Cisco WLC外部WebAuthの見かけ上のランダムな動作


10

のCisco 5508 v7.2.103.0、私は設定されているWLANのカップルを持っています。この質問のために、それらをABCおよびXYZと呼びます。ABCは802.1Xを使用し、スプラッシュページのリダイレクトURLをプッシュダウンします。XYZはPSKを使用し、WebAuth外部設定を使用してログインページのリダイレクトURLをプッシュします。スプラッシュページとログインページの両方が、http: //webauth.example.com/splash.htmlや/login.html などの同じベース(外部Webサーバー)URLの下で提供されます。

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

リダイレクトURLがデバイスに表示されたときに一貫性のない動作のように見えるもの、webauth / NAC RUN状態、および実際にインターネットアクセスを取得する(または必要なときに取得しない)機能が表示されます。

ログインページはトラフィックの通過を許可する前に承認が必要(ユーザー名は不要)であり、WLCはトラフィックがここに流れるためにスプラッシュページがデバイスによって認識された(承認は不要)と考えるだけでよいことを理解しています。

私は事実上すべての状態を考えてきましたが、トラフィックフローが常に意味をなすわけではありません。

  1. 安全でないプレーンテキストのURLを参照すると、スプラッシュページまたはログインページのリダイレクトが発生します。webauthは、NAC状態RUNで認証済み、トラフィックフローを示します。これは予想されることですが、頻繁には起こりません。
  2. 安全でないプレーンテキストのURLを参照する場合、スプラッシュまたはログインページのリダイレクトは発生しません。webauthはAuthenticated with NAC state RUN、トラフィックフローを表示します(ただし、WLCからクライアントを削除して、表示されなかったwebauthリダイレクトを強制する必要はありません)。
  3. 安全でないプレーンテキストのURLを閲覧する場合、スプラッシュまたはログインページのリダイレクトは発生しません。NAC状態WEBAUTHで認証されていないwebauth、トラフィックフロー(ただし、認証されません)。
  4. 安全でないプレーンテキストのURLを参照すると、スプラッシュページまたはログインページのリダイレクトが発生します。webauthはNAC状態WEBAUTHで非認証を示し、トラフィックは流れません(ただし、WEBAUTHが渡されたと表示された場合は、そうする必要があります)。
  5. 安全でないプレーンテキストのURLを閲覧する場合、スプラッシュまたはログインページのリダイレクトは発生しません。NAC状態WEBAUTHで認証されていないwebauth、トラフィックは流れません(期待どおり)。

すべての場合において、クライアントの詳細には、リダイレクトURLが設定されたことが示されます。
すべてがリダイレクト、webauth / run状態、およびトラフィックフロー(許可または拒否)で期待どおりに機能した2つのケースでは、ACLは問題ではないと思います。リダイレクトURL以外は​​、ACSからプッシュダウンされません。2つのWLANは異なるVLANにハードコードされています。

これはランダムな動作ですか、それとも私の目は私に悪戯をしているだけですか?デバイスによって動作がわずかに異なります。ランダムなものもあれば、少ないものもあります。

この問題を絞り込むための最良の方法は何ですか?

アップデート:DNSは問題ではありません。一般的なIP到達可能性は、ブラウザーでランダムに機能します。WebAuthの状態(RUN対WEBAUTH-REQD)に関係なく、ブラウザーが通過する場合と通過しない場合があります。(最初のリクエストは常にプレーンテキストHTTPです。)SMTPなどの非Webアプリで通常のトラフィックが通過することさえ確認したので、Webauthがこれに干渉していると本当に思っていますが、明らかに問題はありません。 。私はかなり自由な事前認証 ACLとゲスト ACL を持っています。私は違いを作らなかった両方のACLに許可any / anyを追加しました。


いくつかのインストールでは、ゲストアンカーコントローラーを使用して必要な処理を行っていることがわかっているので、これを調べます。同様の方法でワイヤレスを使用しようとしたいくつかの場所に同じ問題があることも知っています。リダイレクトされない場合もあれば、許可される場合もあります。しかし、それは一般的な問題だと思います。
Artanix 2013年

WLAN ABCは従業員向けで、802.1Xを使用しています。WLAN XYZのみがPSKを使用するゲスト用であり、現在ゲストコントローラーにアンカーされていません。私はpreauth ACLをワイドオープンでテストしましたが、それでも同じランダムな動作が得られます。
generalnetworkerror 2013年

何か回答がありましたか?もしそうなら、質問が永遠にポップアップし続けないように答えを受け入れ、答えを探します。または、独自の回答を提供して受け入れることもできます。
Ron Maupin

回答:


3

私は過去に2回同様の問題を見たことがあります。

初めて、それはDNS解決と関係がありました。問題が発生しているクライアントでDNSルックアップを実行したところ、クライアントがログインページに渡すURLを解決できないことに気付きました。これは、外部DNSサーバーを渡していたためです。最初に確認してください。URLでIPを渡すことで解決しましたが、1.1.1.1に解決されるcnameを作成することもできます。

2回目は、証明書の問題でした。ユーザーが自己署名証明書を受け入れる必要がある場合、一部のデフォルトのブラウザーはスプラッシュ画面を表示しません。自動的に表示されないクライアントからスプラッシュスクリーンまたはログインページを手動で参照してテストします。

それらのいずれかがあなたを助けることを願っています。これを初めて見たとき、髪を抜く準備ができていたことを知っています。


1.1.1.1は使用しないでください。アドバタイズされた有効なアドレススペースです。シスコは今でも例でそれを使用していますが、それを使用すると、Googleのアドレス空間の一部がマスクされます。
LapTop006 2013年

私を殺しているのは、変更のない同じクライアントの明らかにランダムな動作です。私は、1.1.1.1を使用すべきではないという@ LapTop006に同意します。プライベートの/ 32アドレスにマップするDNS名を使用しました。
generalnetworkerror 2013年

@JD賛成。私は賞金を握っています。彼が答えを受け入れると、賞金が授与されます。それ以外の場合は、努力の報奨金を取得します。:^)
クレイグコンスタンティン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.