このページの内容
AAAテストとトラブルシューティング
AAA構成テストとトラブルシューティング
加入者管理では、加入者のAAA設定を確認できるテスト機能がサポートされています。テスト機能を使用して、加入者の AAA 設定を検証し、加入者ログインの問題のトラブルシューティングまたは切り分けに役立てることができます。AAAテストプロセスでは、加入者を認証し、加入者にアドレスを割り当て、アカウンティング開始パケットを発行する疑似セッションを作成します。その後、プロセスはアカウンティング停止要求を発行し、アドレスを解放し、疑似セッションを終了します。
AAAテスト結果は、ログイン時に加入者管理が加入者に割り当てる属性の詳細を提供します。属性は、RADIUS、動的プロファイル、静的インターフェイス設定によって割り当てられる場合もあれば、静的に割り当てられる場合もあります。DHCP、PPP、および authd-lite 加入者の AAA 設定をテストできます。L2TPクライアントの場合、AAAテストプロセスではすべてのトンネルパラメーターが表示されますが、実際のトンネルセッションは作成されません。
test aaaコマンドは、標準属性とジュニパーネットワークスVSAの両方IETF、すべてのRADIUSソースの属性をサポートします。受信した属性が出力に表示されます。標準RADIUS属性については、AAAサービスフレームワークでサポートされているRADIUS IETF属性を参照してください。ジュニパーネットワークス VSA については、「AAA Service Framework でサポートされる VSA ジュニパーネットワークス」を参照してください。
test aaaコマンドは、ボリューム時間アカウンティングをサポートしていません(値2のVSA 26-69ジュニパーネットワークス)。テスト加入者にボリューム時間アカウンティングが設定されている場合、testコマンドは統計情報を時間のみのアカウンティング統計に置き換えます。
加入者AAA設定のテスト
目的
ログイン時に加入者管理が加入者に割り当てるAAA属性を表示します。
次の例では、PPP 加入者の AAA 設定をテストします。 test aaa dhcp user コマンドを使用してDHCP加入者に対して同様のテストを実行し、 test aaa authd-lite user コマンドを使用してAuthd-Lite加入者をテストできます。
アクション
user@host>test aaa ppp user user45@test.net password $ABC123
Authentication Grant
************User Attributes***********
User Name - user45@test.net
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - TEST
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - $ABC123
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Idle Timeout - 600
Session Timeout - 6000
Service Name (1) - cos-service(video_sch, nc_sch)
Service Statistics (1) - 1
Service Acct Interim (1) - 600
Service Activation Type (1) - 1
Service Name (2) - filter-service(in_filter, out_filter)
Service Statistics (2) - 2
Service Acct Interim (2) - 900
Service Activation Type (2) - 1
Cos shaping rate - 100m
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 1
Acct Interim Interval - 750
Acct Type - 1
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 1
IPv4 ADF Rule - 010100
IPv4 ADF Rule - 010101
IPv6 ADF Rule - 030100
IPv6 ADF Rule - 030101
****Pausing 10 seconds before disconnecting the test user*********
Logging out subscriber
Terminate Id - not set
Test complete. Exiting
test aaa dhcp userおよびtest aaa ppp userコマンドとともにagent-remote-id ariオプションを使用して、DSLフォーラムエージェントリモートID(VSA 26-2)をサポートするネットワークでDHCPおよびPPP加入者認証を確認できます。
DSL フォーラム Agent-Remote-Id を指定した場合、出力には指定された値が含まれます。VSAを指定しない場合、Agent-Remote-Id値は NULLと表示されます。
user@host>test aaa ppp user thomastank agent-remote-id “(202)555–1212”
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 192.168.1.1
Client IP Netmask - 255.255.0.0
...
NAS Ip Address - 0.0.0.0
Agent Remote Id - (202)555–1212
...
次の例は、無効なパスワードが原因で認証許可に失敗した場合の出力を示しています。
user@host>test aaa ppp user user45@test.net password 55N33%%56
Authentication Deny
Reason : Access Denied
Received Attributes :
User Name - user45@test.net
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
Virtual Router Name - default
Agent Remote Id - NULL
Reply Message - NULL
Primary DNS IP Address - 0.0.0.0
Secondary DNS IP Address - 0.0.0.0
Primary WINS IP Address - 0.0.0.0
Secondary WINS IP Address - 0.0.0.0
Primary DNS IPv6 Address - ::
Secondary DNS IPv6 Address - ::
Framed Pool - not set
Class Attribute - not set
Service Type - 0
Client IPv6 Address - ::
Client IPv6 Mask - null
Framed IPv6 Prefix - ::/0
Framed IPv6 Pool - not-set
NDRA IPv6 Prefix - not-set
Login IPv6 Host - ::
Framed Interface Id - 0:0:0:0
Delegated IPv6 Prefix - ::/0
Delegated IPv6 Pool - not-set
User Password - 55N33%%56
CHAP Password - NULL
Mac Address - 00:00:5E:00:53:ab
Filter Id - not set
Framed MTU - (null)
Framed Route - not set
Ingress Policy Name - not set
Egress Policy Name - not set
IGMP - disabled
Redirect VR Name - default
Service Bundle - Null
Framed Ip Route Tag - not set
Ignore DF Bit - disabled
IGMP Access Group Name - not set
IGMP Access Source Group Name - not set
MLD Access Group Name - not set
MLD Access Source Group Name - not set
IGMP Version - not set
MLD Version - not set
IGMP Immediate Leave - disabled
MLD Immediate Leave - disabled
IPv6 Ingress Policy Name - not set
IPv6 Egress Policy Name - not set
Acct Session ID - 12
Acct Interim Interval - 0
Acct Type - 0
Ingress Statistics - disabled
Egress Statistics - disabled
Chargeable user identity - 0
NAS Port Id - -0/0/0.0
NAS Port - 4095
NAS Port Type - 15
Framed Protocol - 0
Test complete. Exiting
VLAN-OOB加入者を持つレイヤー2ネットワークなどの一部のネットワークでは、RADIUSは、クライアントプロファイル内の加入者アドレスにClient-Profile-Name VSA(26–174)を提供するように設定されています。デフォルト設定では、RADIUSから直接加入者アドレスを受信しない場合、テストは失敗します。これらの加入者のテストを成功させるには、 no-address-request オプションを含める必要があります。コマンド出力では、動的プロファイルフィールドにクライアントプロファイル名が表示され、ルーティングインスタンスフィールドに仮想ルーターVSA(26-1)によって伝達されたルーティングインスタンスの名前が表示されます。
user@host>test aaa ppp user thomastank no-address-request
Authentication Grant
************User Attributes***********
User Name - thomastank
Client IP Address - 0.0.0.0
Client IP Netmask - 0.0.0.0
...
IPv6 Egress Policy Name - not set
Dynamic Profile- filter-service
Routing Instance - VR27fin
...
Junos OSリリース19.3R1以降、XML出力形式が変更されました。各RADIUSサーバー属性名には、関連する属性値があります。これらの各ペアは、<radius-server-data>タグで囲まれています。新しいタグにより、演算子とAPIクライアントの両方で、名前と値のペアを認識しやすくなります。
新しい形式で正しく動作するように、XML 出力を使用するスクリプトを変更する必要がある場合があります。
以下の例は、古い形式でのサンプルXML出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
以下の例は、新しい形式でのサンプル XML 出力の抜粋を示しています。
user@host>test aaa ppp user user45@test.net password $ABC123 | display xml
<rpc-reply xmlns:junos="namespace-URL">
<aaa-test-result>
<aaa-test-status>Authentication Grant</aaa-test-status>
<aaa-test-status>************User Attributes***********</aaa-test-status>
<radius-server-data>
<radius-server-attribute-name>User Name -</radius-server-attribute-name>
<radius-server-attribute-value>user45@test.net</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Virtual Router Name (LS:RI) -</radius-server-attribute-name>
<radius-server-attribute-value>default:default</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Service Type -</radius-server-attribute-name>
<radius-server-attribute-value>Framed</radius-server-attribute-value>
</radius-server-data>
<radius-server-data>
<radius-server-attribute-name>Agent Remote Id -</radius-server-attribute-name>
<radius-server-attribute-value><not set></radius-server-attribute-value>
</radius-server-data>
...
<aaa-test-status>Test complete. Exiting</aaa-test-status>
</aaa-test-result>
<cli>
<banner></banner>
</cli>
</rpc-reply>
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。