Merakiデバイスの最近の802.1X障害アラートのトラブルシューティング

ダウンロード オプション

  • PDF     (1.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.3 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (651.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 5 月 20 日
Document ID:217894

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。


    概要

    このドキュメントでは、Merakiデバイスで最近の802.1X障害アラートを解決する方法について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    • 基本的なMerakiソフトウェア定義型ワイドエリアネットワーク(SDWAN)ソリューションの理解
    • 基本的なアクセスポリシーとRADIUS認証について理解する

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    問題

    Cisco Merakiデバイスは、AAA RADIUSサーバポリシー設定を使用してエンドユーザを認証します。

    MerakiデバイスのRADIUSテストとは何ですか。

    最近の802.1X failureアラートでは、設定されたRADIUSサーバに送信された定期的なアクセス要求メッセージに到達できない場合は、タイムアウト期間を10秒にする必要があることが示されています。

    Merakiデバイスは、RADIUSサーバが到達可能であることを確認するために、アイデンティティmeraki_8021x_testを使用する設定済みRADIUSサーバに定期的にAccess-Requestメッセージを送信します。これらのAccess-Requestsのタイムアウトは10秒で、RADIUSサーバが応答しない場合、RADIUSサーバは到達不能であると判断し、アラート「Recent 802.1X failure」メッセージを表示します。デバイスに表示されるアラートのスクリーンショットを参照してください。
    Recent 802.1X Failure Alerts in Meraki

    Merakiデバイスがサーバから正規のRADIUS応答(Access-Accept/Reject/Challenge)を受信した場合、テストは成功したと見なされます。

    RADIUSテストを有効にすると、テスト結果に関係なく、すべてのRADIUSサーバのテストは少なくとも24時間に1回、各ノードで実行されます。特定のノードに対してRADIUSテストが失敗した場合は、パスの結果が発生するまで1時間ごとに再テストが行われます。後続のパスは、サーバが到達可能であることを示し、アラートをクリアして、24時間のテストサイクルに戻ります。

    設定

    ネットワーク図

    設定を説明する簡単なトポロジ図を次に示します。

    Generic Network Diagram for Meraki Setup

    確認とトラブルシューティング

    802.1Xの設定

    802.1X RADIUSの設定は、Meraki製品モデルに応じて示されているパスで確認できます。

    1. MXセキュリティアプライアンス(アクセスポートまたはワイヤレス用に設定)

    • アクセスポート
      [Security & SD-WAN] > [Addressing & VLANs]

    • ワイヤレス
      [Security & SD-WAN] > [Wireless settings]
      MX-Security Appliance Access Control Settings


    2. MRアクセスポイント(Service Set Identifier(SSID)ごとに有効):
    [Wireless] > [Access control]
    MR-Access Points Access Control Settings

    3. MSスイッチ
    Switch> アクセスポリシー
    MS-Switches Access Control Settings


    802.1X設定検証テスト

    • [Meraki Dashboard] > [Network Template] > [Switch] > [Access Policies] > [Radius Servers]テスト
    • Merakiダッシュボード > ネットワークテンプレート > ワイヤレス アクセス制御 > RADIUS サーバ > テスト


    1.テスト結果が「All AP failed to connect radius server」と表示された場合は、access-Requestがドロップされた場所を確認する必要があります。

    All Meraki Devices Fail to Connect to the Radius Server - Test Output Result


    2.アップリンクポートでパケットキャプチャを実行し、アクセス要求フローを確認します。パケットキャプチャアクセスのスクリーンショットを参照してください。要求に応答がありません。
    Wireshark Output for Radius Connection Failed Packets

    3.テスト結果がaccept/reject/deny/response/incorrect credentialsとして応答されると、radiusサーバが動作していることを意味します。

    All Meraki Devices Tries to Connect to the Radius Server - Test Output Result

    4.アップリンクポートでパケットキャプチャを実行し、アクセス要求フローを確認します。パケットキャプチャアクセスのスクリーンショットを参照してください。要求は応答を受信しました。

           Wireshark Output for Radius Connection Passed Packets

    アクセスポリシー設定の検証

    1.アクセスポリシーに記載されているパラメータが正しく、ホストIP、ポート番号、および秘密キーが含まれていることを確認する必要があります。

    Access Policy Configuration Verification on Meraki MS Devices


    2.設定されたRADIUSサーバのIPがダミーであるか、実稼働環境で使用されていない、またはアクセスポリシーが使用されていない。アクセスポリシーを削除することをお勧めします。これを保持する場合は、RADIUSテスト設定を無効にできます。

      Access Policy Settings in Meraki MS Devices



    関連情報




    • RADIUSサーバがMerakiデバイスをポーリングするときに、LAN IPとデフォルトのユーザ名「meraki_8021x_test」を使用すると、MerakiダッシュボードはMeraki MACアドレスを送信元として使用しました。
    • Merakiは、2021年10月以降、これらのアラートを可視化しました。

    更新履歴

    改定 発行日 コメント
    2.0
    20-May-2022
    初版リリース
    1.0
    20-May-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • Suraj Pardule
      CMSエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ