い。
上記 2. については,ネットワーク構成の変更前と変更後の差分を調べ,通信ができなくなるような原因が ないか確認してください。
2. 自動経路情報設定に関連する機能に影響がある操作,またはイベントが発生した。
3.13 レイヤ 2 認証の通信障害
3.13.3 MAC 認証使用時の通信障害
MAC 認証使用時の障害については, 「表 3-58 MAC 認証の障害解析方法」に示す障害解析に従って原因 を切り分けてください。
また,MAC 認証のコンフィグレーションに関する確認,およびアカウンティングに関する確認について はそれぞれ「表 3-59 MAC 認証のコンフィグレーションの確認」 , 「表 3-60 MAC 認証のアカウンティ ングの確認」に従って原因を切り分けてください。
表 3-58 MAC 認証の障害解析方法
項番 確認内容・コマンド 対応
1 端末が通信できるかを確認してください。 • ローカル認証方式で認証できない場合は項番2へ。
• RADIUS認証方式で認証できない場合は項番3へ。
• 上記に該当しない場合は項番5へ。
2 show mac-authentication mac-addressコマン ドでMACアドレスとVLAN IDが登録されて いるかを確認してください。
• MACアドレスが登録されていない場合は,set
mac-authentication mac-addressコマンドでMACアドレ ス,およびVLAN IDを登録してください。
• 上記に該当しない場合は項番5へ。
3 show mac-authentication statisticsコマンド
でRADIUSサーバとの通信状態を確認してく
ださい。
• 表示項目"[RADIUS frames]"の"TxTotal"の値が"0"の場合 は,コンフィグレーションコマンドaaa authentication mac-authentication default group radius,radius-server hostおよびmac-authentication radius-server hostが正し く設定されているか確認してください。
• dead interval機能によって,RADIUSサーバが無応答と なった状態から通信可能な状態に復旧しても,コンフィグ レーションコマンドauthentication radius-server
dead-intervalで設定された時間の間はRADIUSサーバへの 照合は行われないため,認証エラーとなります。
この際,RADIUSサーバ無応答による認証失敗の時間が長 すぎる場合は,コンフィグレーションコマンド
authentication radius-server dead-intervalの設定値を変更 するか,またはclear mac-authentication
dead-interval-timerコマンドを実行してください。1台目の
RADIUSサーバを使用した認証動作が再開されます。
• 上記に該当しない場合は項番4へ。
4 RADIUSサーバにMACアドレスおよびパス
ワードが登録されているかを確認してくださ い。
• RADIUSサーバのユーザIDとしてMACアドレスが登録さ れていない場合は,RADIUSサーバに登録してください。
• パスワードとしてMACアドレスを使用している場合は,
ユーザIDに設定したMACアドレスと同一の値を設定して ください。
• パスワードとして,RADIUSサーバに共通の値を設定した 場合は,コンフィグレーションコマンド
mac-authentication passwordで設定したパスワードと一致 しているかを確認してください。
• 上記に該当しない場合は項番5へ。
MAC 認証に関係するコンフィグレーションは次の点を確認してください。
表 3-59 MAC 認証のコンフィグレーションの確認
MAC
5 認証専用IPv4アクセスリストの設定を確認し てください。
• 認証前状態の端末から装置外に特定のパケット通信を行う場 合,認証専用IPv4アクセスリストが設定されていることを 確認してください。
また,通常のアクセスリストと認証専用IPv4アクセスリス トの両方を設定した場合,認証専用IPv4アクセスリストに 設定したフィルタ条件が通常のアクセスリストにも設定され ていることを確認してください。
• 認証せずに通信できてしまう場合は,アクセスリストに,IP パケットの通信を許可するフィルタ条件(permit ip anyな ど)が設定されていないことを確認してください。
• 認証対象ポートに設定した認証専用IPv4アクセスリストに deny ip any anyのフィルタ条件を設定しても,受信した ARPパケットによってMAC認証が行われます。該当ポー トをMAC認証の対象から外したい場合は,コンフィグレー ションコマンドno mac-authentication portでMAC認証の 対象ポートから外してください。
• 上記に該当しない場合は項番6へ。
6 show mac-authentication statisticsコマンド でMAC認証の統計情報が表示されるかを確認 してください。
• MAC認証の統計情報が表示されない場合は項番7へ。
• 上記に該当しない場合は項番8へ。
7 コンフィグレーションコマンド
mac-authentication system-auth-controlが設 定されているかを確認してください。
• コンフィグレーションコマンドmac-authentication system-auth-controlが設定されていない場合は,設定して ください。
• コンフィグレーションコマンドmac-authentication portで 認証対象ポートが正しく設定されているかを確認してくださ い。
• 端末が接続されている認証対象ポートがリンクダウン,また はシャットダウンしていないことを確認してください。
• 上記に該当しない場合は項番8へ。
8 show mac-authentication loggingコマンドを 実行し,動作に問題がないかを確認してくださ い。
• 最大収容条件まで認証されている場合はほかの端末が認証解 除するまでお待ちください。
• 上記に該当しない場合はMAC認証のコンフィグレーション を確認してください。
項番 確認ポイント 確認内容
1 MAC認証のコンフィグレーション設定 次のコンフィグレーションコマンドが正しく設定されているこ とを確認してください。
• aaa accounting mac-authentication default start-stop group radius
• aaa authentication mac-authentication default group radius
• mac-authentication password
• mac-authentication port
• mac-authentication radius-server host
• mac-authentication static-vlan max-user
• mac-authentication system-auth-control
2 認証用アクセスフィルタの設定を確認 認証前状態の端末から装置外に通信するために必要なフィルタ 条件が,コンフィグレーションコマンドauthentication ip access-groupおよびip access-list extendedで,正しく設定さ れていることを確認してください。
項番 確認内容・コマンド 対応
表 3-60 MAC 認証のアカウンティングの確認
項番 確認ポイント 確認内容
1 認証結果のアカウントが正しく記録されている かの確認
• show mac-authentication loginに認証状態が表示されてい ない場合は「表3-58 MAC認証の障害解析方法」を実施し てください。
• アカウンティングサーバに記録されていない場合は項番2 へ。
• syslogサーバに記録されていない場合は項番3へ。
2 show mac-authentication statisticsコマンド でのアカウンティングサーバとの通信状態の確 認
• 表示項目"[Account frames]"の"TxTotal"の値が"0"の場合 は,コンフィグレーションコマンドaaa accounting mac-authentication default start-stop group radius,
radius-server host,またはmac-authentication
radius-server hostが正しく設定されているか確認してくだ さい。
• 上記に該当しない場合はMAC認証のコンフィグレーション を確認してください。
3 syslogサーバの設定の確認 次のコンフィグレーションコマンドが正しく設定されているこ
とを確認してください。
• logging hostでsyslogサーバが設定されていることを確認し てください。
• logging event-kindでイベント種別にautが設定されている ことを確認してください。
• mac-authentication logging enableが設定されていることを 確認してください。