ISE-Datenverkehrsumleitung auf Catalyst Switches der Serie 3750

Einleitung

In diesem Artikel wird beschrieben, wie die Umleitung des Benutzerdatenverkehrs funktioniert und welche Bedingungen für die Umleitung des Pakets durch den Switch erforderlich sind.

Voraussetzungen

Anforderungen

Cisco empfiehlt, Erfahrung mit der Konfiguration der Cisco Identity Services Engine (ISE) sowie Grundkenntnisse in den folgenden Bereichen zu haben:

• ISE-Bereitstellungen und CWA-Flows (Central Web Authentication)
• CLI-Konfiguration von Cisco Catalyst Switches

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

• Microsoft Windows 7
• Software für Cisco Catalyst Switches der Serie 3750X, Versionen 15.0 und höher
• ISE Software, Versionen 1.1.4 und höher

Hintergrundinformationen

Die Umleitung des Benutzerdatenverkehrs auf dem Switch ist eine wichtige Komponente für die meisten Bereitstellungen mit der ISE. All diese Datenflüsse erfordern eine Umleitung des Datenverkehrs durch den Switch:

• CWA
• Client-Bereitstellung (CPP)
• Geräteregistrierung (DRW)
• Native Supplicant Provisioning (NSP)
• Management von Mobilgeräten (MDM)

Eine falsch konfigurierte Umleitung ist die Ursache mehrerer Probleme bei der Bereitstellung. Das Ergebnis ist in der Regel ein Network Admission Control (NAC) Agent, der nicht richtig angezeigt wird, oder die Unfähigkeit, das Gastportal anzuzeigen.

In den letzten drei Beispielen wird erläutert, in welchen Szenarien der Switch nicht über die gleiche Switch Virtual Interface (SVI) verfügt wie das Client-VLAN.

Fehlerbehebung

Testszenario

Tests werden auf dem Client durchgeführt, der zur Bereitstellung (CPP) an die ISE umgeleitet werden sollte. Der Benutzer wird über MAC Authentication Bypass (MAB) oder 802.1x authentifiziert. ISE gibt das Autorisierungsprofil mit dem Namen der Umleitungszugriffskontrollliste (ACL) (REDIRECT_POSTURE) und der Umleitungs-URL (wird zu ISE umgeleitet) zurück:

bsns-3750-5#show authentication sessions interface g1/0/2
            Interface:  GigabitEthernet1/0/2
          MAC Address:  0050.5699.36ce
           IP Address:  192.168.1.201
            User-Name:  cisco
               Status:  Authz Success
               Domain:  DATA
      Security Policy:  Should Secure
      Security Status:  Unsecure
       Oper host mode:  single-host
     Oper control dir:  both
        Authorized By:  Authentication Server
          Vlan Policy:  10
              ACS ACL:  xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
     URL Redirect ACL:  REDIRECT_POSTURE
         URL Redirect:  https://10.48.66.74:8443/guestportal/gateway?sessionId=
                        C0A8000100000D5D015F1B47&action=cpp
      Session timeout:  N/A
         Idle timeout:  N/A
    Common Session ID:  C0A8000100000D5D015F1B47
      Acct Session ID:  0x00011D90
               Handle:  0xBB000D5E

Runnable methods list:
       Method   State
       dot1x    Authc Success

Die herunterladbare ACL (DACL) lässt den gesamten Datenverkehr zu diesem Zeitpunkt zu:

bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
    10 permit ip any any

Die Umleitungszugriffskontrollliste lässt diesen Datenverkehr ohne Umleitung zu:

• Gesamter Datenverkehr zur ISE (10.48.66.74)
• Domain Name System (DNS)- und Internet Control Message Protocol (ICMP)-Datenverkehr

Der gesamte übrige Datenverkehr muss umgeleitet werden:

bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
    10 deny ip any host 10.48.66.74 (153 matches)
    20 deny udp any any eq domain
    30 deny icmp any any (10 matches)
    40 permit tcp any any eq www (78 matches)
    50 permit tcp any any eq 443

Der Switch verfügt über eine SVI im gleichen VLAN wie der Benutzer:

interface Vlan10
 ip address 192.168.1.10 255.255.255.0

In den nächsten Abschnitten wird dies geändert, um die potenziellen Auswirkungen darzustellen.

Datenverkehr erreicht die Umleitungs-ACL nicht

Wenn Sie versuchen, einen Host zu pingen, sollten Sie eine Antwort erhalten, da dieser Datenverkehr nicht umgeleitet wird. Führen Sie zum Bestätigen dieses Debugs aus:

debug epm redirect

Für jedes vom Client gesendete ICMP-Paket sollten die Debugging-Meldungen Folgendes enthalten:

Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]

Prüfen Sie zur Bestätigung die ACL wie folgt:

bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
    10 deny ip any host 10.48.66.74 (153 matches)
    20 deny udp any any eq domain
    30 deny icmp any any (4 matches)
    40 permit tcp any any eq www (78 matches)
    50 permit tcp any any eq 443

Datenverkehr erreicht die Umleitungs-ACL

Szenario 1 - Ziel-Host befindet sich im selben VLAN, existiert und ist SVI 10 UP

Wenn Sie den Datenverkehr an die IP-Adresse initiieren, die direkt über Layer 3 (L3) erreichbar ist (das Netzwerk für den Switch verfügt über eine SVI-Schnittstelle), geschieht Folgendes:

1. Der Client initiiert eine ARP-Auflösungsanforderung (Address Resolution Protocol) für den Zielhost (192.168.1.20) im selben VLAN und empfängt eine Antwort (ARP-Datenverkehr wird nie umgeleitet).
   
   
2. Der Switch fängt diese Sitzung ab, selbst wenn die Ziel-IP-Adresse auf diesem Switch nicht konfiguriert ist. Das TCP-Handshaking zwischen dem Client und dem Switch ist abgeschlossen. Zu diesem Zeitpunkt werden keine anderen Pakete außerhalb des Switches gesendet. In diesem Szenario hat der Client (192.168.1.201) eine TCP-Sitzung mit dem anderen Host initiiert, der in diesem VLAN (192.168.1.20) vorhanden ist und für den der Switch eine SVI-Schnittstelle UP (mit der IP-Adresse 192.168.1.10) hat:
   
   

   

   
   
   
3. Nachdem die TCP-Sitzung hergestellt und die HTTP-Anfrage gesendet wurde, gibt der Switch die HTTP-Antwort mit der Umleitung an die ISE (Location header) zurück.
   
   Diese Schritte werden durch Debugs bestätigt. Es gibt mehrere ACL-Treffer:
   
   

   epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
   matched with [acl=REDIRECT_POSTURE]
   epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
   C0A8000100000D5D015F1B47&action=cpp for redirection
   epm-redirect:IP=192.168.1.201: Redirect http request to https:
   //10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
   epm-redirect:EPM HTTP Redirect Daemon successfully created

   
   
   Dies kann auch durch detailliertere Debugs bestätigt werden:
   
   

   debug ip http all
   
   http_epm_http_redirect_daemon: got redirect request
   HTTP: token len 3: 'GET'
   http_proxy_send_page: Sending http proxy page
   http_epm_send_redirect_page: Sending the Redirect page to ...

   
   
   
4. Der Client stellt eine direkte Verbindung zur ISE her (SSL-Sitzung (Secure Sockets Layer) mit 10.48.66.74:8443). Dieses Paket löst keine Umleitung aus:
   
   

   epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
   match with [acl=REDIRECT_POSTURE]

   
   
   

   Hinweis: Die Sitzung wird vom Switch abgefangen, sodass der Datenverkehr auf dem Switch mit Embedded Packet Capture (EPC) erfasst werden kann. Die vorherige Erfassung wurde mit EPC auf dem Switch durchgeführt.

Szenario 2 - Ziel-Host befindet sich im selben VLAN, ist nicht vorhanden und ist SVI 10 UP

Wenn der Ziel-Host 192.168.1.20 ausgefallen ist (antwortet nicht), erhält der Client keine ARP-Antwort (der Switch fängt ARP nicht ab), und der Client sendet kein TCP-SYN. Eine Umleitung findet nie statt.

Aus diesem Grund verwendet der NAC Agent ein Standard-Gateway für eine Erkennung. Ein Standard-Gateway sollte immer antworten und Umleitungen auslösen.

Szenario 3 - Ziel-Host befindet sich in einem anderen VLAN und ist SVI 10 UP

Folgendes geschieht in diesem Szenario:

1. Der Client versucht, auf HTTP://8.8.8.8 zuzugreifen.
   
   
2. Dieses Netzwerk befindet sich auf keiner SVI des Switches.
3. Der Client sendet ein TCP-SYN für diese Sitzung an das Standard-Gateway 192.168.1.10 (Ziel-MAC-Adresse bekannt).
   
   
4. Die Umleitung wird genau wie im ersten Beispiel ausgelöst.
   
   
5. Der Switch fängt diese Sitzung ab und gibt eine HTTP-Antwort zurück, die an den ISE-Server umgeleitet wird.
   
   
6. Der Client greift problemlos auf den ISE-Server zu (dieser Datenverkehr wird nicht umgeleitet).

Hinweis: Es spielt keine Rolle, ob sich das Standard-Gateway auf demselben Switch oder auf einem Upstream-Gerät befindet. Es ist nur erforderlich, eine ARP-Antwort von diesem Gateway zu erhalten, um den Umleitungsprozess auszulösen. Zusätzlich ist es notwendig, dass die ISE-Zugänglichkeit über das Standard-Gateway erlaubt ist. Achten Sie besonders darauf, wenn sich eine Firewall auf dem Patch befindet, insbesondere wenn es sich um eine Layer-2-Firewall (L2) handelt und L2-Pakete unterschiedliche Verbindungen durchlaufen (dann kann eine TCP-Zustandsumgehung auf der Firewall erforderlich sein).

Szenario 4 - Ziel-Host befindet sich in einem anderen VLAN, existiert nicht und ist SVI 10 UP

Dieses Szenario entspricht genau dem Szenario 3. Dabei spielt es keine Rolle, ob der Zielhost in einem Remote-VLAN vorhanden ist oder nicht.

Szenario 5 - Ziel-Host befindet sich in einem anderen VLAN, existiert und ist SVI 10 ausgefallen

Verfügt der Switch nicht über SVI UP im selben VLAN wie der Client, kann er dennoch eine Umleitung durchführen, allerdings nur, wenn bestimmte Bedingungen erfüllt sind.

Das Problem für den Switch besteht darin, wie die Antwort von einer anderen SVI an den Client zurückgegeben wird. Es ist schwer zu bestimmen, welche Quell-MAC-Adresse verwendet werden soll.

Der Datenfluss ist anders als bei UP der SVI:

1. Der Client sendet ein TCP-SYN an den Host in einem anderen VLAN (192.168.2.20), wobei die MAC-Zieladresse auf ein Standard-Gateway festgelegt ist, das auf dem Upstream-Switch definiert ist. Dieses Paket erreicht die Umleitungs-ACL, die durch Debugging-Meldungen angezeigt wird.
2. Der Switch überprüft, ob ein Routing zurück zum Client besteht. Denken Sie daran, dass SVI 10 ausgefallen ist.
3. Wenn der Switch über keine andere SVI mit Routing zurück zum Client verfügt, wird dieses Paket nicht abgefangen oder umgeleitet, auch wenn Enterprise Policy Manager (EPM)-Protokolle darauf hinweisen, dass die ACL erreicht ist. Der Remotehost gibt möglicherweise eine SYN ACK zurück, aber der Switch verfügt nicht über ein Routing zurück zum Client (VLAN10) und verwirft das Paket. Das Paket kann nicht einfach zurückgeschaltet werden (L2), da es die Umleitungszugriffskontrollliste erreicht hat.
4. Wenn der Switch über ein Routing zum Client-VLAN über eine andere SVI verfügt, fängt er dieses Paket ab und führt die Umleitung wie gewohnt durch. Die Antwort mit URL-Redirect wird nicht direkt an den Client gesendet, sondern über einen anderen Switch/Router, der auf der Routing-Entscheidung basiert.

Beachten Sie die Asymmetrie hier:

• Der vom Client empfangene Datenverkehr wird lokal vom Switch abgefangen.
  
  
• Die Antwort hierfür, einschließlich der HTTP-Umleitung, wird basierend auf dem Routing über den Upstream-Switch gesendet.
  
  
• Dies ist der Fall, wenn typische Probleme mit der Firewall auftreten können und eine TCP-Umgehung erforderlich ist.
  
  
• Der Datenverkehr zur ISE, der nicht umgeleitet wird, ist symmetrisch. Nur die Umleitung selbst ist asymmetrisch.

Szenario 6 - Ziel-Host befindet sich in einem anderen VLAN, ist nicht vorhanden und SVI 10 ausgefallen

Dieses Szenario entspricht Szenario 5. Es spielt keine Rolle, dass der Remote-Host vorhanden ist. Wichtig ist das richtige Routing.

Szenario 7 - Der HTTP-Dienst ist inaktiv

Wie in Szenario 6 dargestellt, spielt der HTTP-Prozess auf dem Switch eine wichtige Rolle. Wenn der HTTP-Dienst deaktiviert ist, zeigt EPM an, dass das Paket die Umleitungs-ACL erreicht:

epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]

Die Umleitung findet jedoch nie statt.

Der HTTPS-Dienst auf dem Switch ist für eine HTTP-Umleitung nicht erforderlich, aber für eine HTTPS-Umleitung. Der NAC Agent kann beides für die ISE-Erkennung verwenden. Es wird daher empfohlen, beide zu aktivieren.

ACL umleiten - Falsche Protokolle und Ports, keine Umleitung

Beachten Sie, dass der Switch nur HTTP- oder HTTPS-Datenverkehr abfangen kann, der an Standardports (TCP/80 und TCP/443) funktioniert. Wenn HTTP/HTTPS auf einem nicht standardmäßigen Port funktioniert, kann dies mit dem Befehl ip port-map http konfiguriert werden. Außerdem muss der HTTP-Server des Switches diesen Port überwachen (IP-HTTP-Port).

Zugehörige Informationen

• Konfigurationsbeispiel für die zentrale Web-Authentifizierung mit Switch und Identity Services Engine
• Cisco Identity Services Engine Benutzerhandbuch, Version 1.2
  
• Technischer Support und Dokumentation für Cisco Systeme