ลักษณะการทำงานภายนอกแบบสุ่มของ Cisco WLC ภายนอก


10

ในCisco 5508 v7.2.103.0 ฉันมี WLAN สองสามตัวที่กำหนดค่าไว้ เรียกพวกเขาว่า ABC และ XYZ เพราะคำถามนี้ ABC ใช้ 802.1X และรับ URL การเปลี่ยนเส้นทางหน้าสแปลชลง XYZ ใช้ PSK และใช้การตั้งค่าภายนอก WebAuth เพื่อส่ง URL การเปลี่ยนเส้นทางหน้าเข้าสู่ระบบ ทั้งหน้าสแปลชและล็อกอินให้บริการภายใต้ URL (เว็บเซิร์ฟเวอร์ภายนอก) เดียวกันเช่นhttp://webauth.example.com/splash.htmlและ /login.html

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

ฉันเห็นสิ่งที่ดูเหมือนจะมีพฤติกรรมที่ไม่สอดคล้องกันเมื่อ URL การเปลี่ยนเส้นทางแสดงบนอุปกรณ์สถานะ webauth / NAC RUN และความสามารถในการเข้าถึงอินเทอร์เน็ตได้จริง (หรือไม่ได้รับเมื่อฉันควร)

ฉันเข้าใจว่าหน้าการเข้าสู่ระบบจำเป็นต้องได้รับการยอมรับ (ไม่จำเป็นต้องมีชื่อผู้ใช้) ก่อนที่จะอนุญาตการรับส่งข้อมูลและ WLC เพียงแค่คิดว่าอุปกรณ์สาดหน้าถูกเห็นโดยอุปกรณ์ (ไม่จำเป็นต้องยอมรับ)

ฉันได้เห็นสภาพทุกอย่างเป็นไปได้จริง แต่ในกรณีที่กระแสการจราจรไม่เหมาะสม

  1. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย RUN สถานะ NAC กระแสการจราจร นี่คือสิ่งที่คาดว่าจะเกิดขึ้น แต่ไม่เกิดขึ้นบ่อยครั้ง
  2. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย NAC สถานะ RUN การรับส่งข้อมูล (แต่ไม่ควรหลังจากลบไคลเอ็นต์ออกจาก WLC เพื่อบังคับให้เปลี่ยนเส้นทาง webauth ซึ่งไม่แสดง)
  3. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH กระแสการจราจร (แต่ไม่ควร)
  4. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงว่าไม่ผ่านการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (แต่ควรแสดงว่า WEBAUTH แสดงว่าผ่านไปแล้ว)
  5. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (ตามที่คาดไว้)

ในทุกกรณีรายละเอียดลูกค้าจะแสดง URL การเปลี่ยนเส้นทางที่ตั้งค่าไว้
ในสองกรณีที่ทุกอย่างทำงานได้อย่างที่คาดไว้กับการเปลี่ยนเส้นทาง, webauth / run และการไหลของข้อมูล (การอนุญาตหรือปฏิเสธ) ฉันไม่คิดว่า ACL เป็นปัญหา ไม่มีสิ่งใดถูกผลักลงมาจาก ACS นอกเหนือจาก URL การเปลี่ยนเส้นทาง WLAN สองตัวถูกฮาร์ดโค้ดให้เป็น VLAN ที่แตกต่างกัน

นี่อาจเป็นพฤติกรรมแบบสุ่มหรือตาของฉันก็แค่เล่นกลกับฉัน ฉันเห็นพฤติกรรมที่แตกต่างกันเล็กน้อยกับอุปกรณ์ที่แตกต่างกัน - บางแบบสุ่มมากขึ้นบางคนก็น้อยลง

อะไรคือวิธีที่ดีที่สุดในการ จำกัด ปัญหานี้ให้แคบลง?

อัปเดต : DNS ไม่ใช่ปัญหา ความสามารถในการเข้าถึง IP ทั่วไปทำงานแบบสุ่มในเบราว์เซอร์ ไม่คำนึงถึงสถานะ webauth (RUN กับ WEBAUTH-REQD) บางครั้งเบราว์เซอร์จะผ่านและบางครั้งก็ไม่ (คำขอเริ่มต้นมักเป็น HTTP แบบข้อความล้วน ๆ ) ฉันเคยเห็นทราฟฟิกที่ผ่านเข้ามาสำหรับแอพที่ไม่ใช่เว็บเช่น SMTP ดังนั้นฉันคิดว่า Webauth กำลังล้อเล่นกับเรื่องนี้ แต่ฉันไม่เห็นอะไรผิดปกติอย่างชัดเจน . ฉันมีACL preauthที่ค่อนข้างเป็นธรรมและแขก ACL ฉันได้เพิ่มใบอนุญาตใด ๆ / ทั้ง ACLs ที่ไม่ได้สร้างความแตกต่าง


ฉันจะดูมันเพราะฉันรู้ว่าการติดตั้งเพียงไม่กี่ตัวนั้นใช้ตัวควบคุมสมอแขกเพื่อทำสิ่งที่คุณต้องการ ฉันยังรู้ว่ามีบางสถานที่ที่ฉันพยายามใช้ระบบไร้สายในลักษณะที่คล้ายกันมีปัญหาเดียวกัน บางครั้งมันไม่เปลี่ยนเส้นทางและบางครั้งมันก็ช่วยให้ฉันเปิด! ฉันว่ามันเป็นปัญหาทั่วไป
Artanix

WLAN ABC สำหรับพนักงานและใช้ 802.1X เฉพาะ WLAN XYZ สำหรับผู้เข้าพักที่ใช้ PSK และปัจจุบันยังไม่ได้รับการติดตั้งกับคอนโทรลเลอร์ของแขก ฉันได้ทำการทดสอบด้วยการเปิดกว้าง ACL ล่วงหน้าแล้วและยังคงได้รับพฤติกรรมแบบเดิม
Generalnetworkerror

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


3

ฉันเคยเห็นปัญหาที่คล้ายกันสองครั้งในอดีต

ครั้งแรกนั้นเกี่ยวข้องกับการแก้ไข DNS ฉันทำการค้นหา DNS บนไคลเอนต์ที่มีปัญหาและตระหนักว่าไคลเอนต์ไม่สามารถแก้ไข URL ที่ฉันผ่านสำหรับหน้าเข้าสู่ระบบ นั่นเป็นเพราะฉันผ่านเซิร์ฟเวอร์ DNS ภายนอก ตรวจสอบก่อน ฉันแก้ไขได้โดยส่ง IP ใน URL แม้ว่าคุณจะสามารถสร้าง cname ที่เปลี่ยนเป็น 1.1.1.1

ครั้งที่สองมันเป็นปัญหาใบรับรอง เบราว์เซอร์เริ่มต้นบางตัวจะไม่แสดงหน้าจอเริ่มต้นหากผู้ใช้ต้องยอมรับใบรับรองที่ลงชื่อด้วยตนเอง ฉันจะทดสอบว่าด้วยการเรียกดูหน้าจอเริ่มต้นหรือหน้าเข้าสู่ระบบด้วยตนเองจากไคลเอนต์ที่ไม่แสดงโดยอัตโนมัติ

หวังว่าหนึ่งในนั้นจะช่วยให้คุณออก ฉันรู้ว่าฉันพร้อมที่จะดึงผมออกมาเมื่อฉันเห็นสิ่งนี้เป็นครั้งแรก


โปรดอย่าใช้ 1.1.1.1 มันเป็นพื้นที่ที่อยู่โฆษณาที่ถูกต้อง ฉันรู้ว่า Cisco ยังคงใช้มันในตัวอย่างของพวกเขา แต่เมื่อคุณใช้คุณจะปิดบังพื้นที่ที่อยู่ของ Google
LapTop006

เห็นได้ชัดว่ามันเป็นพฤติกรรมแบบสุ่มสำหรับลูกค้ารายเดียวกันโดยไม่มีการเปลี่ยนแปลงใด ๆ ฉันเห็นด้วยกับ @ LapTop006 ว่าเราไม่ควรใช้ 1.1.1.1 ฉันใช้ชื่อ DNS ที่แมปไปยังส่วนบุคคล / 32 addr
Generalnetworkerror

@JD upvoted ฉันถือรางวัล หากเขายอมรับคำตอบฉันจะให้รางวัลที่นั่น มิฉะนั้นคุณจะได้รับรางวัลสำหรับความพยายาม : ^)
Craig Constantine
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.