第6編
AccessDefender

AccessDefenderの動作状態の表示

AccessDefenderの動作状態を確認する方法を説明します。

認証済みクライアントおよび認証失敗クライアントの表示

show access-defender clientコマンドで、認証済みクライアントと、MAC認証に失敗してDiscard登録されたクライアントを確認できます。

表示例を以下に示します。

# show access-defender client
Total number of Clients           :    4 ...(1)
Total number of Discarded Clients :    1 ...(2)

   Codes: W = Web authentication, G = Gateway authentication,
          M = MAC authentication, - = MAC authentication (discard),
          X = IEEE802.1X, D(S) = DHCP snooping (static),
          S = Static authentication
    Port: C = port-channel, * = roaming,
(3) (4)               (5)                                       (6)   (7)  (8)
T   MAC address       IP                                        Port  VID  Cls
(9)                                                                (10)   (11)
User                                                               Time   Aging
-------------------------------------------------------------------------------
-   00-17-A4-F6-D3-04 0.0.0.0                                  1/0/3  200
0017a4f6d304                                                    0:00:21 0:00:00

WD  00-17-A4-D6-B3-A4 172.170.100.100                          1/0/1 4094   10
webuser01                                                       0:20:39 0:00:00

WM  00-17-A4-D6-F3-C4 172.170.1.1                              1/0/2 4094   10
webuser03                                                       0:20:39 0:00:15

G   N/A               2000:adb8:85a3:85a2:aba3:8a2e:a370:7334  1/0/5*4094   10
webuser02                                                         5d1hr 0:00:24

D   00-17-29-7F-6F-2A 172.170.2.100                              C/1  300
N/A                                                             0:00:36 0:00:00

各項目の説明は、以下のとおりです。

show access-defender clientコマンドの表示項目
項番説明
(1) 認証済みクライアントの数を表示します。
(2) MAC認証に失敗してDiscard登録されたクライアントの数を表示します。
(3) 認証済みクライアント、MAC認証に失敗してDiscard登録されたクライアントのタイプコードを表示します。タイプコードが複数ある場合は、そのクライアントがAND認証に成功したことを意味します。
  • W:Web認証
  • G:ゲートウェイ認証
  • M:MAC認証
  • -:MAC認証に失敗してDiscard登録されたクライアント
  • X:IEEE 802.1X認証
  • D:DHCPスヌーピング
  • S:スタティック認証
(4) クライアントのMACアドレスを表示します。
(5) クライアントのIPアドレスを表示します。
(6) クライアントが接続されたポート番号またはポートチャネル番号を表示します。
(7) クライアントが所属するVLAN IDを表示します。
(8) クライアントに関連付けられたクラスIDを表示します。クラスIDが関連付けられていない場合は表示されません。
(9) クライアントのユーザー名を表示します。
(10) クライアントが認証されてからの経過時間、MAC認証に失敗してDiscard登録されてからの経過時間を表示します。経過時間が10時間より短い場合は(時):(分):(秒)形式で表示され、10時間以上の場合は(日)d(時)hr形式で表示されます。
(11) 認証済みクライアントの無通信時間(最後に通信してからの経過時間)を表示します。経過時間が10時間より短い場合は(時):(分):(秒)形式で表示され、10時間以上の場合は(日)d(時)hr形式で表示されます。

認証拒否クライアントの表示

show access-defender denyコマンドで、認証拒否クライアントの情報を確認できます。

表示例を以下に示します。

# show access-defender deny

Total number of Denied Clients    :   3 ...(1)
(2)               (3)                                     (4)
MAC address       IP                                      Timer
-------------------------------------------------------------------
00-00-11-11-22-22 -                                       0:29:04
-                 100.100.100.100                         0:29:04
-                 1111:2222:3333:4444:5555:6666:7777:8888 0:29:05

各項目の説明は、以下のとおりです。

show access-defender denyコマンドの表示項目
項番説明
(1) 認証拒否クライアントの数を表示します。
(2) 認証拒否クライアントのMACアドレスを表示します。
(3) 認証拒否クライアントのIPアドレスを表示します。
(4) 認証拒否クライアントの、認証を拒否する残り時間を表示します。

AccessDefenderに関連するアクセスリストルールの使用状態の表示

show access-defender rule-statisticsコマンドで、AccessDefenderに関連するアクセスリストルールの使用状態を確認できます。

表示例を以下に示します。

# show access-defender rule-statistics 

 Total Rules  : 768 ...(1)
 Unused Rules : 767 ...(2)
 Used Rules   :   1 ...(3)               (4)    (5)
                                         Rule   Client
              -----------------------------------------
               web-authentication           1        1
               web-authentication gateway   0        0
               mac-authentication           0        0
               static-authentication        0        0
               IEEE802.1X                   0        0
               DHCPv4 snooping              0        0
               DHCPv6 snooping              0        0
              -----------------------------------------

 Total Discard Rules  :  200 ...(6)
 Unused Discard Rules :  199 ...(7)
 Used Discard Rules   :    1 ...(8)      (9)    (10)
                                         Rule   Client
              -----------------------------------------
               Discarded MAC address        1        1
              -----------------------------------------

 Total VFP Rules         : 1024 ...(11)
 Unused VFP Rules        : 1024 ...(12)
 Authorization VFP Rules :    0 ...(13)

各項目の説明は、以下のとおりです。

show access-defender rule-statisticsコマンドの表示項目
項番説明
(1) ルール数を表示します。
(2) 未使用のルール数を表示します。
(3) 使用済みルール数を表示します。
(4) 認証機能ごとのルール数を表示します。
(5) 認証機能ごとのクライアント数を表示します。
(6) Discardクライアント用のルール数を表示します。
(7) 未使用のDiscardクライアント用のルール数を表示します。
(8) 使用済みのDiscardクライアント用のルール数を表示します。
(9) MAC認証に失敗してDiscard登録されたクライアント用のルール数を表示します。
(10) MAC認証に失敗してDiscard登録されたクライアント数を表示します。
(11) VFPテーブルのルール数を表示します。
(12) 未使用のVFPルール数を表示します。
(13) 使用済みのVFPルール数を表示します。VFPルールはクラスIDを使用すると消費します。

ページトップへ