トラブルシューティングガイド

[目次][索引][前へ][次へ]


3.13.1 IEEE 802.1X使用時の通信障害

IEEE 802.1X使用時に認証ができない場合は,次の表に示す障害解析方法に従って原因の切り分けを行ってください。

表3-57 IEEE 802.1Xの認証障害解析方法

項番 確認内容・コマンド 対応
1 show dot1xコマンドを実行し,IEEE802.1Xの動作状態を確認してください。 「Dot1x doesn't seem to be running」が表示された場合は,IEEE802.1Xが停止しています。dot1x system-auth-controlコマンドが設定されているかコンフィグレーションを確認してください。
「System 802.1X : Enable」が表示された場合は項番2へ。
2 show dot1x statisticsコマンドを実行し,EAPOLのやりとりが行われていることを確認してください。 [EAPOL frames]のRxTotalが0の場合は端末からEAPOLが送信されていません。また,RxInvalidまたはRxLenErrが0でない場合は端末から不正なEAPOLを受信しています。不正なEAPOLを受信した場合はログを採取します。ログはshow dotlx loggingコマンドで閲覧できます。また,ログは「Invalid EAPOL frame received」メッセージと共に不正なEAPOLの内容となります。上記に該当する場合は端末のSupplicantの設定を確認してください。
上記に該当しない場合は項番3へ。
3 show dot1x statisticsコマンドを実行し,RADIUSサーバへの送信が行われていることを確認してください。 [EAP overRADIUS frames]のTxNoNakRspが0の場合はRADIUSサーバへの送信が行われていません。以下について確認してください。
  • コンフィグレーションコマンドでaaa authentication dot1x default group radiusが設定されているか確認してください。
  • コンフィグレーションコマンドradius-server hostが正しく設定されているか確認してください。
  • 認証モードがポート単位認証およびVLAN単位認証(静的)の場合,認証端末がコンフィグレーションコマンドmac-address-table staticで登録されていないことを確認してください。VLAN単位認証(動的)では,コンフィグレーションコマンドmac-addressで登録されていないことを確認してください。
  • 認証モードがVLAN単位認証(動的)の場合は,コンフィグレーションコマンドでaaa authorization network default group radiusが設定されているか確認してください。
上記に該当しない場合は項番4へ。
4 show dot1x statisticsコマンドを実行し,RADIUSサーバからの受信が行われていることを確認してください。 [EAP overRADIUS frames]のRxTotalが0の場合はRADIUSサーバからのパケットを受信していません。以下について確認してください。
  • RADIUSサーバがリモートネットワークに収容されている場合はリモートネットワークへの経路が存在することを確認してください。
  • RADIUSサーバのポートが認証対象外となっていることを確認してください。
上記に該当しない場合は項番5へ。
5 show dot1x loggingコマンドを実行し,RADIUSサーバとのやりとりを確認してください。
  • 「Invalid EAP over RADIUS frames received」がある場合RADIUSサーバから不正なパケットを受信しています。RADIUSサーバが正常に動作しているか確認してください。
  • 「Failed to connect to RADIUS server」がある場合,RADIUSサーバへの接続が失敗しています。RADIUSサーバが正常に動作しているか確認してください。
上記に該当しない場合は項番6へ。
6 show dot1x loggingコマンドを実行し,認証が失敗していないか確認してください。
  • 「New Supplicant Auth Fail.」がある場合,以下の要因で認証が失敗しています。問題ないか確認してください。
    (1) ユーザIDまたはパスワードが,認証サーバに登録されていない。
    (2) ユーザIDまたはパスワードの入力ミス。
  • 「The number of supplicants on the switch is full」がある場合,装置の最大supplicant数を超えたため,認証が失敗しています。
  • 「The number of supplicants on the interface is full」がある場合,インタフェース上の最大supplicant数を超えたため,認証が失敗しています。
  • 「Failed to authenticate the supplicant because it could not be registered to mac-address-table.」がある場合,認証は成功したが,H/WのMACアドレステーブル設定に失敗しています。マニュアル「メッセージ・ログレファレンス」の該当個所を参照し,記載されている[対応]に従って対応してください。
    AX6700S,AX6600SおよびAX6300Sの場合は,「4.1.2 MACアドレステーブルのリソース不足が発生した場合の対処」も参照してください。
  • 「Failed to authenticate the supplicant because it could not be registered to MAC VLAN.」がある場合,認証は成功したが,H/WのMAC VLANテーブル設定に失敗しています。
    マニュアル「メッセージ・ログレファレンス」の該当個所を参照し,記載されている[対応]に従って対応してください。
    AX6700S,AX6600SおよびAX6300Sの場合は,「4.2.2 VLAN識別テーブルのリソース不足が発生した場合の対処」も参照してください。
上記に該当しないで,認証対象ポートがVLAN単位認証(動的)である場合は項番7へ。
それ以外の認証単位の場合は,RADIUSサーバのログを参照して認証が失敗していないか確認してください。
7 show dot1x loggingコマンドを実行し,VLAN単位認証(動的)の動的割り当てが失敗していないか確認してください。
  • 「Failed to assign VLAN.(Reason: No Tunnel-Type Attribute)」がある場合,RADIUSフレームのRADIUS属性にTunnel-Type属性がないため,動的割り当てに失敗しています。RADIUSサーバのRADIUS属性の設定でTunnel-Type属性を追加設定してください。
  • 「Failed to assign VLAN.(Reason:Tunnel-Type Attribute is not VLAN(13) )」がある場合,RADIUS属性のTunnel-Type属性の値がVLAN(13)でないため,動的割り当てに失敗しています。RADIUSサーバに設定するTunnel-Type属性の値をVLAN(13)に設定してください。
  • 「Failed to assign VLAN.(Reason: No Tunnel-Medium-Type Attribute)」がある場合,RADIUS属性のTunnel-Medium-Type属性がないため,動的割り当てに失敗しています。RADIUSサーバのRADIUS属性Tunnel-Medium-Type属性を追加設定してください。
  • 「Failed to assign VLAN. (Reason: Tunnel-Medium-Type Attribute is not IEEE802(6) )」がある場合,Tunnel-Medium-Type属性の値がIEEE802(6)でないか,またはTunnel-Medium-Typeの値は一致しているがTag値がTunnel-Type属性のTagが一致していないため動的割り当てに失敗しています。RADIUSサーバのRADIUS属性のTunnel-Medium-Type属性の値またはTagを正しい値に設定してください。
  • 「Failed to assign VLAN. (Reason: No Tunnel-Private-Group-ID Attribute)」がある場合,RADIUSサーバのRADIUS属性であるTunnel-Private-Group-ID属性が設定されていないため,動的割り当てに失敗しています。RADIUSサーバのRADIUS属性のTunnel-Private-Group-ID属性の設定をしてください。
  • 「Failed to assign VLAN. (Reason: Invalid Tunnel-Private-Group-ID Attribute)」がある場合,RADIUS属性のTunnel-Private-Group-ID属性に不正な値が入っているため,動的割り当てに失敗しています。RADIUSサーバのRADIUS属性のTunnel-Private-Group-ID属性に正しいVLAN IDを設定してください。
  • 「Failed to assign VLAN. (Reason: The VLAN ID is out of range.)」の場合がある場合,RADIUSサーバに設定したRADIUS属性のTunnel-Private-Group-ID属性に設定したVLAN IDが範囲外のため,動的割り当てに失敗しています。Tunnel-Private-Group-ID属性に正しいVLAN IDを設定してください。
  • 「Failed to assign VLAN. (Reason: The port doesn't belong to VLAN.)」がある場合,認証ポートがRADIUSサーバのRADIUS属性であるTunnel-Private-Group-ID属性に指定されたVLAN IDに属していないため,動的割り当てに失敗しています。RADIUSサーバのRADIUS属性であるTunnel-Private-Group-ID属性に設定されたVLAN IDと認証ポートに設定されたMAC VLANのVLAN IDが一致するように設定してください。
  • 「Failed to assign VLAN. (Reason: The VLAN ID is not set to radius-vlan.)」がある場合,RADIUSサーバのRADIUS属性であるTunnel-Private-Group-ID属性に指定されたVLAN IDがVLAN単位認証(動的)の認証対象外のVLAN IDです。RADIUSサーバのRADIUS属性であるTunnel-Private-Group-ID属性に設定されたVLAN IDと認証ポートに設定されたMAC VLANのVLAN IDが一致するように設定してください。
上記に該当しない場合は,RADIUSサーバのログを参照して認証が失敗していないか確認してください。

AX3800S,AX3600SまたはAX2400Sで,IEEE802.1Xが動作するポートまたはVLANで通信ができない場合は,次の表に示す障害解析方法に従って原因の切り分けを行ってください。該当しない場合は,「3.6 レイヤ2ネットワークの通信障害」を参照してください。

表3-58 IEEE 802.1Xの通信障害解析方法

項番 確認内容・コマンド 対応
1 トランクポートにVLAN単位認証(静的)を設定したVLANとそれ以外のVLANが設定されていないことを確認してください。 VLAN単位認証(静的)を設定したVLAN以外での通信ができないため,認証除外ポートに設定するか,VLAN単位認証(静的)を設定したVLANとそれ以外のVLANを異なるポートに設定してください。
2 認証済み端末が,同一VLAN内の非認証ポートに移動していないか確認してください。 本装置で認証している端末が,非認証ポートに移動した場合,認証情報が解除されないと通信ができません。clear dot1x auth-stateコマンドを使用して,対象端末の認証状態を解除してください。

[目次][前へ][次へ]


[他社商品名称に関する表示]

All Rights Reserved, Copyright(C), 2005, 2012, ALAXALA Networks, Corp.