EAP フレームワークと AAA マネージャが原因の、dot1x/Mab のスイッチにおける高 CPU 使用率のトラブルシューティング

ダウンロード オプション

  • PDF     (213.9 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (92.1 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (80.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2016 年 4 月 4 日
Document ID:200372

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Extensible Authentication Protocol(EAP)フレームワークおよびAuthentication, Authorization, and Accounting(AAA)マネージャによるHigh CPU/メモリ(HRAM)のトラブルシューティング方法について説明します。これは、dot1x/mab認証を使用するスイッチで発生します。

背景説明

Cisco IOS Auth Managerはネットワーク認証要求を処理し、認証方式に関係なく認証ポリシーを適用します。認証マネージャは、すべてのポートベースのネットワーク接続試行、認証、許可、および切断の運用データを保持し、セッションマネージャとして機能します。

スイッチは、クライアントと認証サーバの間の仲介(プロキシ)として機能し、クライアントからID情報を要求し、その情報を認証サーバで確認し、クライアントへの応答を中継します。スイッチにはRADIUSクライアントが含まれ、RADIUSクライアントはEAPフレームをカプセル化およびカプセル化解除し、認証サーバと対話します。

コンフィギュレーション

このセクションでは、MAB/DOT1X(MAC AuthenticationBypass)認証を行うシスコスイッチを示します。

ポートベースのネットワークアクセスコントロールの概念を理解し、シスコプラットフォームでポートベースのネットワークアクセスコントロールを設定する方法を理解しておく必要があります。この図は、dot1x/MAB認証を持つワークステーションを示しています。

設定例を次に示します。

interface FastEthernet0/8
 switchport access vlan 23
 switchport mode access
 switchport voice vlan 42
 authentication host-mode multi-domain
 authentication order mab dot1x
 authentication priority mab dot1x---> Priority order 
 authentication port-control auto
 authentication periodic
 authentication timer reauthenticate <value in sec>---->(Time after which the client auth would be re-negotiated)
 authentication violation protect
 mab
 mls qos trust dscp
 dot1x pae authenticator
 dot1x timeout tx-period 3
 storm-control broadcast level 2.00
 no cdp enable
 spanning-tree portfast
 spanning-tree bpduguard enable
 service-policy input Marking
end
[an error occurred while processing this directive]

トラブルシュート

dot1x/MAB認証を使用するスイッチでは、EAPフレームワークとAAAマネージャが原因で、CPUとメモリの使用率が高くなることがあります。これは、認証要求がドロップされるため、実稼働に影響を与える可能性があります。

これを解決するには、次の手順を実行することを推奨します。

ステップ1:show proc cpu sortコマンドを入力して、スイッチのCPU使用率が高いことを確認し、次の例に示すようにEAP FrameworkプロセスとAuth managerプロセスの使用率が最も高いことを確認します。

PU utilization for five seconds: 
97%
 
/2%; one minute: 90%; five minutes: 89%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
149   178566915 140683416       1269 
64.04% 47.11% 45.63%   0 EAP Framework
 
141   130564594  55418491       2355 
21.61% 29.05% 29.59%   0 Auth Manager
 
121   305295906 487695245        519  1.74%  1.84%  1.78%   0 Hulc LED Process
144    12070918  31365536        384  0.63%  0.43%  0.49%   0 MAB Framework
258   117344878 885817567        132  0.47%  0.79%  0.86%   0 RADIUS
[an error occurred while processing this directive]

ステップ2:次の例に示すように、show process cpu memoryコマンドを使用して、Auth ManagerやRADIUSなどのプロセスについて、スイッチのメモリ使用量を確認します。

Processor Pool Total:   22559064 Used:   16485936 Free:    6073128
      I/O Pool Total:    4194304 Used:    2439944 Free:    1754360
Driver te Pool Total:    1048576 Used:         40 Free:    1048536

PID TTY  Allocated      Freed    Holding    Getbufs    Retbufs Process
   0   0   29936164   13273256   13856236          0          0 *Init*
   0   0   34797632   32603736    1091560    2481468     263240 *Dead*
  59   0     366860       6760     317940          0          0 Stack Mgr Notifi
141   0 
 569580564 3357129696
 
174176    2986956
 
          0 
Auth Manager
 
258   0 
1212276148 2456764884     140684   21066696
 
          0 
RADIUS
 
131   0  552345134 541235441      90736      20304          0 HRPC qos reque
[an error occurred while processing this directive]

ステップ3:スイッチでリソースの使用率が高い場合は、次に示すように認証失敗のログが表示されることがあります。

show logging コマンドを入力します。

%DOT1X-5-FAIL: Authentication failed for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-RESULT: 
Authentication result 'no-response'
 
 from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
%AUTHMGR-7-FAILOVER: Failing over from 'dot1x' for client (7446.a04b.1495) on Interface Fa0/17 AuditSessionID 0A73340200000224870C28AA
[an error occurred while processing this directive]

ステップ4:再認証タイマーを高い値(たとえば、3600秒)に設定して、クライアントの認証が頻繁に行われないようにします。これにより、スイッチの負荷が増大します。

設定を検証するには、show run interface <interface-name>コマンドを入力します。

interface FastEthernet0/8
switchport access vlan 23
switchport mode access
switchport voice vlan 42
authentication host-mode multi-domain
authentication order mab dot1x
authentication priority mab dot1x
authentication port-control auto
authentication periodic
authentication timer reauthenticate 60---------->Make sure we do not have any
 
 aggressive timers set
authentication violation protect
[an error occurred while processing this directive]

ステップ5:MAB/dot1xプロセスに対して表示されるセッション数を決定します。認証済みセッションの数が多くなると、CPUの使用率が高くなることがあります。アクティブセッションの数を確認するには、次のコマンドを入力します。

SW#
show authentication registrations
 
Auth Methods registered with the Auth Manager:
  Handle  Priority  Name
    100       0      dot1x
    3        1      mab
    1        2      webauth


SW#Show authentication method dot1x
 
SW#Show authentication method mab

SW#Show authentication sessions
 [an error occurred while processing this directive]

ステップ6:バージョンと潜在的なバグを確認するには、show versionコマンドを入力

このバグが「バグ」セクションに記載されていない場合は、Technical Assistance Center(TAC)でケースをオープンし、ステップ1 ~ 5のすべてのログを添付してください。

バグ

CSCus46997 IP Host Track and Auth ManagerのメモリリークとCPU高使用率

CSCtz06177 Catalyst 2960のメモリが不足している可能性があります。

CSCty49762 EAP FrameworkとAAA AttrLサブがすべてのプロセスメモリを使用 

ヒント:詳細については、Cisco Bug ID CSCus46997CSCtz06177、およびCSCty49762を参照してください。

TAC Authored

シスコ エンジニア提供

  • Aditya Ganjoo
    Cisco TACエンジニア

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ