Зовнішня випадкова поведінка Cisco WLC WebAuth

У Cisco 5508 v7.2.103.0 у мене налаштовано пару бездротових мереж. Назвіть їх ABC та XYZ заради цього питання. ABC використовує 802.1X і отримує URL-адресу для переадресації сторінки, що переноситься, після натискання вниз XYZ використовує PSK і використовує зовнішню конфігурацію WebAuth для натискання URL-адреси для переадресації сторінки входу. І сторінки, і плеєр, і вхід подаються під однаковим базовим (зовнішнім веб-сервером) URL- адресом, таким як http://webauth.example.com/splash.html та /login.html.

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

Я бачу, як виглядає непослідовна поведінка, коли URL-адреси переспрямування відображаються на пристроях, стан webauth / NAC RUN та можливість фактично отримати доступ до Інтернету (або не отримати його, коли мені слід).

Я розумію, що сторінка входу вимагає прийняття (не потрібне ім’я користувача) перед тим, як дозволити пропуск трафіку, і WLC просто повинен думати, що пристрій переглядає сторінку сплеску (прийом не потрібен), щоб тут проходив трафік.

Я бачив практично всі можливі умови , але випадки, коли потоки руху не завжди мають сенс.

Перенаправлення на сторінку "Splash" або "Login" відбувається під час перегляду не захищеної URL-адреси в простому тексті; webauth показує Аутентифікований стан NAC RUN, потоки потоків. Це те, що очікується, що трапляється, але трапляється не часто.
Перенаправлення на заставку або сторінку входу не відбувається під час перегляду не захищеної, простотекстової URL-адреси; webauth показує Аутентифіковано стан NAC RUN, трафік протікає (але не повинен після вилучення клієнта з WLC, щоб змусити перенаправлення webauth, яке не відображалося).
Перенаправлення на заставку або сторінку входу не відбувається під час перегляду не захищеної URL-адреси в простому тексті; webauth не засвідчений автентичністю стану NAC WEBAUTH, трафік протікає (але не повинен).
Перенаправлення на сторінку "Splash" або "Login" відбувається під час перегляду не захищеної URL-адреси в простому тексті; webauth показує неаутентифікований стан NAC WEBAUTH, трафік не протікає (але повинен, якщо WEBAUTH було показано як пройдене).
Перенаправлення на заставку або сторінку входу не відбувається під час перегляду не захищеної URL-адреси в простому тексті; webauth не засвідчений автентичністю стану NAC WEBAUTH, трафік не протікає (як очікувалося).

У всіх випадках у деталях клієнта видно, що URL-адреса переспрямування була встановлена.
У двох випадках, коли все працювало так, як очікувалося, перенаправлення, стан webauth / run та потік трафіку (дозволено або заборонено), я не думаю, що це проблеми ACL. Більше нічого не витісняється з ACS, крім URL-адреси переспрямування. Дві локальні мережі (WLAN) жорстко кодуються до різних VLAN.

Чи може це бути випадковою поведінкою чи мої очі просто хитрують мене? Я бачив дещо іншу поведінку з різними пристроями - деякі більш випадкові, деякі менше.

Який найкращий підхід для усунення цієї проблеми?

Оновлення : проблема DNS не в цьому. Загальна доступність IP випадково працює в браузері. Незалежно від стану вебаута (RUN vs WEBAUTH-REQD), іноді браузер проходить, а іноді - ні. (Початкові запити завжди є звичайним текстовим HTTP.) Я навіть бачив регулярний трафік для не-веб-додатків, таких як SMTP, тому я дійсно думаю, що Webauth замислюється з цим, але я не бачу нічого очевидно неправильного . У мене є досить ліберальний прелентний ACL і гості ACL. Я навіть додав дозвіл будь-якого / будь-якого до обох ACL, що не змінило значення.

cisco wireless

— загальна мережевийпомилка
джерело

Я вивчу це, оскільки я знаю, що в декількох установках використовуються гостьові контролери якоря, щоб робити те, що ви хочете. Я також знаю, що в кількох місцях, які я намагався використовувати бездротовий зв’язок аналогічним чином, виникають однакові проблеми. Іноді вона не переспрямовує, а іноді просто впускає мене! Я б сказав, що це загальне питання.

— Артанікс

WLAN ABC призначений для співробітників і використовує 802.1X. Тільки WLAN XYZ призначений для гостей, які використовують PSK і наразі не прив’язаний до гостьового контролера. Я робив тести з преаутом ACL широко відкритим і все ще отримую однакову поведінку.

— загальна мережевийконтроль

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.

— Рон Моупін

У минулому я два рази бачив подібні проблеми.

Перший раз це стосувалося дозволу DNS. Я здійснив пошук DNS на клієнті, у якого виникли проблеми, і зрозумів, що клієнт не може вирішити URL-адресу, яку я передав для сторінки входу. Це було тому, що я проходив зовнішній DNS-сервер. Перевірте це спочатку. Я вирішив це, передавши IP-адресу в URL-адресу, хоча ви можете створити ім’я, яке дорівнює 1.1.1.1.

Вдруге це було питання видачі сертифікатів. Деякі браузери за замовчуванням не показуватимуть екран заставки, якщо користувач повинен прийняти сертифікат, який підписав самостійно. Я перевірив би це, переглядаючи вручну на екран сплеску або сторінку входу від клієнта, який не показує його автоматично.

Сподіваюся, один із них вам допоможе. Я знаю, що я був готовий витягнути волосся, коли побачив це вперше.

— Джонатан Девіс
джерело

Будь ласка, не використовуйте 1.1.1.1. Це діє рекламований адресний простір. Я знаю, що Cisco все ще використовує його у своїх прикладах, але коли ви користуєтесь ним, ви маскуєте частину адресного простору Google.

— LapTop006

Це, очевидно, випадкова поведінка для одного клієнта без будь-яких змін, що вбиває мене. Я погоджуюся з @ LapTop006, що ми не повинні використовувати 1.1.1.1. Я використав ім'я DNS, яке позначає приватний / 32 addr.

— загальна мережева операція

@JD схвалено. Я тримаю щедроту. Якщо він прийме відповідь, я присуджую там нагороду. Інакше ви отримаєте винагороду за зусилля. : ^)

— Крейг Костянтин