ลักษณะการทำงานภายนอกแบบสุ่มของ Cisco WLC ภายนอก

ในCisco 5508 v7.2.103.0 ฉันมี WLAN สองสามตัวที่กำหนดค่าไว้ เรียกพวกเขาว่า ABC และ XYZ เพราะคำถามนี้ ABC ใช้ 802.1X และรับ URL การเปลี่ยนเส้นทางหน้าสแปลชลง XYZ ใช้ PSK และใช้การตั้งค่าภายนอก WebAuth เพื่อส่ง URL การเปลี่ยนเส้นทางหน้าเข้าสู่ระบบ ทั้งหน้าสแปลชและล็อกอินให้บริการภายใต้ URL (เว็บเซิร์ฟเวอร์ภายนอก) เดียวกันเช่นhttp://webauth.example.com/splash.htmlและ /login.html

WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]

ฉันเห็นสิ่งที่ดูเหมือนจะมีพฤติกรรมที่ไม่สอดคล้องกันเมื่อ URL การเปลี่ยนเส้นทางแสดงบนอุปกรณ์สถานะ webauth / NAC RUN และความสามารถในการเข้าถึงอินเทอร์เน็ตได้จริง (หรือไม่ได้รับเมื่อฉันควร)

ฉันเข้าใจว่าหน้าการเข้าสู่ระบบจำเป็นต้องได้รับการยอมรับ (ไม่จำเป็นต้องมีชื่อผู้ใช้) ก่อนที่จะอนุญาตการรับส่งข้อมูลและ WLC เพียงแค่คิดว่าอุปกรณ์สาดหน้าถูกเห็นโดยอุปกรณ์ (ไม่จำเป็นต้องยอมรับ)

ฉันได้เห็นสภาพทุกอย่างเป็นไปได้จริง แต่ในกรณีที่กระแสการจราจรไม่เหมาะสม

1. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย RUN สถานะ NAC กระแสการจราจร นี่คือสิ่งที่คาดว่าจะเกิดขึ้น แต่ไม่เกิดขึ้นบ่อยครั้ง
2. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงการพิสูจน์ตัวตนด้วย NAC สถานะ RUN การรับส่งข้อมูล (แต่ไม่ควรหลังจากลบไคลเอ็นต์ออกจาก WLC เพื่อบังคับให้เปลี่ยนเส้นทาง webauth ซึ่งไม่แสดง)
3. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH กระแสการจราจร (แต่ไม่ควร)
4. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินเกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth แสดงว่าไม่ผ่านการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (แต่ควรแสดงว่า WEBAUTH แสดงว่าผ่านไปแล้ว)
5. การเปลี่ยนเส้นทางหน้าสแปลชหรือล็อกอินจะไม่เกิดขึ้นเมื่อเรียกดู URL ข้อความธรรมดาที่ไม่ปลอดภัย webauth ไม่ได้รับการรับรองความถูกต้องกับสถานะ NAC WEBAUTH การรับส่งข้อมูลจะไม่ไหล (ตามที่คาดไว้)

ในทุกกรณีรายละเอียดลูกค้าจะแสดง URL การเปลี่ยนเส้นทางที่ตั้งค่าไว้
ในสองกรณีที่ทุกอย่างทำงานได้อย่างที่คาดไว้กับการเปลี่ยนเส้นทาง, webauth / run และการไหลของข้อมูล (การอนุญาตหรือปฏิเสธ) ฉันไม่คิดว่า ACL เป็นปัญหา ไม่มีสิ่งใดถูกผลักลงมาจาก ACS นอกเหนือจาก URL การเปลี่ยนเส้นทาง WLAN สองตัวถูกฮาร์ดโค้ดให้เป็น VLAN ที่แตกต่างกัน

นี่อาจเป็นพฤติกรรมแบบสุ่มหรือตาของฉันก็แค่เล่นกลกับฉัน ฉันเห็นพฤติกรรมที่แตกต่างกันเล็กน้อยกับอุปกรณ์ที่แตกต่างกัน - บางแบบสุ่มมากขึ้นบางคนก็น้อยลง

อะไรคือวิธีที่ดีที่สุดในการ จำกัด ปัญหานี้ให้แคบลง?

อัปเดต : DNS ไม่ใช่ปัญหา ความสามารถในการเข้าถึง IP ทั่วไปทำงานแบบสุ่มในเบราว์เซอร์ ไม่คำนึงถึงสถานะ webauth (RUN กับ WEBAUTH-REQD) บางครั้งเบราว์เซอร์จะผ่านและบางครั้งก็ไม่ (คำขอเริ่มต้นมักเป็น HTTP แบบข้อความล้วน ๆ ) ฉันเคยเห็นทราฟฟิกที่ผ่านเข้ามาสำหรับแอพที่ไม่ใช่เว็บเช่น SMTP ดังนั้นฉันคิดว่า Webauth กำลังล้อเล่นกับเรื่องนี้ แต่ฉันไม่เห็นอะไรผิดปกติอย่างชัดเจน . ฉันมีACL preauthที่ค่อนข้างเป็นธรรมและแขก ACL ฉันได้เพิ่มใบอนุญาตใด ๆ / ทั้ง ACLs ที่ไม่ได้สร้างความแตกต่าง

ฉันเคยเห็นปัญหาที่คล้ายกันสองครั้งในอดีต

ครั้งแรกนั้นเกี่ยวข้องกับการแก้ไข DNS ฉันทำการค้นหา DNS บนไคลเอนต์ที่มีปัญหาและตระหนักว่าไคลเอนต์ไม่สามารถแก้ไข URL ที่ฉันผ่านสำหรับหน้าเข้าสู่ระบบ นั่นเป็นเพราะฉันผ่านเซิร์ฟเวอร์ DNS ภายนอก ตรวจสอบก่อน ฉันแก้ไขได้โดยส่ง IP ใน URL แม้ว่าคุณจะสามารถสร้าง cname ที่เปลี่ยนเป็น 1.1.1.1

ครั้งที่สองมันเป็นปัญหาใบรับรอง เบราว์เซอร์เริ่มต้นบางตัวจะไม่แสดงหน้าจอเริ่มต้นหากผู้ใช้ต้องยอมรับใบรับรองที่ลงชื่อด้วยตนเอง ฉันจะทดสอบว่าด้วยการเรียกดูหน้าจอเริ่มต้นหรือหน้าเข้าสู่ระบบด้วยตนเองจากไคลเอนต์ที่ไม่แสดงโดยอัตโนมัติ

หวังว่าหนึ่งในนั้นจะช่วยให้คุณออก ฉันรู้ว่าฉันพร้อมที่จะดึงผมออกมาเมื่อฉันเห็นสิ่งนี้เป็นครั้งแรก