Cisco ISE - Debug : Différence entre versions
(Page créée avec « == Interface Web == === Prérequis === ISE est déployé sur 2 nœud (1 primaire et 1 secondaire). /!\ **L'interface du nœud secondaire ne permet pas de faire de debu... ») |
|||
| Ligne 1 : | Ligne 1 : | ||
| − | == | + | == Renseignements principaux == |
| − | + | * Nœud 1 : 10.13.102.221/24 | |
| + | * Nœud 2 : 10.13.102.222/24 | ||
| + | * Serveurs NAC MOY1300 | ||
| + | * Virtualisé sur cluster VMware | ||
| + | * Identifiants compte admin dans KeePassX du campus, sur ''Mars\services\SSI\pwd'' | ||
| + | * Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE | ||
| + | * Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP) | ||
| − | + | == Interface Web == | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=== Live Logs === | === Live Logs === | ||
| − | Pour les problèmes liés à l’authentification, la page | + | Pour les problèmes liés à l’authentification, la page ''Operations → RADIUS → Live logs'' permet de visualiser les différentes étapes liées au processus d’identification d’un client. |
L'affichage des clients peut se faire selon plusieurs critères : | L'affichage des clients peut se faire selon plusieurs critères : | ||
| − | + | * Identité (username) | |
| − | + | * adresse MAC | |
| − | + | * Type de device (marque / type d'équipement) | |
| − | + | * Politique d'authentification utilisée (DR13 / SHD) | |
| − | + | * VLAN | |
| − | + | * Switch | |
On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment : | On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment : | ||
| − | + | * les étapes de la phase d'authentification | |
| − | + | * le profil que le client a matché | |
| − | + | * le VLAN qui lui a été attribué | |
| − | + | * les informations liées à l'AD (CN et Groupe du client) | |
=== Outils de diagnostic === | === Outils de diagnostic === | ||
| Ligne 33 : | Ligne 33 : | ||
==== RADIUS Authentication Troubleshooting ==== | ==== RADIUS Authentication Troubleshooting ==== | ||
| − | 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client | + | * 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client |
| − | 2. Cliquer sur | + | * 2. Cliquer sur Search |
| − | 3. Sélectionner la ligne dont le status est failed | + | * 3. Sélectionner la ligne dont le status est failed |
| − | 4. Cliquer sur | + | * 4. Cliquer sur Troubelshoot |
| − | 5. Cliquer sur | + | * 5. Cliquer sur Show Result Summary |
| − | Le résultat contient l'identification du problème rencontré et indique quel élément de configuration | + | Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client. |
==== Endpoint Debug ==== | ==== Endpoint Debug ==== | ||
| − | /!\ Très très verbeux !! | + | /!\ '''Très très verbeux !!''' |
Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client : | Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client : | ||
| − | 1. Se rendre dans | + | * 1. Se rendre dans ''Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug'' |
| − | 2. Cliquer sur Start | + | * 2. Cliquer sur Start |
| − | 3. Initier une connexion au réseau depuis le client à debugguer | + | * 3. Initier une connexion au réseau depuis le client à debugguer |
| − | 4. Télécharger les logs | + | * 4. Télécharger les logs |
C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP. | C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP. | ||
| Ligne 58 : | Ligne 58 : | ||
=== Visualiser les sessions 802.1X === | === Visualiser les sessions 802.1X === | ||
| − | + | <pre> | |
show authentication sessions method dot1x | show authentication sessions method dot1x | ||
| Ligne 64 : | Ligne 64 : | ||
------------------------------------------------------------------------ | ------------------------------------------------------------------------ | ||
Gi1/0/3 f09f.fc14.df78 dot1x DATA Auth A000000CC6A2703... | Gi1/0/3 f09f.fc14.df78 dot1x DATA Auth A000000CC6A2703... | ||
| − | + | </pre> | |
=== Logging 802.1X === | === Logging 802.1X === | ||
Activer les logs pour l’authentification dot1x. | Activer les logs pour l’authentification dot1x. | ||
| − | + | dot1x logging verbose | |
| − | dot1x logging verbose | ||
| − | |||
Visualiser les logs à la volée en CLI. | Visualiser les logs à la volée en CLI. | ||
| − | + | terminal monitor | |
| − | terminal monitor | ||
| − | |||
Désactiver le monitoring en CLI. | Désactiver le monitoring en CLI. | ||
| − | + | terminal no monitor | |
| − | terminal no monitor | ||
| − | |||
| − | == | + | == Switch Juniper == |
| − | === | + | === Visualiser les sessions 802.1X === |
| − | + | <pre> | |
show dot1x interface brief | show dot1x interface brief | ||
| Ligne 93 : | Ligne 87 : | ||
Interface Role State MAC address User | Interface Role State MAC address User | ||
ge-0/0/1 Authenticator Authenticated 00:a0:d2:18:1a:c8 user | ge-0/0/1 Authenticator Authenticated 00:a0:d2:18:1a:c8 user | ||
| − | + | </pre> | |
| − | === | + | === Détail d'une session sur une interface === |
| − | + | show dot1x interface ge-0/0/1.0 detail | |
| − | show dot1x interface ge-0/0/1.0 detail | ||
| − | |||
| − | === | + | === Logging 802.1X === |
Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer. | Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer. | ||
| − | + | <pre> | |
set protocols dot1x traceoptions file dot1x | set protocols dot1x traceoptions file dot1x | ||
set protocols dot1x traceoptions file size 5m | set protocols dot1x traceoptions file size 5m | ||
set protocols dot1x traceoptions flag all | set protocols dot1x traceoptions flag all | ||
| − | + | </pre> | |
Exemple : afficher les 10 dernières entrées du fichier de logs dot1x | Exemple : afficher les 10 dernières entrées du fichier de logs dot1x | ||
| − | + | show log dot1x | last 10 | |
| − | |||
| − | show log dot1x | last 10 | ||
| − | |||
Version actuelle datée du 25 octobre 2022 à 11:41
Renseignements principaux[modifier]
- Nœud 1 : 10.13.102.221/24
- Nœud 2 : 10.13.102.222/24
- Serveurs NAC MOY1300
- Virtualisé sur cluster VMware
- Identifiants compte admin dans KeePassX du campus, sur Mars\services\SSI\pwd
- Nœud primaire - Gestion de l'ensemble des fonctionnalités d'ISE
- Nœud secondaire - Gestion d'ISE en cas de plantage du nœud primaire + quelques autres fonctions (ex : conf NTP)
Interface Web[modifier]
Live Logs[modifier]
Pour les problèmes liés à l’authentification, la page Operations → RADIUS → Live logs permet de visualiser les différentes étapes liées au processus d’identification d’un client.
L'affichage des clients peut se faire selon plusieurs critères :
- Identité (username)
- adresse MAC
- Type de device (marque / type d'équipement)
- Politique d'authentification utilisée (DR13 / SHD)
- VLAN
- Switch
On clique sur l’icône au niveau de la ligne correspondant à notre client afin d’afficher des informations détaillées. On retrouve notamment :
- les étapes de la phase d'authentification
- le profil que le client a matché
- le VLAN qui lui a été attribué
- les informations liées à l'AD (CN et Groupe du client)
Outils de diagnostic[modifier]
RADIUS Authentication Troubleshooting[modifier]
- 1. Renseigner l'identifiant de connexion ou l'adresse MAC du client
- 2. Cliquer sur Search
- 3. Sélectionner la ligne dont le status est failed
- 4. Cliquer sur Troubelshoot
- 5. Cliquer sur Show Result Summary
Le résultat contient l'identification du problème rencontré et indique quel élément de configuration entraîne un problème d'authentification du client.
Endpoint Debug[modifier]
/!\ Très très verbeux !!
Pour obtenir des logs plus précis à partir de l'adresse MAC ou l'adresse IP du client :
- 1. Se rendre dans Operations → Troubleshoot → Diagnostic Tools → EndPoint Debug
- 2. Cliquer sur Start
- 3. Initier une connexion au réseau depuis le client à debugguer
- 4. Télécharger les logs
C’est cette méthode qui nous a permis d’identifier une erreur protocolaire empêchant l’authentification 802.1X sur les anciennes imprimantes SHARP.
Switch Cisco[modifier]
Visualiser les sessions 802.1X[modifier]
show authentication sessions method dot1x Interface MAC Address Method Domain Status Fg Session ID ------------------------------------------------------------------------ Gi1/0/3 f09f.fc14.df78 dot1x DATA Auth A000000CC6A2703...
Logging 802.1X[modifier]
Activer les logs pour l’authentification dot1x.
dot1x logging verbose
Visualiser les logs à la volée en CLI.
terminal monitor
Désactiver le monitoring en CLI.
terminal no monitor
Switch Juniper[modifier]
Visualiser les sessions 802.1X[modifier]
show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1 Authenticator Authenticated 00:a0:d2:18:1a:c8 user
Détail d'une session sur une interface[modifier]
show dot1x interface ge-0/0/1.0 detail
Logging 802.1X[modifier]
Activer le logging dot1x en définissant le nom du fichier contenant les logs, sa taille maximale et les éléments à loguer.
set protocols dot1x traceoptions file dot1x set protocols dot1x traceoptions file size 5m set protocols dot1x traceoptions flag all
Exemple : afficher les 10 dernières entrées du fichier de logs dot1x
show log dot1x | last 10
