Network Edge Authentication Topology(NEAT)をご利用の際に何か問題に遭遇した際の確認事項、ログをまとめたドキュメントとなります。
状況によっては本ドキュメントに記載のないログ、確認事項を依頼させていただくこともあります。
- なお、本ドキュメントは、Authenticator Switch(以下、aSW)は、Catalyst9300/16.9.3、Supplicant switch(以下、sSW)は、Catalyst2960X/15.2(6)E2を元に作成しております。
- NEATの構成を構築の際にMacroとInterface-templateとございますが、本ドキュメントはInterface-template利用時を例として作成しておりますがMacro利用時も参考にいただける内容もございます。
実際に Supplicant Switch(以下、sSW)の認証が成功しているか確認できます。
また、Interface-Templateをご利用時には、適用されているtemplate名も確認できます。
aSW-C9200L-24T-4G#show authentication sessions interface gigabitEthernet 1/0/1 details
Interface: GigabitEthernet1/0/1
IIF-ID: 0x1088552D
MAC Address: 08cc.a712.1101
IPv6 Address: Unknown
IPv4 Address: Unknown
User-Name: ssw02
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: 3600s (local), Remaining: 3020s
Timeout action: Reauthenticate
Common Session ID: 800110AC0000031BAE76863C
Acct Session ID: 0x0000002e
Handle: 0x69000050
Current Policy: POLICY_Gi1/0/1
Local Policies:
Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)
Security Policy: Should Secure
Server Policies:
Interface Template: NEAT-AUTHZ
Method status list:
Method State
dot1x Authc Success
実際にaSWで認証時の情報を確認できます。
sSW-WS-C2960X-24PSQ#show dot1x interface gigabitEthernet 0/1 details
Dot1x Info for GigabitEthernet0/1
-----------------------------------
PAE = SUPPLICANT
StartPeriod = 30
AuthPeriod = 30
HeldPeriod = 60
MaxStart = 3
Credentials profile = EAP-MD5-CRED
EAP profile = eap-md5
Dot1x Supplicant Client List
-------------------------------
Authenticator = 08ec.f585.ec81
Supp SM State = AUTHENTICATED
Supp Bend SM State = IDLE
Port Status = AUTHORIZED
このコマンドを実行した機器がどのロールであるかまた、peerの情報が確認できます。
例: Authenticator Switch
aSW-C9200L-24T-4G#show cisp interface gigabitEthernet 1/0/1
CISP Status for interface Gi1/0/1
-------------------------------------
Version: 1
Mode: Authenticator
Peer Mode: Supplicant
Auth State: Idle
aSW-C9200L-24T-4G#
例: Supplicant Switch
sSW-WS-C2960X-24PSQ#show cisp interface gigabitEthernet 0/1
CISP Status for interface Gi0/1
-------------------------------
Version: 1
Mode: Supplicant
Peer Mode: Authenticator
Supp State: Idle
sSW-WS-C2960X-24PSQ#
各インタフェースの登録状況を確認できます。
例: Authenticator Switch
aSW-C9200L-24T-4G#show cisp registrations
Interface(s) with CISP registered user(s):
------------------------------------------
Gi1/0/1
Auth Mgr (Authenticator) <<<< sSWと接続しているインタフェース
aSW-C9200L-24T-4G#
例: Supplicant Switch
sSW-WS-C2960X-24PSQ#show cisp registrations
Interface(s) with CISP registered user(s):
------------------------------------------
Gi0/1
802.1x Sup (Supplicant) <<<< aSWと接続しているインタフェース
Gi0/2
Auth Mgr (Authenticator) <<<< 端末が接続するインタフェース
Gi0/3
Auth Mgr (Authenticator) <<<< 端末が接続するインタフェース
sSW-WS-C2960X-24PSQ#
CISP(Client Information Signaling Protocol) tableの情報を確認できます。
例: Authenticator Switch
aSW-C9200L-24T-4G#show cisp client
Authenticator Client Table:
------------------------
MAC Address VLAN Interface
---------------------------------
1cdf.0f14.0717 200 Gi1/0/1
08cc.a712.1142 1315 Gi1/0/1
NEAT確立後に指定したInterface-templateの設定が適用されているかどうか確認できます
- Macro利用時は、show running-configにて確認いただけます。
例: Authenticator Switch
aSW-C9200L-24T-4G#show derived-config interface gigabitEthernet 1/0/1
Building configuration...
Derived configuration : 247 bytes
!
interface GigabitEthernet1/0/1
description NEAT_IF_TEMPLATE
switchport mode trunk
authentication host-mode multi-auth
authentication port-control auto
authentication periodic
mab
dot1x pae authenticator
spanning-tree portfast trunk
end
aSW-C9200L-24T-4G
これは基本的な情報を確認するために取得ください。
・aSW
また、debugに関する情報としてIOS-XE 16.x AAA関連 debug 取得方法もございますので合わせて参考にしてください。
request platform software trace rotate all <<<検証時のログのみを取得するためにログをローテート>>>
set platform software trace smd switch active r0 cisp debug
set platform software trace smd switch active r0 radius debug
set platform software trace smd switch active r0 all-modules verbose
show platform software trace message smd switch active r0 reverse <<<このコマンドでdebugログを表示>>>
・sSW
debug cisp all
debug eap all all
*基本的な情報となりますが、TACにお問い合わせの前に確認いただけると助かります。
ISE Secure Wired Access Prescriptive Deployment Guide
