットが廃棄されている可能性があります。コン フィグレーションのフィルタおよびQoS制御の設定条件が正しいか,シ ステム構築でのシェーパのシステム運用が適切であるかを確認してくだ さい。手順については「3.16.1 フィルタ・QoS設定情報の確認」を参 照してください。