上のCisco 5508 v7.2.103.0、私は設定されているWLANのカップルを持っています。この質問のために、それらをABCおよびXYZと呼びます。ABCは802.1Xを使用し、スプラッシュページのリダイレクトURLをプッシュダウンします。XYZはPSKを使用し、WebAuth外部設定を使用してログインページのリダイレクトURLをプッシュします。スプラッシュページとログインページの両方が、http: //webauth.example.com/splash.htmlや/login.html などの同じベース(外部Webサーバー)URLの下で提供されます。
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
リダイレクトURLがデバイスに表示されたときに一貫性のない動作のように見えるもの、webauth / NAC RUN状態、および実際にインターネットアクセスを取得する(または必要なときに取得しない)機能が表示されます。
ログインページはトラフィックの通過を許可する前に承認が必要(ユーザー名は不要)であり、WLCはトラフィックがここに流れるためにスプラッシュページがデバイスによって認識された(承認は不要)と考えるだけでよいことを理解しています。
私は事実上すべての状態を考えてきましたが、トラフィックフローが常に意味をなすわけではありません。
- 安全でないプレーンテキストのURLを参照すると、スプラッシュページまたはログインページのリダイレクトが発生します。webauthは、NAC状態RUNで認証済み、トラフィックフローを示します。これは予想されることですが、頻繁には起こりません。
- 安全でないプレーンテキストのURLを参照する場合、スプラッシュまたはログインページのリダイレクトは発生しません。webauthはAuthenticated with NAC state RUN、トラフィックフローを表示します(ただし、WLCからクライアントを削除して、表示されなかったwebauthリダイレクトを強制する必要はありません)。
- 安全でないプレーンテキストのURLを閲覧する場合、スプラッシュまたはログインページのリダイレクトは発生しません。NAC状態WEBAUTHで認証されていないwebauth、トラフィックフロー(ただし、認証されません)。
- 安全でないプレーンテキストのURLを参照すると、スプラッシュページまたはログインページのリダイレクトが発生します。webauthはNAC状態WEBAUTHで非認証を示し、トラフィックは流れません(ただし、WEBAUTHが渡されたと表示された場合は、そうする必要があります)。
- 安全でないプレーンテキストのURLを閲覧する場合、スプラッシュまたはログインページのリダイレクトは発生しません。NAC状態WEBAUTHで認証されていないwebauth、トラフィックは流れません(期待どおり)。
すべての場合において、クライアントの詳細には、リダイレクトURLが設定されたことが示されます。
すべてがリダイレクト、webauth / run状態、およびトラフィックフロー(許可または拒否)で期待どおりに機能した2つのケースでは、ACLは問題ではないと思います。リダイレクトURL以外は、ACSからプッシュダウンされません。2つのWLANは異なるVLANにハードコードされています。
これはランダムな動作ですか、それとも私の目は私に悪戯をしているだけですか?デバイスによって動作がわずかに異なります。ランダムなものもあれば、少ないものもあります。
この問題を絞り込むための最良の方法は何ですか?
アップデート:DNSは問題ではありません。一般的なIP到達可能性は、ブラウザーでランダムに機能します。WebAuthの状態(RUN対WEBAUTH-REQD)に関係なく、ブラウザーが通過する場合と通過しない場合があります。(最初のリクエストは常にプレーンテキストHTTPです。)SMTPなどの非Webアプリで通常のトラフィックが通過することさえ確認したので、Webauthがこれに干渉していると本当に思っていますが、明らかに問題はありません。 。私はかなり自由な事前認証 ACLとゲスト ACL を持っています。私は違いを作らなかった両方のACLに許可any / anyを追加しました。