概要
この資料はターミナル アクセス コントローラ アクセスコントロールシステム(TACACS)を使用してワイドエリア アプリケーション(WAAS) Express/APPNAV XE の設定の詳細をおよび認証、許可および説明(AAA)コマンド許可提供したものです。
前提条件
要件
次の項目に関する知識が推奨されます。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- WAAS 6.1.1x
- 2900 人のルータ
- IOS Versoin 15.2(4)M3
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
背景説明
WAAS 中央マネージャはセキュア シェル(SSH)および WAAS Express および APPNAV にアクセスするためにセキュア HTTPS が- XE ルータ要求します。
セキュア シェル(SSH)は初期構成/registratoin のために使用されます。
HTTPS は進行中の設定 および モニタリングのために使用されます。
多くの場合デバイスの HTTPS および AAA設定の組み合せは中央マネージャがこれらのデバイスと正しく交信することを防ぎます。
例 TACACs 設定
aaa new-model
!
!
aa group server tacacs+ tacacsgroup
server name server1
server name server2
aaa authentication login AUTH group AAA-Servers
aaa authorization commands 1 PRIV1 group AAA-Servers
aaa authorization commands 15 PRIV15 group AAA-Servers
aaa authorization exec AUTHLIST group AAA-Servers
HTTPS 設定例
ip http server
ip http authentication aaa exec-authorization AUTHLIST
ip http authentication aaa command-authorization 1 PRIV1 ip http authentication aaa command-authorization 15 PRIV15 ip http authentication aaa login-authentication AUTH ip http secure-server
ip http secure-trustpoint TP-self-signed-2945720990
ip http client source-interface GigabitEthernet0/0
ip http client secure-trustpoint TP-self-signed-2945720990
コマンドは HTTP によって WAAS Express/APPNAV XE の CM によって動作します
これはリモートデバイスで動作できるそのコマンドのリスト中央マネージャ必要がありますです。
コンフィギュレーションモード CLI
do show running-config | section crypto pki trustpoint
crypto pki export
EXEC モード CLI
WAASX - ステータス
show waas token | format
show waas status | format
show waas alarms | format
show running-config | section hostname
show ip interface brief | format
show interfaces | include line protocol | Internet address | address is | *uplex
show running-config brief | include clock timezone
show clock
show crypto pki trustpoints | include Trustpoint
show inventory
WAASX - 設定
show parameter-map type waas waas_global | format
show class-map type waas | format
show policy-map type waas | format
write memory
WAASX - 統計情報
show waas statistics peer | format
show waas statistics application | format
show waas connection brief
show waas statistics accelerator http-express | format
show waas statistics accelerator http-express https | format
show waas statistics accelerator ssl-express | format
show waas statistics class | format
show waas statistics accelerator cifs-express detail | format
登録
registration
show waas status extended | format
AppNav XE
show service-insertion token | format
show service-insertion status | format
show class-map type appnav | format
show ip int br | format
show service-insertion service-context | format
show service-insertion service-node-group | format
show service-insertion statistics service-node-group | format
show policy-map type appnav | format
show policy-map target service-context | format
show service-insertion config service-context | format
show service-insertion config service-node-group | format
show service-insertion config appnav-controller-group | format
show service-insertion alarms | format
show ip access-list
show vrf
show running-config | section interface
show running-config | include service-insertion swap src-ip
トラブルシューティング
端デバイスの不正確な AAA または HTTP 設定により登録およびステータスアップデート失敗で失敗を引き起こす場合があります。
注: 許可問題があればテストする最も簡単な方法はローカル WAAS ユーザ、ローカル AAA認証および ip http authentication ローカルを設定することです。 このテスト設定が機能すればそれは多分リモートユーザ コマンド許可においての問題があることを意味します。
WAAS 中央マネージャ CLI
CM CLI からのリモートデバイスに ssh できることを確認して下さい。
#ssh <device-name>
CM の cms デバッグを有効に し、登録の間に cms.log および waasx-audit.log ファイルを検討しま、構成および統計情報収集を押し出します。
# debug cms waasx-regis
# debug cms router-config
# debug cms stats
(config)# logging disk priority 7
# cd errorlog
# type-tail cms.log follow
# type-tail waasx-audit.log follow
CM が WAAS Express か AppNav XE にコマンドを押さない場合の Log エントリ例。
05/27/2016 00:14:03.760 [I] cdm(RtrSync-40) Configuration commands failed on the device CeConfig_2875943/USNY25W39-R02. Not Taking backup of complete device configuration.
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001 Failed configuration commands are ...
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001
class-map type appnav match-any HTTPS
CLI:class-map type appnav match-any HTTPS
Status:8
Output:Command authorization failed.
ブラウザから HTTPS アクセスをテストして下さい
HTTP インターフェイスにログインできます。
https://<IP_ADDRESS>/level/15/exec/-/
それからセクションにコマンドを 入力して下さい。
はたらく例は invetory コマンドを示したものです
失敗の例はコンポーネント コマンドを示したものです
WAAS Express ルータのデバッグ
#debug AAA認証
うまく働くコマンド
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): user=waasx
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV service=shell
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd=show
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=vrf
Jul 5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=
Jul 5 07:09:19.365: AAA/AUTHOR (2935402750): Post authorization status = PASS_ADD
許可障害
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): user=waasx
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV service=shell
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd=show
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=inventory
Jul 5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=
Jul 5 07:08:32.685: AAA/AUTHOR (819547031): Post authorization status = FAIL