トラブルシューティングガイド
認証VLAN使用時の障害は,次の表に従って原因の切り分けを行ってください。
表3-65 認証VLANの障害解析方法
項番 確認内容・コマンド 対応 1 show loggingコマンドを実行し,運用ログにハードウェア障害が記録されていないかの確認を行ってください。
- 運用ログにハードウェア障害が記録されていた場合は,装置の交換を行ってください。
- 上記に該当しない場合は項番2へ。
2 show fense serverコマンドを実行し,正常動作することを確認してください。
- エラーメッセージ"Connection failed to VAA program."が表示された場合は,項番8を行ってください。
- 上記に該当しない場合は項番3へ。
3 show fense serverコマンドを実行し,認証VLANの動作状態を確認してください。
- VAA NAMEが設定されていない場合("-"表示)は,fense vaa-nameのコンフィグレーションが設定されていません。fense vaa-nameのコンフィグレーションを設定してください。
- <vaa_id>ごとのStatusにdisableが表示されている場合は,認証VLANが停止しています。コンフィグレーションを確認してください。
- 上記に該当しない場合は項番4へ。
4 show fense serverコマンドを実行し,認証サーバとの接続状態を確認してください。
- <vaa_id>ごとのServer Address表示が認証サーバのIPアドレスと異なる場合,およびPort表示が認証サーバのTCPポート番号と異なる場合は,認証サーバとの通信が行えません。コンフィグレーションを確認してください。
- <vaa_id>ごとのAgent StatusにCONNECTED以外が表示されている場合は,認証サーバとの接続が切れています。認証サーバの状態および設定内容を確認してください。
- 上記に該当しない場合は項番5へ。
5 show fense serverコマンドでdetailパラメータを指定し,fense vlanコンフィグレーションの設定状態を確認してください。
- <vaa_id>ごとのVLAN IDが表示されない,または表示内容が正しくない場合は,端末認証後に切り替えるVLANがありません。コンフィグレーションを確認してください。
- 上記に該当しない場合は項番6へ。
6 show fense statisticsコマンドを複数回実行し,認証サーバとの接続状態を確認してください。
- <vaa_id>ごとのConnect Failure CountおよびTimeout Disconnect Countが増加している場合は,認証サーバとの接続が不安定です。認証サーバとの間のネットワークの状態を確認してください。
- ネットワークの状態が正常である場合は,コンフィグレーションコマンドfense alive-timerで設定した値alive-timeと認証サーバの設定パラメータ(HCintervalおよびRecvMsgTimeout)の値が以下であることを確認してください。
alive-time >= HCinterval + 5
RecvMsgTimeout >= HCinterval + 5
- 認証サーバと接続,切断を繰り返す場合は,restart vaaコマンドで認証VLANを再起動するとともに,認証サーバ側のVLANaccessControllerおよび認証VLANの各機能を再起動してください。
- 上記に該当しない場合は項番7へ。
7 show fense statisticsコマンドを実行し,MAC VLAN機能とのやり取りが行われていることを確認してください。
- <vaa_id>ごとに表示されるVLANaccessAgent Recv Messageの各Requestカウントが,Terget-VLAN Registrationの各Requestカウントと一致しない場合は,内部矛盾が起きています。認証VLANをrestart vaaコマンドで再起動してください。
- 上記に該当しない場合は項番8へ。
8 show vlan mac-vlanコマンドを実行し,MAC VLAN機能に認証済みのMACアドレスが登録されていることを確認してください。
- 認証されたMACアドレスがshow vlan mac-vlanコマンドで登録されている場合,そのMACアドレスに対する認証が有効になりません。コマンド登録されたMACアドレスを消去してください。
- VLANごとに認証されたMACアドレスが表示にない場合,内部矛盾が起きています。認証VLANをrestart vaaコマンドで再起動してください。
- 認証VLANを再起動しても認証されたMACアドレスが表示されない場合は,restart vlanコマンドでmac-managerパラメータを指定してL2MAC管理プログラムを再起動してください。
- 上記に該当しない場合は,項番9へ。
9 show fense loggingコマンドを実行し,認証サーバとのやり取りが行われていることを確認してください。
上記以外の場合は,認証VLANのコンフィグレーションを確認してください。
- AX6700S,AX6600SまたはAX6300Sで,show fense loggingコマンドでThe registration of the MAC address failed.ログが出力されている場合は,「4.2.2 VLAN識別テーブルのリソース不足が発生した場合の対処」を参照してください。
認証VLANに関係するコンフィグレーションは次の点を確認してください。
表3-66 認証VLANのコンフィグレーションの確認
項番 確認ポイント 確認内容 1 認証VLANのコンフィグレーション設定 次のコンフィグレーションコマンドが正しく設定されていることを確認してください。
- fense vaa-name
- fense vlan
- fense server
- fense retry-count
- fense retry-timer
- fense alive-timer
2 VLANインタフェースのIPアドレス設定 次の各VLANインタフェースにIPアドレスが正しく設定されていることを確認してください。
- 認証用VLAN
- 認証済みVLAN
- 認証サーバ用VLAN
- アクセス先VLAN
3 DHCPリレーエージェント設定 次のVLAN間のDHCPリレーエージェントが正しく設定されていることを確認してください。
- 認証用VLANから認証サーバ用VLAN間
- 認証済みVLANから認証サーバ用VLAN間
4 フィルタ設定 次のVLAN間のフィルタが正しく設定されていることを確認してください。
なお,フィルタによって特定のパケットが廃棄されているか,またはQoS制御の帯域監視,廃棄制御もしくはシェーパによってパケットが廃棄されている可能性があります。コンフィグレーションのフィルタおよびQoS制御の設定条件が正しいか,システム構築での帯域監視,廃棄制御またはシェーパのシステム運用が適切であるかを確認してください。手順については,「3.25.1 フィルタ/QoS設定情報の確認」を参照してください。
- 認証用VLANと認証済みVLAN間:全IP通信ができないように設定
- 認証用VLANと認証サーバ用VLAN間:HTTP,DHCP,ICMPの通信だけ中継するよう設定
- 認証用VLANとアクセス先VLAN間:全IP通信ができないように設定
- 認証済みVLANと認証サーバ用VLAN間:HTTP,DHCP,ICMPの通信だけ中継するよう設定
- 認証サーバ用VLANとアクセス先VLAN間:全IP通信ができないように設定
All Rights Reserved, Copyright(C), 2005, 2014, ALAXALA Networks, Corp.