AAA テストおよびトラブルシューティング
AAA 設定テストおよびトラブルシューティング
加入者管理は、加入者の AAA 設定を確認できるテスト機能をサポートしています。テスト機能を使用して、加入者の AAA 設定を確認し、加入者のログイン問題のトラブルシューティングまたは切り分けに役立てることができます。AAA テスト プロセスでは、加入者を認証し、加入者にアドレスを割り当て、アカウンティング開始パケットを発行する疑似セッションが作成されます。その後、プロセスはアカウンティング停止要求を発行し、アドレスを解放して、疑似セッションを終了します。
AAA テスト結果には、ログイン時に加入者管理が加入者に割り当てる属性の詳細が示されます。属性は、RADIUS、動的プロファイル、静的インターフェイス設定によって割り当てられるか、静的に割り当てられます。DHCP、PPP、および authd-lite 加入者に対して AAA 設定をテストできます。L2TP クライアントの場合、AAA テスト プロセスではすべてのトンネル パラメータが表示されますが、実際のトンネル セッションは作成されません。
test aaaコマンドは、IETF標準属性とジュニパーネットワークスVSAの両方を含め、RADIUSソース属性をすべてサポートします。受信した属性が出力に表示されます。標準の RADIUS 属性については、「AAA サービス フレームワークでサポートされる RADIUS IETF 属性」を参照してください。ジュニパーネットワークスのVSAについては、AAAサービスフレームワークでサポートされているジュニパーネットワークスのVSAを参照してください。
test aaaコマンドは、ボリュームタイムアカウンティング(値2のジュニパーネットワークスVSA 26-69)をサポートしていません。テスト サブスクライバにボリュームタイム アカウンティングが設定されている場合、test コマンドは統計情報を時間のみのアカウンティング統計に置き換えます。
加入者の AAA 設定のテスト
目的
ログイン時に加入者管理が加入者に割り当てる AAA 属性を表示します。
次に、PPP 加入者の AAA 設定をテストする例を示します。 test aaa dhcp user コマンドを使用して DHCP 加入者に対して同様のテストを実行し、 test aaa authd-lite user コマンドを使用して認証された Lite 加入者をテストすることができます。
アクション
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
agent-remote-id ari オプションを test aaa dhcp user コマンドと test aaa ppp user コマンドと共に使用して、DSL フォーラム Agent-Remote-Id(VSA 26-2)をサポートするネットワークで DHCP および PPP 加入者の認証を検証できます。
DSL フォーラムの Agent-Remote-Id を指定すると、出力には指定した値が含まれます。VSAを指定しない場合、Agent-Remote-Id値は NULLと表示されます。
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
以下の例は、パスワードが無効なために認証グラントが失敗した場合の出力を示しています。
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
VLAN-OOB加入者を持つレイヤー2ネットワークなど一部のネットワークでは、RADIUSは、Client-Profile-Name VSA(26–174)を持つクライアントプロファイルの加入者アドレスを提供するように設定されます。デフォルト設定では、RADIUSから直接加入者アドレスを受信しない場合、テストは失敗します。これらの加入者のテストを成功させるには、 no-address-request オプションを含める必要があります。コマンド出力では、[動的プロファイル] フィールドにクライアント プロファイル名が表示され、[ルーティング インスタンス] フィールドに仮想ルーター VSA(26-1)によって伝達されるルーティング インスタンスの名前が表示されます。
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
Junos OS リリース 19.3R1 から、XML 出力形式が変更されました。各RADIUSサーバー属性名には、関連する属性値があります。これらの各ペアは、<radius-server-data>タグで囲まれています。新しいタグにより、オペレーターと API クライアントの両方で名前と値のペアを簡単に認識できます。
新しい形式で正しく動作するために、XML 出力を使用するスクリプトを変更する必要がある場合があります。
次の例は、古い形式でのサンプル XML 出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
次の例は、新しい形式でのサンプル XML 出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。