Cisco ISE - Debug : Différence entre versions

De Wiki_DR13
Aller à : navigation, rechercher
(Page créée avec « == Interface Web == === Prérequis === ISE est déployé sur 2 nœud (1 primaire et 1 secondaire). /!\ **L'interface du nœud secondaire ne permet pas de faire de debu... »)
(Aucune différence)

Version du 25 octobre 2022 à 10:45

Interface Web

Prérequis

ISE est déployé sur 2 nœud (1 primaire et 1 secondaire).

/!\ **L'interface du nœud secondaire ne permet pas de faire de debugging**.

Accès à ISE : - Nœud 1 : https://10.13.102.221 - Nœud 2 : https://10.13.102.222

Live Logs

Pour les problèmes liés à l’authentification, la page **Operations → RADIUS → Live logs** permet de visualiser les différentes étapes liées au processus d’identification d’un client.

L'affichage des clients peut se faire selon plusieurs critères : - Identité (username) - adresse MAC - Type de device (marque / type d'équipement) - Politique d'authentification utilisée (DR13 / SHD) - VLAN - Switch

On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment : - les étapes de la phase d'authentification - le profil que le client a matché - le VLAN qui lui a été attribué - les informations liées à l'AD (CN et Groupe du client)

Outils de diagnostic

RADIUS Authentication Troubleshooting

1. Renseigner l'identifiant de connexion ou l'adresse MAC du client 2. Cliquer sur **Search** 3. Sélectionner la ligne dont le status est failed 4. Cliquer sur **Troubelshoot** 5. Cliquer sur **Show Result Summary**

Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraine un problème d'authentification du client.

Endpoint Debug

/!\ Très très verbeux !!

Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :

1. Se rendre dans **Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug** 2. Cliquer sur Start 3. Initier une connexion au réseau depuis le client à debugguer 4. Télécharger les logs

C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.

Switch Cisco

Visualiser les sessions 802.1X

``` show authentication sessions method dot1x

Interface MAC Address Method Domain Status Fg Session ID

Gi1/0/3 f09f.fc14.df78 dot1x DATA Auth A000000CC6A2703... ```

Logging 802.1X

Activer les logs pour l’authentification dot1x. ``` dot1x logging verbose ```

Visualiser les logs à la volée en CLI. ``` terminal monitor ```

Désactiver le monitoring en CLI. ``` terminal no monitor ```

III - Switch Juniper

1° Visualiser les sessions 802.1X

``` show dot1x interface brief

802.1X Information: Interface Role State MAC address User ge-0/0/1 Authenticator Authenticated 00:a0:d2:18:1a:c8 user ```

2° Détail d'une session sur une interface

``` show dot1x interface ge-0/0/1.0 detail ```

3° Logging 802.1X

Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer.

``` set protocols dot1x traceoptions file dot1x set protocols dot1x traceoptions file size 5m set protocols dot1x traceoptions flag all ```

Exemple : afficher les 10 dernières entrées du fichier de logs dot1x

``` show log dot1x | last 10 ```

Récupérée de « https://wiki.dr13.cnrs.fr/wiki/index.php?title=Cisco_ISE_-_Debug&oldid=10416 »