W Cisco 5508 v7.2.103.0 mam skonfigurowanych kilka sieci WLAN. Nazwij je ABC i XYZ ze względu na to pytanie. ABC korzysta ze standardu 802.1X i pobiera adres URL przekierowania strony powitalnej. XYZ używa PSK i zewnętrznej konfiguracji WebAuth do wypychania adresu URL przekierowania strony logowania. Zarówno strona startowa, jak i strona logowania są obsługiwane pod tym samym podstawowym adresem URL (zewnętrzny serwer WWW), takim jak http://webauth.example.com/splash.html i /login.html.
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
Widzę, co wydaje się niespójne, gdy adresy URL przekierowań wyświetlają się na urządzeniach, stan RUN webauth / NAC RUN i możliwość faktycznego uzyskania dostępu do Internetu (lub nie uzyskania go, kiedy powinienem).
Rozumiem, że strona logowania wymaga akceptacji (nie wymaga nazwy użytkownika) przed zezwoleniem na ruch, a WLC musi jedynie pomyśleć, że urządzenie zobaczyło stronę powitalną (akceptacja nie jest wymagana), aby ruch mógł się tutaj odbywać.
Widziałem praktycznie wszystkie możliwe warunki , ale przypadki, w których ruch uliczny nie zawsze ma sens.
- Podczas przeglądania pod niezabezpieczonym, czystym adresem URL następuje przekierowanie lub przekierowanie strony logowania; webauth pokazuje Uwierzytelniony ze stanem NAC RUN, przepływy ruchu. Tak się dzieje, ale nie zdarza się często.
- Przekierowanie strony powitania lub logowania nie występuje podczas przeglądania do niezabezpieczonego, jawnego adresu URL; webauth pokazuje Uwierzytelniony ze stanem NAC RUN, przepływy ruchu (ale nie powinien po usunięciu klienta z WLC, aby wymusić przekierowanie webauth, które się nie pokazało).
- Przekierowanie strony powitania lub logowania nie występuje podczas przeglądania do niezabezpieczonego, jawnego adresu URL; webauth nie jest uwierzytelniony ze stanem NAC WEBAUTH, ruch odbywa się (ale nie powinien).
- Podczas przeglądania pod niezabezpieczonym, czystym adresem URL następuje przekierowanie lub przekierowanie strony logowania; webauth pokazuje Nieuwierzytelniony ze stanem NAC WEBAUTH, ruch nie płynie (ale powinien, jeśli WEBAUTH został pokazany jako przekazany).
- Przekierowanie strony powitania lub logowania nie występuje podczas przeglądania do niezabezpieczonego, jawnego adresu URL; webauth nie jest uwierzytelniony w stanie NAC WEBAUTH, ruch nie przepływa (zgodnie z oczekiwaniami).
We wszystkich przypadkach szczegóły klienta wskazują, że adres URL przekierowania został ustawiony.
W dwóch przypadkach, w których wszystko działało zgodnie z oczekiwaniami z przekierowaniem, stanem Webauth / run i przepływem ruchu (zarówno dozwolonym, jak i odrzucanym), nie sądzę, aby listy ACL były problemem. Nic więcej nie jest wypychane z ACS poza adresem URL przekierowania. Dwie sieci WLAN są zakodowane na stałe w różnych sieciach VLAN.
Czy to może być przypadkowe zachowanie, czy moje oczy mogą po prostu grać na mnie? Widziałem nieco inne zachowanie z różnymi urządzeniami - niektóre bardziej losowe, inne mniej.
Jakie jest najlepsze podejście do zawężenia tego problemu?
Aktualizacja : DNS nie jest problemem. Ogólna dostępność adresów IP losowo działa w przeglądarce. Niezależnie od stanu webauth (RUN vs WEBAUTH-REQD), czasami przeglądarka przechodzi, a czasem nie. (Początkowe żądania są zawsze zwykłym tekstem HTTP.) Widziałem nawet regularny ruch w aplikacjach innych niż sieci Web, takich jak SMTP, więc naprawdę myślę, że Webauth się tym zajmuje, ale nie widzę nic oczywistego źle . Mam preauth ACL, która jest dość liberalna i gości ACL. Dodałem nawet zezwolenie na dowolne / dowolne z obu list ACL, które nie miały znaczenia.