Cisco WLC External WebAuth Comportamiento aleatorio aparente

10

En Cisco 5508 v7.2.103.0, tengo un par de WLAN configuradas. Llámalos ABC y XYZ por el bien de esta pregunta. ABC utiliza 802.1X y obtiene una URL de redireccionamiento de la página de inicio empujada hacia abajo. XYZ usa PSK y usa la configuración externa de WebAuth para enviar una URL de redireccionamiento de la página de inicio de sesión. Tanto las páginas de inicio como las de inicio de sesión se sirven bajo la misma URL base (servidor web externo) como http://webauth.example.com/splash.html y /login.html.

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

Veo lo que parece ser un comportamiento inconsistente cuando las URL de redireccionamiento se muestran en los dispositivos, el estado webauth / NAC RUN y la capacidad de obtener acceso a Internet (o no obtenerlo cuando debería).

Entiendo que la página de inicio de sesión requiere aceptación (no se requiere nombre de usuario) antes de permitir que pase el tráfico y el WLC simplemente tiene que pensar que el dispositivo vio la página de bienvenida (no es necesaria la aceptación) para que el tráfico fluya aquí.

He visto prácticamente todas las condiciones posibles , pero los casos en que el tráfico fluye no siempre tienen sentido.

  1. La redirección de página de inicio o inicio de sesión se produce al navegar a una URL de texto plano no segura; webauth muestra Authenticated with NAC state RUN, flujos de tráfico. Esto es lo que se espera que suceda, pero no sucede a menudo.
  2. La redirección de página de inicio o inicio de sesión no se produce cuando se navega a una URL de texto plano no segura; webauth muestra Authenticated with NAC state RUN, flujos de tráfico (pero no debería después de eliminar al cliente de WLC para forzar la redirección de webauth que no se mostró).
  3. La redirección de página de inicio o inicio de sesión no se produce al navegar a una URL de texto plano no segura; webauth no autenticado con el estado NAC WEBAUTH, el tráfico fluye (pero no debería).
  4. La redirección de página de inicio o inicio de sesión se produce al navegar a una URL de texto plano no segura; webauth muestra Sin autenticar con WEACUTH del estado NAC, el tráfico no fluye (pero debería si WEBAUTH se muestra como aprobado).
  5. La redirección de página de inicio o inicio de sesión no se produce al navegar a una URL de texto plano no segura; webauth no autenticado con el estado NAC WEBAUTH, el tráfico no fluye (como se esperaba).

En todos los casos, los detalles del cliente muestran que se configuró la URL de redireccionamiento.
En los dos casos en que todo funcionó como se esperaba con la redirección, el estado de Webauth / Run y ​​el flujo de tráfico (ya sea permitido o denegado), no creo que las ACL sean el problema. Nada más está siendo empujado hacia abajo desde ACS que no sea la URL de redireccionamiento. Las dos WLAN están codificadas en diferentes VLAN.

¿Podría ser un comportamiento aleatorio o mis ojos solo me están engañando? Vi un comportamiento ligeramente diferente con diferentes dispositivos, algunos más aleatorios, otros menos.

¿Cuál es el mejor enfoque para reducir este problema?

Actualización : DNS no es el problema. La accesibilidad general a IP funciona aleatoriamente en el navegador. Independientemente del estado de webauth (RUN vs WEBAUTH-REQD), a veces el navegador funciona y otras no. (Las solicitudes iniciales siempre son HTTP de texto sin formato). Incluso he visto tráfico regular para aplicaciones que no son web como SMTP, así que realmente estoy pensando que Webauth está molestando con esto, pero no veo nada obviamente malo . Tengo una ACL preautorizada que es bastante liberal y una ACL de invitados . Incluso he agregado el permiso any / any a ambas ACL que no hicieron la diferencia.

cisco  wireless 
generalnetworkerror
fuente
Lo examinaré, ya que sé que algunas instalaciones han utilizado controladores de anclaje invitados para hacer lo que quieres. También sé que pocos lugares en los que he tratado de usar la conexión inalámbrica de manera similar tienen los mismos problemas. ¡A veces no se redirige, y a veces solo me deja entrar! Sin embargo, diría que es un problema común.
Artanix
WLAN ABC es para empleados y utiliza 802.1X. Solo WLAN XYZ es para invitados que usan PSK y actualmente no está anclado a un controlador invitado. He realizado pruebas con la ACL previa a la autorización abierta y todavía obtengo el mismo comportamiento aleatorio.
generalnetworkerror
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

3

He visto problemas similares dos veces en el pasado.

La primera vez, tuvo que ver con la resolución de DNS. Realicé una búsqueda de DNS en un cliente que tenía problemas y me di cuenta de que el cliente no era capaz de resolver la URL que estaba pasando para la página de inicio de sesión. Esto fue porque estaba pasando un servidor DNS externo. Comprueba eso primero. Lo resolví pasando la IP en la URL, aunque podría crear un cname que se resuelva en 1.1.1.1.

La segunda vez, fue un problema de certificado. Algunos navegadores predeterminados no mostrarán la pantalla de inicio si el usuario debe aceptar un certificado autofirmado. Lo probaría navegando manualmente a la pantalla de inicio o la página de inicio de sesión desde un cliente que no lo muestra automáticamente.

Espero que uno de esos te ayude. Sé que estaba listo para arrancarme el pelo cuando vi esto por primera vez.

Jonathan Davis
fuente
Por favor, no use 1.1.1.1. Es un espacio de direcciones publicitado válido . Sé que Cisco todavía lo usa en sus ejemplos, pero cuando lo usas estás enmascarando parte del espacio de direcciones de Google.
LapTop006
Es el comportamiento aparentemente aleatorio para el mismo cliente sin ningún cambio lo que me está matando. Estoy de acuerdo con @ LapTop006 en que no debemos usar 1.1.1.1. Usé un nombre DNS que se asigna a una dirección privada / 32.
generalnetworkerror
@JD votó positivamente. Estoy sosteniendo la recompensa. Si acepta una respuesta, le otorgaré la recompensa allí. De lo contrario, obtendrá la recompensa por el esfuerzo. : ^)
Craig Constantine
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.