In diesem Artikel wird beschrieben, wie die Umleitung des Benutzerdatenverkehrs funktioniert und welche Bedingungen für die Umleitung des Pakets durch den Switch erforderlich sind.
Cisco empfiehlt, Erfahrung mit der Konfiguration der Cisco Identity Services Engine (ISE) sowie Grundkenntnisse in den folgenden Bereichen zu haben:
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Umleitung des Benutzerdatenverkehrs auf dem Switch ist eine wichtige Komponente für die meisten Bereitstellungen mit der ISE. All diese Datenflüsse erfordern eine Umleitung des Datenverkehrs durch den Switch:
Eine falsch konfigurierte Umleitung ist die Ursache mehrerer Probleme bei der Bereitstellung. Das Ergebnis ist in der Regel ein Network Admission Control (NAC) Agent, der nicht richtig angezeigt wird, oder die Unfähigkeit, das Gastportal anzuzeigen.
In den letzten drei Beispielen wird erläutert, in welchen Szenarien der Switch nicht über die gleiche Switch Virtual Interface (SVI) verfügt wie das Client-VLAN.
Tests werden auf dem Client durchgeführt, der zur Bereitstellung (CPP) an die ISE umgeleitet werden sollte. Der Benutzer wird über MAC Authentication Bypass (MAB) oder 802.1x authentifiziert. ISE gibt das Autorisierungsprofil mit dem Namen der Umleitungszugriffskontrollliste (ACL) (REDIRECT_POSTURE) und der Umleitungs-URL (wird zu ISE umgeleitet) zurück:
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
Die herunterladbare ACL (DACL) lässt den gesamten Datenverkehr zu diesem Zeitpunkt zu:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
Die Umleitungszugriffskontrollliste lässt diesen Datenverkehr ohne Umleitung zu:
Der gesamte übrige Datenverkehr muss umgeleitet werden:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Der Switch verfügt über eine SVI im gleichen VLAN wie der Benutzer:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
In den nächsten Abschnitten wird dies geändert, um die potenziellen Auswirkungen darzustellen.
Wenn Sie versuchen, einen Host zu pingen, sollten Sie eine Antwort erhalten, da dieser Datenverkehr nicht umgeleitet wird. Führen Sie zum Bestätigen dieses Debugs aus:
debug epm redirect
Für jedes vom Client gesendete ICMP-Paket sollten die Debugging-Meldungen Folgendes enthalten:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
Prüfen Sie zur Bestätigung die ACL wie folgt:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Wenn Sie den Datenverkehr an die IP-Adresse initiieren, die direkt über Layer 3 (L3) erreichbar ist (das Netzwerk für den Switch verfügt über eine SVI-Schnittstelle), geschieht Folgendes:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
Wenn der Ziel-Host 192.168.1.20 ausgefallen ist (antwortet nicht), erhält der Client keine ARP-Antwort (der Switch fängt ARP nicht ab), und der Client sendet kein TCP-SYN. Eine Umleitung findet nie statt.
Aus diesem Grund verwendet der NAC Agent ein Standard-Gateway für eine Erkennung. Ein Standard-Gateway sollte immer antworten und Umleitungen auslösen.
Folgendes geschieht in diesem Szenario:
Dieses Szenario entspricht genau dem Szenario 3. Dabei spielt es keine Rolle, ob der Zielhost in einem Remote-VLAN vorhanden ist oder nicht.
Verfügt der Switch nicht über SVI UP im selben VLAN wie der Client, kann er dennoch eine Umleitung durchführen, allerdings nur, wenn bestimmte Bedingungen erfüllt sind.
Das Problem für den Switch besteht darin, wie die Antwort von einer anderen SVI an den Client zurückgegeben wird. Es ist schwer zu bestimmen, welche Quell-MAC-Adresse verwendet werden soll.
Der Datenfluss ist anders als bei UP der SVI:
Beachten Sie die Asymmetrie hier:
Dieses Szenario entspricht Szenario 5. Es spielt keine Rolle, dass der Remote-Host vorhanden ist. Wichtig ist das richtige Routing.
Wie in Szenario 6 dargestellt, spielt der HTTP-Prozess auf dem Switch eine wichtige Rolle. Wenn der HTTP-Dienst deaktiviert ist, zeigt EPM an, dass das Paket die Umleitungs-ACL erreicht:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
Die Umleitung findet jedoch nie statt.
Der HTTPS-Dienst auf dem Switch ist für eine HTTP-Umleitung nicht erforderlich, aber für eine HTTPS-Umleitung. Der NAC Agent kann beides für die ISE-Erkennung verwenden. Es wird daher empfohlen, beide zu aktivieren.
Beachten Sie, dass der Switch nur HTTP- oder HTTPS-Datenverkehr abfangen kann, der an Standardports (TCP/80 und TCP/443) funktioniert. Wenn HTTP/HTTPS auf einem nicht standardmäßigen Port funktioniert, kann dies mit dem Befehl ip port-map http konfiguriert werden. Außerdem muss der HTTP-Server des Switches diesen Port überwachen (IP-HTTP-Port).
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
13-Feb-2014 |
Erstveröffentlichung |