【障害対応】Cisco Catalyst IEEE802.1X/MAB認証失敗時の切り分け

企業のLAN環境では、あらかじめ認められたクライアントPCのみネットワークにアクセスできるよう、IEEE802.1X/MABによるアクセススイッチの認証機能を使用している場合があります。

この認証機能が曲者で、クライアントPCをスイッチに接続してもネットワークにアクセスできない場合があります。
そうなったときは、まずクライアントPCを接続しているアクセススイッチにログインして切り分けを行います。

認証サーバの状態確認

スイッチ側から見た認証サーバ(RADIUSサーバ)の状態を確認します。show aaa serversコマンドを実行し、Stateの箇所がUPであることを確認します。UP以外が表示される場合は、スイッチと認証サーバの区間で疎通が取れていないため、クライアントPCが認証されていない可能性があります。

# show aaa servers
RADIUS: id 1, priority 1, host 10.1.1.1, auth-port 1645, acct-port 1646
     State: current UP, duration 152s, previous duration 0s
     Dead: total time 0s, count 0
     Authen: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Author: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Account: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Elapsed time since counters last cleared: 1h22m

現在の認証セッション確認

各インターフェースごとの認証状態を確認します。Statusの列がAuthz Success以外の場合は、対象MACアドレス機器の認証が完了していません。

# show authentication sessions
Interface    MAC Address     Method   Domain   Status         Session ID
Gi1/0/1      xxxx.xxxx.xxxx  dot1x    DATA     Authz Success  0B3562B10000001000000001
Gi1/0/2      xxxx.xxxx.xxxx  mab      DATA     Authz Success  0B3562B10000001000000002
Gi1/0/3      xxxx.xxxx.xxxx  dot1x    DATA     Authz Success  0B3562B10000001000000003

認証結果ログ確認

認証失敗のログを確認します。同ログが出力されている場合、認証サーバにクライアントPCの情報が登録されていない可能性が考えられます。

# show logging
! IEEE802.1x認証に失敗したことを示すログ
%DOT1X-5-FAIL: Authentication failed for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx
%AUTHMGR-7-RESULT: Authentication result 'no-response' from 'dot1x' for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1  AuditSessionID xxxxxxxxxx
! MAC認証バイパスに失敗したことを示すログ
%MAB-5-FAIL: Authentication failed for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx
%AUTHMGR-7-RESULT: Authentication result 'no-response' from 'mab' for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx
! 全ての認証に失敗したことを示すログ
%AUTHMGR-7-NOMOREMETHODS: Exhausted all authentication methods for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx
%AUTHMGR-5-FAIL: Authentication failed or unapplied for client (xxxx.xxxx.xxxx) on Interface Gi1/0/1 AuditSessionID xxxxxxxxxx