2009/10/31

未だ頓挫中

前のエントリからの続き。
●"extended-authentication is in use." の解決を目指して
解決策:"dot1x port-control"を削除

「fastethernet 0/2-48 の dot1x port-control を削除」
(config)# interface range fastethernet 0/2-48
(config-if-range)# no dot1x port-control
(config-if-range)# end
#
「gigabitethernet 0/49 の dot1x port-control を削除」
!is210-01(config)# interface gigabitethernet 0/49
!is210-01(config-if)# no dot1x port-control
!is210-01(config-if)# top
!is210-01(config)#

削除実行前
!is210-01(config)# show interface gigabitethernet
interface gigabitethernet 0/49
  media-type auto
  switchport mode access
  switchport access vlan 210
  dot1x port-control auto
  dot1x multiple-authentication
  dot1x reauthentication
  dot1x supplicant-detection disable
  web-authentication port
  authentication ip access-group "is-webauth"
  authentication arp-relay
  loop-detection send-inact-port
!
dot1x port-control auto が存在する。(fastethernet 0/2-48 も同様)

削除実行後
!is210-01(config)# show interface gigabitethernet
interface gigabitethernet 0/49
  media-type auto
  switchport mode access
  switchport access vlan 210
  dot1x multiple-authentication  # dot1x port-control auto は無い
  dot1x reauthentication
  dot1x supplicant-detection disable
  web-authentication port
  authentication ip access-group "is-webauth"
  authentication arp-relay
  loop-detection send-inact-port
!

!is210-01(config)# show interface fastethernet
interface fastethernet 0/1
  description "kyoutaku"
  switchport mode access
  switchport access vlan 210
  loop-detection send-inact-port
!
interface fastethernet 0/2
  no mdix auto
  switchport mode access
  switchport access vlan 210
  dot1x multiple-authentication # dot1x port-control auto は無い
  dot1x reauthentication
  dot1x supplicant-detection disable
  web-authentication port
  authentication ip access-group "is-webauth"
  authentication arp-relay
  loop-detection send-inact-port
!
(以下 interface fastethernet 0/48 まで続く)

さぁて、実験進めるぞー!
!is210-01(config)# system function filter
extended-authentication is in use.
あるぇー?

 dot1x port-control 以外の設定も削除しなければならないのだろう、と推測。

2009/10/28

実験手前で頓挫

23日(Fri)
    実験できるだろう目処がつく
26日(Mon)
    スイッチの enable・config のパスワードを忘れる
27日(Tue)
    TA がんばった
28日(Wed)
    実験なう!と思ったらつまずく ←イマココ

---------------------------------------------
●やろうとしたこと
「12210教室スイッチにて ポート1から3からの http アクセスを遮断」

(config)# ip access-list extended http_DENY
    "http_DENY" という ACL_ID を命名
(config-ext-nacl)# deny tcp src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 eq http
    "src 0.0.0.0 255.255.255.255" すべての送信元IPv4 アドレスを設定
    "eq http"  httpを指定
(config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255
    "protocol ip" 全てのプロトコルを指定
(config-ext-nacl)# exit
(config)# interface range fastethernet 0/1-3
    スイッチの物理ポート 1~3 の設定を変える
(config-if-range)# ip access-group http_DENY in
上記ポートに http_DENY を設定する
(config-if-range)# exit

●現状
!is210-01(config)# interface range fastethernet 0/1-3
!is210-01(config-if-range)# ip access-group http_DENY in
interface : system function isn't set. 

interface : system function isn't set.

interface : system function isn't set.

!is210-01(config-if-range)#
---------------------------------------------
●"interface : system function isn't set." の解決を目指して

    (config)# system function filter
    を設定すれば良いのだが、それにはスイッチの再起動が必要。
    再起動してもいいだろうか?
    ……やってみた。

    ●やろうとしたこと
    (config)# system function filter
    (config)# save
    #reload

    ●現状
    !is210-01(config)# system function filter
    extended-authentication is in use.
    ---------------------------------------------
    ●"extended-authentication is in use." の解決を目指して
      CFREF.pdf p.478 [表30-3 装置の管理のエラーメッセージ] extended-authentication is in use.
      下記の機能のいずれかが有効に設定されているため,本設定を変更できません。
      • 認証専用 IPv4 アクセスリスト
      • IEEE802.1X:ポート単位認証(動的)
      • Web 認証:固定VLANモード,ダイナミック VLANモード,Web 認証専用 IP アドレス
      • MAC 認証:固定VLAN モード,ダイナミック VLAN モード

      下記の設定を削除してください。
      • authentication arp-relay
      • authentication ip access-group
      • dot1x port-control
      • web-authenticaiton ip address
      • web-authentication port
      • mac-authentication port
      12210教室(802.1x認証アリの自習室)の認証を OFF にすれば良い。(技術的に考えて)
      ……やっちゃだめだろうなぁ。(事務的に考えて)
      #追記 20:49
      やっていいって!

      12216教室は物理的に入室できないので、実験結果の検証が出来ない(入室してPCを持ち込み、http が遮断されるか試せない)。

      ●解決策(案)
      • 他の自習室(12219、12220)で実験する
        • それぞれの教室スイッチで enable・config できることが条件
      • 未使用の教室(12216,12217,12218)へ入室させてほしい
        • それぞれの教室スイッチで enable・config できることが条件
      • 12221(LAN接続不可の教室)で、実験時だけLAN接続を可能にする
        • フロアスイッチ・コアスイッチを設定すればできるのかな?調査中

      2009/10/17

      09/10/17 またスイッチがダウンしている件

      また 12210 スイッチが落ちてるし!

      昨夕、電源再投入で対処した 12210スイッチがまた落ちている。12216スイッチは落ちっぱなしだがまぁそれは業者の対応待ちだから問題ない。

      フロアスイッチで show logging して見てみると、
      EVT 10/17 13:29:11 E4 PORT GigabitEthernet0/10 25011101 1350:490134000001 Error detected on the port.
      とある。このタイミングで落ちたのかなー、と思う。
      しかし、さらに過去をさかのぼってみると、こんなものも見つけた。

      EVT 10/16 11:46:05 E4 PORT GigabitEthernet0/37 25011101 1350:640130000001 Error detected on the port.
      EVT 10/16 11:46:01 E4 PORT GigabitEthernet0/37 25011001 1350:000033221c05 Port up.
      EVT 10/16 11:46:00 E4 PORT GigabitEthernet0/37 25011101 1350:640131201c05 Error detected on the port.
      EVT 10/16 11:36:01 E4 PORT GigabitEthernet0/37 25011001 1350:000073721f07 Port up.
      EVT 10/16 11:36:00 E4 PORT GigabitEthernet0/37 25011101 1350:640131081f07 Error detected on the port.
      "Error detected on the port." は今日のログと同じ。
      "Error~" のあとに "Port up." が出ると仮定すると、"Port up." は自動的に復旧したということなんだろうか。このログの前後にも "Error~" と "Port up." は散見される。しかし必ずしも一対にはなっていないように見える。

      2009/10/16

      09/10/16

      >CFGUIDE1.pdf
      6  コンフィグレーション
      フィルタ設定のために改めて編集モードについて見直して勉強。

      >6.1 コンフィグレーション
      ランニングコンフィグレーション と スタートアップコンフィグレーションを理解した。
      ランニング~ が運用に使用され、管理者はランニング~を直接編集する。編集する場合はsaveするとスタートアップ~にコピーしなければならない。

      >6.3 コンフィグレーションコマンド入力におけるモード遷移
      グローバルコンフィグモード(第一階層)、コンフィグモード(第二階層)を理解した。
      フィルタ設定も第二階層になっている。

      ---------------------------------------------
      210教室スイッチ、216教室スイッチが Down.
      210は電源再投入して復活。
      216はそのままにして、業者に見てもらうことになった。

      ---------------------------------------------
      enable、config の権限をもらう。210、is2f で確認した。

      ---------------------------------------------
      「第二階層コンフィグモードになれない問題」

      >CFREF.pdf p.207~246 17 アクセスリスト
      フィルタ設定のためのコマンドで、第二階層コンフィグモードに遷移できない。
      コマンドを間違えている可能性を考えて以下2点を確認したが問題なかった。
      ・マニュアルのバージョン
      ・スイッチの型番

      ”単純にフィルタ設定の手順を間違えている”のではないかと思っている。以降確かめる予定。

      2009/10/15

      09/10/15

      ここ数日マニュアルを読み始めると寝てしまって、まるで研究が進んでいない。自戒のために、進んでなさをblogに晒して明日からもっと頑張る。

      -------ゼミメモ
      スイッチのアクセスフィルタリング条件例
      ・webmail(学内のActive!Mail)のみアクセス可
      ポート番号指定
      ・mixiのみアクセス不可
      IPアドレス指定

      スイッチの物理ポートの扱いは重要
      ・教室スイッチの1番はアクセス制限ナシ (教卓)
      ・教室スイッチの49,50番 もナシ (他スイッチ、FS)

      フロアスイッチのポートを扱うか?
      ・(なんでメモしたのか忘れた)

      -------スイッチフィルタに関して
      >CFREF.pdf p.40
      system function
      filter フィルタ機能を使用します
      >system function
      >6章 装置の管理

      ここは必要ないと判断した。
      system function はデフォルト設定でフィルタ機能は使える。フィルタ機能を利用するときに必要かと思って詳しく読んだが要らなかったなぁ。

      -------スイッチフィルタに関して 2
      >CFREF.pdf p.207~246 [17 アクセスリスト]

      まだここを勉強中。読んでたら眠くなる。

      -------AX-ON-API 関連
      API を利用するためのスイッチの設定が不足していたらしいが、マニュアルを熟読している自分だが全くそんな記述を見たことがない。まだ勉強不足だったのかなぁ。

      2009/10/08

      日報blog移行

      古いブログのエントリを移行できない!xmlの読み込みを3回試しても、3時間経っても終わらない!もうエントリの移行は諦めよう。

      古い日報はこっち
      http://smkwlab.jugem.jp/
      登録: 投稿 (Atom)