Cisco WLC bên ngoài WebAuth Hành vi ngẫu nhiên rõ ràng

10

Trên Cisco 5508 v7.2.103.0, tôi có một vài mạng WLAN được định cấu hình. Gọi họ là ABC và XYZ vì câu hỏi này. ABC sử dụng 802.1X và được đẩy xuống một URL chuyển hướng trang giật gân. XYZ sử dụng PSK và sử dụng cấu hình bên ngoài WebAuth để đẩy URL chuyển hướng trang đăng nhập. Cả trang giật gân và trang đăng nhập đều được phục vụ dưới cùng một URL cơ sở (máy chủ web bên ngoài), chẳng hạn như http://webauth.example.com/Station.html và /login.html.

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

Tôi thấy những gì dường như là hành vi không nhất quán khi các URL chuyển hướng hiển thị trên thiết bị, trạng thái webauth / NAC RUN và khả năng thực sự truy cập Internet (hoặc không nhận được khi tôi cần).

Tôi hiểu trang đăng nhập yêu cầu chấp nhận (không yêu cầu tên người dùng) trước khi cho phép lưu lượng truy cập vượt qua và WLC chỉ phải nghĩ rằng trang giật gân đã được thiết bị nhìn thấy (không cần chấp nhận) để lưu lượng truy cập vào đây.

Tôi đã thấy hầu như tất cả các điều kiện có thể , nhưng các trường hợp lưu lượng giao thông không phải lúc nào cũng có ý nghĩa.

  1. Chuyển hướng trang Splash hoặc Đăng nhập xảy ra khi duyệt đến một URL văn bản đơn giản, không an toàn; webauth hiển thị Được xác thực với RUN trạng thái NAC, luồng lưu lượng. Đây là những gì dự kiến ​​sẽ xảy ra, nhưng không xảy ra thường xuyên.
  2. Chuyển hướng trang Splash hoặc Đăng nhập không xảy ra khi duyệt đến một URL văn bản đơn giản, không an toàn; webauth hiển thị Được xác thực bằng RUN trạng thái NAC, luồng lưu lượng (nhưng không nên sau khi xóa ứng dụng khách khỏi WLC để buộc chuyển hướng webauth không hiển thị).
  3. Chuyển hướng trang Splash hoặc Đăng nhập không xảy ra khi duyệt đến một URL văn bản đơn giản, không an toàn; webauth không được xác thực với WEBAUTH trạng thái NAC, lưu lượng truy cập (nhưng không nên).
  4. Chuyển hướng trang Splash hoặc Đăng nhập xảy ra khi duyệt đến một URL văn bản đơn giản, không an toàn; webauth hiển thị Không được xác thực với trạng thái NAC WEBAUTH, lưu lượng truy cập không lưu chuyển (nhưng nếu WEBAUTH được hiển thị là đã qua).
  5. Chuyển hướng trang Splash hoặc Đăng nhập không xảy ra khi duyệt đến một URL văn bản đơn giản, không an toàn; webauth không được xác thực với WEBAUTH trạng thái NAC, lưu lượng truy cập không lưu chuyển (như mong đợi).

Trong mọi trường hợp, chi tiết máy khách hiển thị URL chuyển hướng đã được đặt.
Trong hai trường hợp mọi thứ hoạt động như mong đợi với chuyển hướng, trạng thái web / chạy và lưu lượng truy cập (được cho phép hoặc bị từ chối), tôi không nghĩ rằng ACL là vấn đề. Không có gì khác đang bị đẩy xuống từ ACS ngoài URL chuyển hướng. Hai mạng WLAN được mã hóa thành các Vlan khác nhau.

Đây có thể là hành vi ngẫu nhiên hay đôi mắt của tôi chỉ đang giở trò đồi bại với tôi? Tôi thấy hành vi hơi khác nhau với các thiết bị khác nhau - một số ngẫu nhiên hơn, một số ít hơn.

Cách tiếp cận tốt nhất để thu hẹp vấn đề này là gì?

Cập nhật : DNS không phải là vấn đề. Khả năng tiếp cận IP chung ngẫu nhiên hoạt động trong trình duyệt. Bất kể trạng thái webauth (RUN vs WEBAUTH-REQD), đôi khi trình duyệt được thông qua và đôi khi không. . . Tôi có một ACL preauth khá tự do và một ACL khách . Tôi thậm chí đã thêm giấy phép bất kỳ / bất kỳ cho cả hai ACL không tạo ra sự khác biệt.

cisco  wireless 
Generalnetworkerror
nguồn
Tôi sẽ xem xét nó, vì tôi biết rằng một vài cài đặt đã sử dụng bộ điều khiển neo khách để làm những gì bạn muốn. Tôi cũng biết rằng một vài nơi tôi đã cố gắng sử dụng không dây theo cách tương tự cũng có vấn đề tương tự. Đôi khi nó không chuyển hướng, và đôi khi nó chỉ cho phép tôi! Tôi muốn nói rằng đó là một vấn đề phổ biến mặc dù.
Artanix
WLAN ABC dành cho nhân viên và sử dụng 802.1X. Chỉ WLAN XYZ dành cho khách sử dụng PSK và hiện không được neo vào bộ điều khiển khách. Tôi đã thực hiện các thử nghiệm với ACL mở rộng và vẫn có hành vi ngẫu nhiên tương tự.
generalnetworkerror
Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:

3

Tôi đã thấy những vấn đề tương tự hai lần trong quá khứ.

Lần đầu tiên, nó phải làm với độ phân giải DNS. Tôi đã thực hiện tra cứu DNS trên máy khách đang gặp sự cố và nhận ra rằng máy khách đó không có khả năng giải quyết URL mà tôi đang chuyển cho trang đăng nhập. Điều này là do tôi đã vượt qua một máy chủ DNS bên ngoài. Kiểm tra trước. Tôi đã giải quyết điều đó bằng cách chuyển IP trong URL, mặc dù bạn có thể tạo một tên hiệu phân giải thành 1.1.1.1.

Lần thứ hai, đó là một vấn đề chứng chỉ. Một số trình duyệt mặc định sẽ không hiển thị màn hình giật gân nếu người dùng phải chấp nhận chứng chỉ tự ký. Tôi sẽ kiểm tra bằng cách duyệt thủ công màn hình giật gân hoặc trang đăng nhập từ máy khách không tự động hiển thị.

Hy vọng một trong những người giúp bạn ra ngoài. Tôi biết rằng tôi đã sẵn sàng để nhổ tóc khi tôi thấy điều này lần đầu tiên.

Jonathan Davis
nguồn
Vui lòng không sử dụng 1.1.1.1. Đó là không gian địa chỉ được quảng cáo hợp lệ . Tôi biết Cisco vẫn sử dụng nó trong các ví dụ của họ, nhưng khi bạn sử dụng, bạn đang che giấu một số không gian địa chỉ của Google.
LapTop006
Đó là hành vi rõ ràng ngẫu nhiên cho cùng một khách hàng mà không có bất kỳ thay đổi nào đang giết chết tôi. Tôi đồng ý với @ LapTop006 rằng chúng ta không nên sử dụng 1.1.1.1. Tôi đã sử dụng tên DNS ánh xạ tới một addr riêng / 32.
generalnetworkerror
@JD nâng cấp. Tôi đang giữ tiền thưởng. Nếu anh ấy chấp nhận một câu trả lời, tôi sẽ thưởng tiền thưởng ở đó. Nếu không, bạn sẽ nhận được tiền thưởng cho nỗ lực. : ^)
Craig Constantine
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.