トラブルシューティングガイド
Web認証使用時の障害については,「表3-59 Web認証の障害解析方法」に示す障害解析に従って原因を切り分けてください。
また,Web認証のコンフィグレーションに関する確認,およびアカウンティングに関する確認についてはそれぞれ「表3-60 Web認証のコンフィグレーションの確認」,「表3-61 Web認証のアカウンティングの確認」に従って原因を切り分けてください。
表3-59 Web認証の障害解析方法
項番 確認内容・コマンド 対応 1 端末にログイン画面が表示されるかを確認してください。
- ログイン画面とログアウト画面が表示されない場合は項番2へ。
- ローカル認証方式でログイン画面が表示される場合は項番5へ。
- RADIUS認証方式でログイン画面が表示される場合は項番7へ。
- 運用ログメッセージが表示される場合は項番14へ。
2 ログイン,ログアウトのURLが合っているかを確認してください。
- ログイン,ログアウトのURLが違っている場合は,正しいURLを使用してください。
- 固定VLANモード時およびダイナミックVLANモード時で,ログイン画面,ログアウト画面が表示されない場合は,次の設定を確認し,正しく設定してください。
・AX6700Sモデル,AX6600SモデルおよびAX6300Sモデルの場合
Web認証専用IPアドレスがコンフィグレーションコマンドweb-authentication ip addressで設定されていることを確認してください。また,ダイナミックVLANモードでURLリダイレクトを使用する場合は,コンフィグレーションコマンドweb-authentication redirect-vlanが設定されているかを確認してください。
・AX3800Sモデル,AX3600SモデルおよびAX2400Sモデルの場合
Web認証専用IPアドレスがコンフィグレーションコマンドweb-authentication ip addressで設定されているか,またはURLリダイレクトがコンフィグレーションコマンドweb-authentication redirect enableで有効となっているかを確認してください。
- 上記に該当しない場合は項番3へ。
3 Webサーバが動作しているかを確認してください。
- 次のコマンドを実行してWebサーバが動作しているかを確認します。Webサーバが動作している場合は項番4へ。
[コマンド]
# ps -auwx | grep httpd
[確認手順]
psコマンドの表示結果に/usr/local/sbin/httpdの表示があれば,Webサーバが動作しています。
- Webサーバが動作していない場合は,コンフィグレーションコマンドweb-authentication web-portを確認してください。
- Web認証のコンフィグレーションコマンドが正しく設定されている場合は,restart web-authentication web-serverコマンドでWebサーバを再起動してください。
- 上記の操作でもWebサーバが起動しない場合は,コンフィグレーションコマンドno web-authentication system-auth-controlでWeb認証を停止させ,10秒程度経過後にコンフィグレーションコマンドweb-authentication system-auth-controlでWeb認証を起動してください。
4 認証専用IPv4アクセスリストの設定を確認してください。
- 認証前状態の端末から装置外に特定のパケット通信を行う場合,認証専用IPv4アクセスリストが設定されていることを確認してください。
また,通常のアクセスリストと認証専用IPv4アクセスリストの両方を設定した場合,認証専用IPv4アクセスリストに設定したフィルタ条件が通常のアクセスリストにも設定されていることを確認してください。
- 通常のアクセスリストおよび認証専用IPv4アクセスリストに,IPパケットを廃棄するフィルタ条件(deny ipなど)が設定されていないことを確認してください。
- 認証専用IPv4アクセスリストのフィルタ条件に,Web認証専用IPアドレスが含まれるアドレスが設定されていないことを確認してください。
- 認証専用IPv4アクセスリストのフィルタ条件の宛先IPアドレスに,anyが指定されていないことを確認してください。
- 上記に該当しない場合は項番9へ。
5 show web-authentication userコマンドでユーザIDが登録されているかを確認してください。
- ユーザIDが登録されていない場合は,set web-authentication userコマンドでユーザID,パスワード,およびVLAN IDを登録してください。
- 上記に該当しない場合は項番6へ。
6 入力したパスワードが合っているかを確認してください。
- パスワードが一致していない場合は,set web-authentication passwdコマンドでパスワードを変更するか,remove web-authentication userコマンドでユーザIDをいったん削除したあとに,set web-authentication userコマンドで,再度,ユーザID,パスワード,およびVLAN IDを登録してください。
- 上記に該当しない場合は項番9へ。
7 show web-authentication statisticsコマンドでRADIUSサーバとの通信状態を確認してください。
- 表示項目"[RADIUS frames]"の"TxTotal"の値が"0"の場合は,コンフィグレーションコマンドのaaa authentication web-authentication default group radiusおよびradius-server hostが正しく設定されているか確認してください。
- AX3800Sモデル,AX3600SモデルおよびAX2400Sモデルの場合,dead interval機能によって,RADIUSサーバが無応答となった状態から通信可能な状態に復旧しても,コンフィグレーションコマンドauthentication radius-server dead-intervalで設定された時間の間はRADIUSサーバへの照合は行われないため,認証エラーとなります。
この際,RADIUSサーバ無応答による認証失敗の時間が長すぎる場合は,コンフィグレーションコマンドauthentication radius-server dead-intervalの設定値を変更するか,またはclear web-authentication dead-interval-timerコマンドを実行してください。1台目のRADIUSサーバを使用した認証動作が再開されます。
- 上記に該当しない場合は項番8へ。
8 RADIUSサーバにユーザIDおよびパスワードが登録されているかを確認してください。
- ユーザIDが登録されていない場合は,RADIUSサーバに登録してください。
- 上記に該当しない場合は項番9へ。
9 show web-authentication statisticsコマンドでWeb認証の統計情報が表示されるかを確認してください。
- Web認証の統計情報が表示されない場合は項番10へ。
- 上記に該当しない場合は項番11へ。
10 コンフィグレーションコマンドweb-authentication system-auth-controlが設定されているかを確認してください。
- コンフィグレーションコマンドweb-authentication system-auth-controlが設定されていない場合は,設定してください。
- 上記に該当しない場合は項番11へ。
11 show web-authentication loggingコマンドを実行し,動作に問題がないかを確認してください。
- show web-authentication loggingコマンドで"The login failed because of hardware restriction."のログが出力されている場合は,「4.2.2 VLAN識別テーブルのリソース不足が発生した場合の対処」を参照してください。
- 固定VLANモード時で,認証端末が接続されているポートの認証情報が表示されない場合は,コンフィグレーションコマンドweb-authentication portで認証対象ポートが正しく設定されているかを確認してください。
また,端末が接続されている認証対象ポートがリンクダウンまたはシャットダウンしていないことを確認してください。
- 上記に該当しない場合は項番13へ。
12 アカウンティングサーバにアカウントが記録されない場合は,show web-authentication statisticsコマンドでアカウンティングサーバとの通信状態を確認してください。
- 表示項目"[Account frames]"の"TxTotal"の値が"0"の場合は,コンフィグレーションコマンドのaaa accounting web-authentication default start-stop group radiusおよびradius-server hostが正しく設定されているか確認してください。
- 上記に該当しない場合はWeb認証のコンフィグレーションを確認してください。
13 接続されている端末で認証ができない状態か確認してください。
- 認証対象端末の認証がまったくできない場合は,restart web-authentication web-serverコマンドでWebサーバを再起動してください。
- Webサーバを再起動しても認証ができない場合は,restart vlan mac-managerコマンドを実行してください。
- 上記に該当しない場合は,Web認証のコンフィグレーションを確認し,正しいコンフィグレーションを設定してください。
14 運用ログをshow loggingコマンドで確認してください。
- 次の操作が行われた場合,運用ログにWebサーバ(httpd)の停止メッセージとWebサーバ(httpd)の再起動メッセージが表示されることがあります。
(1) Web認証を停止(no web-authentication system-auth-controlコマンドの実行)した直後に,Web認証を起動(web-authentication system-auth-controlコマンドの実行)した場合
(2) AX6700S(BCU)/AX6600S(CSU)/AX6300S(MSU)で系切替が発生した場合
(3) restart web-authentication web-serverコマンドでWebサーバを再起動した場合
[Webサーバ(httpd)の停止メッセージ]
レベル:E7
メッセージ識別子:2a001000
メッセージ:httpd aborted.
[Webサーバ(httpd)の再起動メッセージ]
レベル:R7
メッセージ識別子:2a001000
メッセージ:httpd restarted.
これは,Webサーバ(httpd)が停止して,その後,Webサーバ(httpd)が自動的に再起動したことを示します。Webサーバ(httpd)の再起動後は認証動作を継続できます。
- 上記に該当しない場合は,マニュアル「メッセージ・ログレファレンス」を参照してください。
Web認証に関係するコンフィグレーションは次の点を確認してください。
表3-60 Web認証のコンフィグレーションの確認
項番 確認ポイント 確認内容 1 Web認証のコンフィグレーション設定 次のコンフィグレーションコマンドが正しく設定されていることを確認してください。
<共通の設定>
<ダイナミックVLANモード時の設定>
- aaa accounting web-authentication default start-stop group radius
- aaa authentication web-authentication default group radius
- web-authentication system-auth-control
<固定VLANモード時の設定>
- web-authentication auto-logout
- web-authentication max-timer
- web-authentication max-user
- web-authentication vlan
AX6700Sモデル,AX6600SモデルおよびAX6300Sモデルの場合は,さらに,次のコマンドの設定を確認してください。
- web-authentication ip address
- web-authentication port
- web-authentication static-vlan max-user
- web-authentication web-port
AX3800Sモデル,AX3600SモデルおよびAX2400Sモデルの場合は,さらに,次のコマンドの設定を確認してください。
- authentication ip access-group
- web-authentication redirect-vlan
- web-authentication redirect-mode
- authentication arp-relay
- authentication ip access-group
- web-authentication redirect enable
- web-authentication redirect-mode
2 VLANインタフェースのIPアドレス設定 ダイナミックVLANモード時,次の各VLANインタフェースにIPアドレスが正しく設定されていることを確認してください。
- 認証前VLAN
- 認証後VLAN
3 DHCPリレーエージェントの設定 ダイナミックVLANモード時,L3スイッチで外部DHCPサーバを使用する場合,次のVLAN間のDHCPリレーエージェントが正しく設定されていることを確認してください。
- 認証前VLANからサーバ用VLAN間
- 認証後VLANからサーバ用VLAN間
4 フィルタ設定 ダイナミックVLANモード時,L3スイッチで使用する場合,次のVLAN間のフィルタが正しく設定されていることを確認してください。
なお,フィルタによって特定のパケットが廃棄されているか,またはQoS制御の帯域監視,廃棄制御もしくはシェーパによってパケットが廃棄されている可能性があります。コンフィグレーションのフィルタおよびQoS制御の設定条件が正しいか,システム構築での帯域監視,廃棄制御またはシェーパのシステム運用が適切であるかを確認してください。手順については,「3.25.1 フィルタ/QoS設定情報の確認」を参照してください。
- 認証用VLANから認証後VLAN:全IP通信ができないように設定
- 認証後VLANから認証用VLAN:Webブラウザの通信だけ中継するように設定
5 認証用アクセスフィルタの設定を確認 固定VLANモード時およびダイナミックVLANモード時,認証前状態の端末から装置外に通信するために必要なフィルタ条件が,コンフィグレーションコマンドauthentication ip access-groupおよびip access-list extendedで正しく設定されていることを確認してください。 6 ARPリレー設定を確認 AX3800Sモデル,AX3600SモデルおよびAX2400Sモデルで固定VLANモード時およびダイナミックVLANモード時,認証前状態の端末から本装置外の機器宛にARPパケットを通信させるためのコンフィグレーションコマンドauthentication arp-relayが正しく設定されているかを確認してください。 Web認証のアカウンティングに関しては次の点を確認してください。
表3-61 Web認証のアカウンティングの確認
項番 確認ポイント 確認内容 1 認証結果のアカウントが正しく記録されているかの確認
- show web-authentication loginコマンドを実行した際に認証状態が表示されていない場合は「表3-59 Web認証の障害解析方法」を実施してください。
- アカウンティングサーバに記録されていない場合は項番2へ。
- syslogサーバに記録されていない場合は項番3へ。
2 show web-authentication statisticsコマンドでのアカウンティングサーバとの通信状態の確認
- 表示項目"[Account frames]"の"TxTotal"の値が"0"の場合は,コンフィグレーションコマンドaaa accounting web-authentication default start-stop group radius,またはradius-server hostが正しく設定されているか確認してください。
- 上記に該当しない場合は,Web認証のコンフィグレーションを確認してください。
3 syslogサーバの設定の確認 次のコンフィグレーションコマンドが正しく設定されていることを確認してください。
- logging hostでsyslogサーバが設定されていることを確認してください。
- logging event-kindでイベント種別にautが設定されていることを確認してください。
- web-authentication logging enableが設定されていることを確認してください。
All Rights Reserved, Copyright(C), 2005, 2014, ALAXALA Networks, Corp.