Ctalyst switch にて AAA / Dot1x / MAB に関連する問題が発生した際に取得するログなどを記載しています。
注意点:
-事象により追加ログを依頼させて頂く可能性が御座います。
-コマンドのみ羅列致しております。
-本記事は catalyst 3750X / 15.2(4)E5 を base に作成しています。
#16.x.xでは異なる可能性が御座います
-事象と利用されている機能により以下のコマンドから必要なコマンドを抽出して下さい。
例1: switch へのログインする際、 radius server でユーザーを認証している
<show command>
-事象に関わらず取得頂きたい command
-Radius Server 利用時
<debug command>
-認証における問題全般
-Radius Server 利用時
<Ohter>
-Packet Capture
ログ取得前に事前に設定頂きたいコマンド
ログを取得する場合は以下の Link に記載されている設定を行ったうえでログをご取得ください。
IOS/IOS-XE にて動作する製品にて、VPN/AAA 関連のログを取得する際の取得方法と注意点
<show command>
-事象に関わらず取得頂きたい command
show sdm prefer
show authentication memory all
show authentication sessions
show authentication sessions interface <interface> detail
show aaa memory detailed
show aaa memory stats all
show aaa servers detailed
show tech-support
-Radius Server 利用時
show radius statistics
-Tacacs plus Server 利用時
show tacacs
-Dot1x/MAB 利用時
show dot1x statistics
show mac address-table dynamic address <対象の mac address>
show mac address-table interface <interface>
show platform dot1x mac-context
show platform mac-address-table mac-address <mac address: exp. 0000.0000.0001> vlan <vlan number>
show platform authentication session interface <interface>
show platform forward <port: exp. gi0/48> vlan <vlan number> <src mac address: exp. 0000.0000.0001> <dst mac address: exp. 0000.0000.0002>
show platform acl interface <port: exp. gi0/48> portlabels detail
show ip device tracking all
show ip device tracking statistics
show id-mgr statistics
show emp session interface <interface>
show ip access-lists interface <interface>
<debug commands>
-認証における問題全般
debug aaa authentication
debug aaa authorization
debug aaa attr
debug aaa accounting
debug authentication all
-Radius Server 利用時
debug radius authentication
debug radius accounting
debug radius verbose
debug radius elog
debug radius failover
-Tacacs plus Server 利用時
debug tacacs authentication
debug tacacs authorization
debug tacacs accounting
debug tacacs event
debug tacacs packet
-Dot1x 利用時
debug dot1x all
debug ip device tracking all (CLinet が多量に接続されている環境では取得が難しいコマンドです)
debug emp all
注意点
debug dot1x xx コマンドは特定の端末や、interface を絞り込む事が出来ない為、多量の Client が接続されている状況ではログが非常に多量となります。
また、全てのログに特定の端末を識別する為に必要な、一意の ID が出力されない為、
多量の端末が接続されている環境下では、ログの確認が出来ない場合が御座います。
従いまして、必ず "debug condition interface <interface>" コマンドにて調査対象の interface に関連するログのみに絞り込んで下さい。
-MAB 利用時
debug mab all
debug ip device tracking all (Client が多量に接続されている環境では取得が難しいコマンドです)
debug epm all
debug mab xx コマンドは特定の端末や、interface を絞り込む事が出来ない為、多量の Client が接続されている状況ではログが非常に多量となります。
また、全てのログに特定の端末を識別する為に必要な、一意の ID が出力されない為、
多量の端末が接続されている環境下では、ログの確認が出来ない場合が御座います。従いまして、必ず "debug condition interface <interface>" コマンドにて調査対象の interface に関連するログのみに絞り込んで下さい。
<Other>
-Packet Capture(以下の例では Local SPANを想定しています。)
-Radius Server / Tacacs Server との認証に問題がある場合
<Radius Server>------#<Switch>
^ このinterface で capture して下さい
-Dot1x/MAB のクライアントと Switch 間で問題がある場合
<Radius Server>------<Switch>#------<Client:PCや電話機等>
^ このinterface で capture して下さい。
SPAN を行う際の注意点
BPDU/CDP/EAPoL 等の L2 Frame は以下の "encapsulation replicate" コマンドを付与しないと確認出来ません。
RSPAN では L2 Frame は確認出来ない為、Local SPAN を利用頂く必要性が御座います。
設定例:
Switch(config)#monitor session 1 source int gi0/48
Switch(config)#monitor session 1 destination int gi0/47 encapsulation replicate
