ในCisco 5508 v7.2.103.0 ฉันมี WLAN สองสามตัวที่กำหนดค่าไว้ เรียกพวกเขาว่า ABC และ XYZ เพราะคำถามนี้ ABC ใช้ 802.1X และรับ URL การเปลี่ยนเส้นทางหน้าสแปลชลง XYZ ใช้ PSK และใช้การตั้งค่าภายนอก WebAuth เพื่อส่ง URL การเปลี่ยนเส้นทางหน้าเข้าสู่ระบบ ทั้งหน้าสแปลชและล็อกอินให้บริการภายใต้ URL (เว็บเซิร์ฟเวอร์ภายนอก) เดียวกันเช่นhttp://webauth.example.com/splash.htmlและ /login.html
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
ฉันเห็นสิ่งที่ดูเหมือนจะมีพฤติกรรมที่ไม่สอดคล้องกันเมื่อ URL การเปลี่ยนเส้นทางแสดงบนอุปกรณ์สถานะ webauth / NAC RUN และความสามารถในการเข้าถึงอินเทอร์เน็ตได้จริง (หรือไม่ได้รับเมื่อฉันควร)
ฉันเข้าใจว่าหน้าการเข้าสู่ระบบจำเป็นต้องได้รับการยอมรับ (ไม่จำเป็นต้องมีชื่อผู้ใช้) ก่อนที่จะอนุญาตการรับส่งข้อมูลและ WLC เพียงแค่คิดว่าอุปกรณ์สาดหน้าถูกเห็นโดยอุปกรณ์ (ไม่จำเป็นต้องยอมรับ)
ฉันได้เห็นสภาพทุกอย่างเป็นไปได้จริง แต่ในกรณีที่กระแสการจราจรไม่เหมาะสม
- การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย RUN สถานะ NAC กระแสการจราจร นี่คือสิ่งที่คาดว่าจะเกิดขึ้น แต่ไม่เกิดขึ้นบ่อยครั้ง
- การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย NAC สถานะ RUN การรับส่งข้อมูล (แต่ไม่ควรหลังจากลบไคลเอ็นต์ออกจาก WLC เพื่อบังคับให้เปลี่ยนเส้นทาง webauth ซึ่งไม่แสดง)
- การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH กระแสการจราจร (แต่ไม่ควร)
- การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงว่าไม่ผ่านการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (แต่ควรแสดงว่า WEBAUTH แสดงว่าผ่านไปแล้ว)
- การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (ตามที่คาดไว้)
ในทุกกรณีรายละเอียดลูกค้าจะแสดง URL การเปลี่ยนเส้นทางที่ตั้งค่าไว้
ในสองกรณีที่ทุกอย่างทำงานได้อย่างที่คาดไว้กับการเปลี่ยนเส้นทาง, webauth / run และการไหลของข้อมูล (การอนุญาตหรือปฏิเสธ) ฉันไม่คิดว่า ACL เป็นปัญหา ไม่มีสิ่งใดถูกผลักลงมาจาก ACS นอกเหนือจาก URL การเปลี่ยนเส้นทาง WLAN สองตัวถูกฮาร์ดโค้ดให้เป็น VLAN ที่แตกต่างกัน
นี่อาจเป็นพฤติกรรมแบบสุ่มหรือตาของฉันก็แค่เล่นกลกับฉัน ฉันเห็นพฤติกรรมที่แตกต่างกันเล็กน้อยกับอุปกรณ์ที่แตกต่างกัน - บางแบบสุ่มมากขึ้นบางคนก็น้อยลง
อะไรคือวิธีที่ดีที่สุดในการ จำกัด ปัญหานี้ให้แคบลง?
อัปเดต : DNS ไม่ใช่ปัญหา ความสามารถในการเข้าถึง IP ทั่วไปทำงานแบบสุ่มในเบราว์เซอร์ ไม่คำนึงถึงสถานะ webauth (RUN กับ WEBAUTH-REQD) บางครั้งเบราว์เซอร์จะผ่านและบางครั้งก็ไม่ (คำขอเริ่มต้นมักเป็น HTTP แบบข้อความล้วน ๆ ) ฉันเคยเห็นทราฟฟิกที่ผ่านเข้ามาสำหรับแอพที่ไม่ใช่เว็บเช่น SMTP ดังนั้นฉันคิดว่า Webauth กำลังล้อเล่นกับเรื่องนี้ แต่ฉันไม่เห็นอะไรผิดปกติอย่างชัดเจน . ฉันมีACL preauthที่ค่อนข้างเป็นธรรมและแขก ACL ฉันได้เพิ่มใบอนุญาตใด ๆ / ทั้ง ACLs ที่ไม่ได้สร้างความแตกต่าง