第6編
AccessDefender

AccessDefenderの動作状態の表示

AccessDefenderの動作状態を確認する方法を説明します。

認証済みクライアントおよび認証失敗クライアントの表示

show access-defender clientコマンドで、認証済みクライアントと、MAC認証に失敗してDiscard登録されたクライアントを確認できます。

認証済みクライアントと、Discard登録されたクライアントを確認する場合の表示例を以下に示します。

# show access-defender client
Total number of Clients           :    4 ...(1)
Total number of Discarded Clients :    1 ...(2)

   Codes: W = Web authentication, G = Gateway authentication,
          M = MAC authentication, - = MAC authentication (discard),
          X = IEEE802.1X, D(S) = DHCP snooping (static),
          S = Static authentication
    Port: C = port-channel, * = roaming,
(3) (4)               (5)                                       (6)   (7)  (8)
T   MAC address       IP                                        Port  VID  Cls
(9)                                                                (10)   (11)
User                                                               Time   Aging
-------------------------------------------------------------------------------
-   00-17-A4-F6-D3-04 0.0.0.0                                  1/0/3  200
0017a4f6d304                                                    0:00:21 0:00:00

WD  00-17-A4-D6-B3-A4 172.170.100.100                          1/0/1 4094   10
webuser01                                                       0:20:39 0:00:00

WM  00-17-A4-D6-F3-C4 172.170.1.1                              1/0/2 4094   10
webuser03                                                       0:20:39 0:00:15

G   N/A               2000:adb8:85a3:85a2:aba3:8a2e:a370:7334  1/0/5*4094   10
webuser02                                                         5d1hr 0:00:24

D   00-17-29-7F-6F-2A 172.170.2.100                              C/1  300
N/A                                                             0:00:36 0:00:00

各項目の説明は、以下のとおりです。

show access-defender clientコマンドの表示項目
項番説明
(1) 認証済みクライアントの数を表示します。
(2) MAC認証に失敗してDiscard登録されたクライアントの数を表示します。
(3) 認証済みクライアント、MAC認証に失敗してDiscard登録されたクライアントのタイプコードを表示します。タイプコードが複数ある場合は、そのクライアントがAND認証に成功したことを意味します。
W:Web認証
G:ゲートウェイ認証
M:MAC認証
-:MAC認証に失敗してDiscard登録されたクライアント
X:IEEE 802.1X認証
D:DHCPスヌーピング
S:スタティック認証
(4) クライアントのMACアドレスを表示します。
(5) クライアントのIPアドレスを表示します。
(6) クライアントが接続されたポート番号またはポートチャネル番号を表示します。
(7) クライアントが所属するVLAN IDを表示します。
(8) クライアントに関連付けられたクラスIDを表示します。クラスIDが関連付けられていない場合は表示されません。
(9) クライアントのユーザー名を表示します。
(10) クライアントが認証されてからの経過時間、MAC認証に失敗してDiscard登録されてからの経過時間を表示します。経過時間が10時間より短い場合には、(時):(分):(秒)という形式で表示され、10時間以上の場合には、(日)d(時)hrという形式で表示されます。
(11) 認証済みクライアントの無通信時間(最後に通信してからの経過時間)を表示します。経過時間が10時間より短い場合には、(時):(分):(秒)という形式で表示され、10時間以上の場合には、(日)d(時)hrという形式で表示されます。

認証拒否クライアントの表示

show access-defender denyコマンドで、認証拒否クライアントの情報を確認できます。

認証拒否クライアントの情報を確認する場合の表示例を以下に示します。

# show access-defender deny

Total number of Denied Clients    :   3 ...(1)
(2)               (3)                                     (4)
MAC address       IP                                      Timer
-------------------------------------------------------------------
00-00-11-11-22-22 -                                       0:29:04
-                 100.100.100.100                         0:29:04
-                 1111:2222:3333:4444:5555:6666:7777:8888 0:29:05

各項目の説明は、以下のとおりです。

show access-defender denyコマンドの表示項目
項番説明
(1) 認証拒否クライアントの数を表示します。
(2) 認証拒否クライアントのMACアドレスを表示します。
(3) 認証拒否クライアントのIPアドレスを表示します。
(4) 認証拒否クライアントの、認証を拒否する残り時間を表示します。

AccessDefenderに関連するアクセスリストルールの使用状態の表示

show access-defender rule-statisticsコマンドで、AccessDefenderに関連するアクセスリストルールの使用状態を確認できます。

AccessDefenderに関連するアクセスリストルールの使用状態を確認する場合の表示例を以下に示します。

# show access-defender rule-statistics 

 Total Rules  : 768 ...(1)
 Unused Rules : 767 ...(2)
 Used Rules   :   1 ...(3)               (4)    (5)
                                         Rule   Client
              -----------------------------------------
               web-authentication           1        1
               web-authentication gateway   0        0
               mac-authentication           0        0
               static-authentication        0        0
               IEEE802.1X                   0        0
               DHCPv4 snooping              0        0
               DHCPv6 snooping              0        0
              -----------------------------------------

 Total Discard Rules  :  200 ...(6)
 Unused Discard Rules :  199 ...(7)
 Used Discard Rules   :    1 ...(8)      (9)    (10)
                                         Rule   Client
              -----------------------------------------
               Discarded MAC address        1        1
              -----------------------------------------

 Total VFP Rules         : 1024 ...(11)
 Unused VFP Rules        : 1024 ...(12)
 Authorization VFP Rules :    0 ...(13)

各項目の説明は、以下のとおりです。

show access-defender rule-statisticsコマンドの表示項目
項番説明
(1) ルール数を表示します。
(2) 未使用のルール数を表示します。
(3) 使用済みルール数を表示します。
(4) 認証機能ごとのルール数を表示します。
(5) 認証機能ごとのクライアント数を表示します。
(6) Discardクライアント用のルール数を表示します。
(7) 未使用のDiscardクライアント用のルール数を表示します。
(8) 使用済みのDiscardクライアント用のルール数を表示します。
(9) MAC認証に失敗してDiscard登録されたクライアント用のルール数を表示します。
(10) MAC認証に失敗してDiscard登録されたクライアント数を表示します。
(11) VFPテーブルのルール数を表示します。
(12) 未使用のVFPルール数を表示します。
(13) 使用済みのVFPルール数を表示します。VFPルールはクラスIDを使用すると消費します。

ページトップへ