Beheben gängiger Probleme mit dem Gastzugriff der ISE

Einleitung

In diesem Dokument wird beschrieben, wie gängige Gastprobleme bei der Bereitstellung behoben, wie das Problem isoliert und geprüft wird, und es werden einfache Problemumgehungen für den Versuch beschrieben.

Voraussetzung 

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• ISE-Gastkonfiguration
• CoA-Konfiguration auf Netzwerkzugriffsgeräten (Network Access Devices, NAD)
• Auf Workstations müssen Aufnahmegeräte zur Verfügung stehen.

Verwendete Komponenten

Die Informationen in diesem Dokument basieren auf Cisco ISE Version 2.6 und:

• WLC 5500
• Catalyst Switch 3850 15.x Version
• Windows 10-Workstation

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Gastdatenfluss

Die Übersicht des Gastdatenflusses ähnelt der kabelgebundenen oder Wireless-Einrichtung. Dieses Bild des Flussdiagramms kann im gesamten Dokument verwendet werden. Es hilft, den Schritt und die Entität zu visualisieren.

Der Datenfluss kann auch in ISE-Live-Protokollen [Operations > RADIUS Live Logs] verfolgt werden, indem die Endpunkt-ID gefiltert wird:

• MAB-Authentifizierung erfolgreich - das Feld "username" enthält die MAC-Adresse - URL wird an den NAD weitergeleitet - Benutzer erhält das Portal
• Guest Authentication successfully (Gastauthentifizierung erfolgreich) - Das Feld "username" enthält den Gastbenutzernamen, er wurde als "GuestType_Daily" (oder als konfigurierter Typ für den Gastbenutzer) identifiziert.
• CoA initiiert - das Feld "Benutzername" ist leer. Der detaillierte Bericht zeigt an, dass die dynamische Autorisierung erfolgreich war.
• Gastzugriff gewährt

Die Reihenfolge der Ereignisse im Bild (von unten nach oben):

Allgemeine Bereitstellungsleitfäden

Hier finden Sie einige Links zur Konfigurationsunterstützung. Bei der Fehlerbehebung für spezielle Anwendungsfälle ist es hilfreich, die ideale oder erwartete Konfiguration zu kennen.

• Konfiguration für kabelgebundenen Gast
• Wireless-Gastkonfiguration
• Wireless Guest CWA mit FlexAuth APs

Häufig auftretende Probleme

In diesem Dokument werden in erster Linie folgende Themen behandelt:

Umleitung zum Gastportal funktioniert nicht

Wenn die Umleitungs-URL und die ACL von der ISE per Push übermittelt wurden, überprüfen Sie Folgendes:

1. Der Client-Status auf dem Switch (bei kabelgebundenem Gastzugriff) mit dem Befehl show authentication session int <Schnittstelle> details:

2. Der Client-Status auf dem Wireless LAN Controller (bei Wireless-Gastzugriff): Überwachen > Client > MAC-Adresse

3. Die Erreichbarkeit vom Endpunkt zur ISE über den TCP-Port 8443 mithilfe der Eingabeaufforderung: C:\Users\user>telnet <ISE-IP> 8443.

4. Wenn die URL für die Portalumleitung über einen FQDN verfügt, überprüfen Sie, ob der Client über die Eingabeaufforderung eine Lösung finden kann: C:\Users\user>nslookup guest.ise.com.

5. Stellen Sie bei der Einrichtung der Flex Connect sicher, dass unter ACLs und Flex ACLs derselbe ACL-Name konfiguriert ist. Überprüfen Sie außerdem, ob die ACL den APs zugeordnet ist. Weitere Informationen finden Sie im Konfigurationsleitfaden des vorherigen Abschnitts - Schritte 7 b und c.

6. Nehmen Sie eine Paketerfassung vom Client, und überprüfen Sie, ob die Umleitung erfolgt. Das Paket HTTP/1.1 302 Page Moved dient zum Angeben, dass der WLC/Switch die Website, auf die zugegriffen wurde, zum ISE-Gastportal umgeleitet hat (umgeleitete URL):

7. Das HTTP(s)-Modul ist auf den Netzwerkzugriffsgeräten aktiviert:

• Auf dem Switch:

• Auf dem WLC:

 8. Wenn sich der WLC in einer Fremdanker-Konfiguration befindet, überprüfen Sie Folgendes:   

    Schritt 1: Der Client-Status muss auf beiden WLCs gleich sein.

    Schritt 2: Die Umleitungs-URL muss auf beiden WLCs angezeigt werden.

    Schritt 3: RADIUS-Accounting muss auf dem Anker-WLC deaktiviert werden.

Dynamische Autorisierung fehlgeschlagen

Wenn der Endbenutzer auf das Gastportal zugreifen und sich erfolgreich anmelden kann, besteht der nächste Schritt in einer Autorisierungsänderung, die dem Benutzer den vollständigen Gastzugriff gewährt. Wenn dies nicht funktioniert, wird in ISE Radius Live Logs ein Fehler bei der dynamischen Autorisierung angezeigt. Um das Problem zu beheben, überprüfen Sie Folgendes:

1. Autorisierungsänderung (Change of Authorization, CoA) muss im NAD aktiviert/konfiguriert sein:

 2. UDP-Port 1700 muss auf der Firewall zugelassen sein.

3. Der NAC-Status auf dem WLC ist falsch. Ändern Sie unter Erweiterte Einstellungen auf WLC GUI > WLAN den NAC-Status in ISE NAC.

SMS-/E-Mail-Benachrichtigungen werden nicht gesendet

1. Überprüfen Sie die SMTP-Konfiguration unter Administration > System > Settings > SMTP.

2. API für SMS/E-Mail-Gateways außerhalb der ISE prüfen: 

Testen Sie die vom Anbieter bereitgestellten URL(s) auf einem API-Client oder Browser, ersetzen Sie die Variablen wie Benutzernamen, Kennwörter, Mobiltelefonnummer, und testen Sie die Erreichbarkeit [Administration > System > Einstellungen > SMS Gateways].

Alternativ können Sie, wenn Sie von den ISE-Sponsorgruppen [Workcenters > Guest Access > Portals and Components > Guest Types] aus testen, eine Paketerfassung auf der ISE und dem SMS/SMTP-Gateway durchführen, um zu überprüfen, ob:

1. Das Anforderungspaket erreicht den Server unbehelligt.
2. Der ISE-Server verfügt über die vom Anbieter empfohlenen Berechtigungen/Berechtigungen für das Gateway zur Verarbeitung dieser Anforderung.

Seite "Konten verwalten" ist nicht erreichbar

1. Die Schaltfläche Workcentres > Guest Access > Manage accounts leitet den ISE-Administrator auf den ISE FQDN an Port 9002 um, um auf das Sponsorportal zuzugreifen:

2. Überprüfen Sie, ob der FQDN von der Workstation aufgelöst wird, von der aus auf das Sponsorportal zugegriffen wird, mithilfe des Befehls nslookup <FQDN of ISE PAN>.

3. Überprüfen Sie mit dem Befehl show ports, ob der ISE TCP-Port 9002 über die CLI der ISE geöffnet ist. | einschließlich 9002.

Best Practices für Portalzertifikate

• Für eine nahtlose Benutzererfahrung muss das Zertifikat, das für Portale und Admin-Rollen verwendet wird, von einer bekannten öffentlichen Zertifizierungsstelle signiert werden (z. B. GoDaddy, DigiCert, VeriSign usw.), die von Browsern häufig als vertrauenswürdig angesehen wird (z. B. Google Chrome, Firefox usw.).
  
  
• Es wird nicht empfohlen, eine statische IP für die Gastumleitung zu verwenden, da diese die private IP der ISE für alle Benutzer sichtbar macht. Die meisten Anbieter stellen keine von Drittanbietern signierten Zertifikate für private IPs bereit.
  
  
• Wenn Sie von ISE 2.4 p6 zu p8 oder p9 wechseln, gibt es einen bekannten Fehler: Cisco Bug-ID CSCvp75207, wobei die Kästchen Trust for authentication in ISE und Trust for client authentication und Syslog nach dem Patch-Upgrade manuell aktiviert werden müssen. Dadurch wird sichergestellt, dass die ISE beim Zugriff auf das Gastportal die gesamte Zertifikatkette für den TLS-Fluss sendet.

Wenn durch diese Aktionen keine Probleme mit dem Gastzugriff behoben werden, wenden Sie sich an das TAC. Hierzu wird ein Supportpaket mit den Anweisungen im Dokument "Debugs to enable on ISE" (Fehlerbehebungen auf ISE) bereitgestellt.

Zugehörige Informationen

• Technischer Support und Downloads von Cisco