はじめに
このドキュメントでは、導入時に発生する一般的なゲストの問題をトラブルシューティングする方法、問題を切り分けて確認する方法、および試行する簡単な回避策について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- ISEゲスト設定
- ネットワークアクセスデバイス(NAD)のCoA設定
- ワークステーション上のキャプチャツールが必要です。
使用するコンポーネント
このドキュメントの情報は、Cisco ISEリリース2.6、および
- WLC 5500
- Catalystスイッチ3850 15.xバージョン
- Windows 10ワークステーション
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ゲストフロー
ゲストフローの概要は、有線またはワイヤレスの設定と似ています。次の図は、ドキュメント全体を通じて参照するために使用できます。ステップとエンティティを視覚化するのに役立ちます。
このフローは、エンドポイントIDをフィルタリングすることで、ISEライブログ[Operations > RADIUS Live Logs]でも追跡できます。
- MAB認証に成功:ユーザ名フィールドにMACアドレスを入力:URLをNADにプッシュ:ユーザがポータルを取得
- Guest Authentication successful:usernameフィールドにゲストのユーザ名が入力されています。このユーザはGuestType_Daily(またはゲストユーザ用に設定されたタイプ)として識別されています。
- CoA initiated- usernameフィールドが空白です。詳細レポートにはDynamic Authorization successfulと表示されます。
- ゲストアクセスの提供
イメージ内のイベントのシーケンス(下から上):
一般的な導入ガイド
次に、設定の支援に関するリンクを示します。特定のユースケースのトラブルシューティングを行う場合は、理想的な設定または想定される設定を把握しておくと役立ちます。
頻繁に発生する問題
このドキュメントでは、主に次の問題について説明します。
ゲストポータルへのリダイレクトが機能しない
リダイレクトURLとACLをISEからプッシュしたら、次の点を確認します。
1. コマンドshow authentication session int <interface> detailsを使用した、スイッチ上のクライアントステータス(有線ゲストアクセスの場合):
2. ワイヤレスLANコントローラ(WLC)のクライアントステータス(ワイヤレスゲストアクセスの場合):Monitor > Client > MAC address
3. コマンドプロンプト(C:\Users\user>telnet <ISE-IP> 8443)を使用した、エンドポイントからISEへのTCPポート8443の到達可能性。
4. ポータルリダイレクトURLにFQDNがある場合は、クライアントがコマンドプロンプト(C:\Users\user>nslookup guest.ise.com)から解決できるかどうかを確認します。
5. フレックス接続の設定で、ACLとフレックスACLの下に同じACL名が設定されていることを確認します。また、ACLがAPにマッピングされているかどうかも確認します。詳細については、前のセクション「ステップ7 bおよびc」の設定ガイドを参照してください。
6. クライアントからパケットキャプチャを取得し、リダイレクションを確認します。パケット「HTTP/1.1 302 Page Moved」は、WLC/スイッチがアクセスされたサイトをISEゲストポータル(リダイレクトされたURL)にリダイレクトしたことを示します。
7. HTTP(s)エンジンがネットワークアクセスデバイスで有効になっている。
8. WLCが外部/アンカー設定の場合は、次を確認します。
ステップ 1:クライアントステータスは、両方のWLCで同じである必要があります。
ステップ 2:リダイレクトURLは両方のWLCで確認する必要があります。
ステップ 3:アンカーWLCではRADIUSアカウンティングを無効にする必要があります。
ダイナミック認可の失敗
エンドユーザがゲストポータルにアクセスして正常にログインできる場合は、次の手順として、ユーザに完全なゲストアクセスを付与するための認可変更を行います。これが機能しない場合は、ISE Radiusライブログにダイナミック認可エラーが表示されます。この問題を解決するには、次の項目を確認します。
1. NADで認可変更(CoA)を有効または設定する必要があります。
2. UDPポート1700がファイアウォールで許可されていること。
3. WLCのNAC状態が正しくない。WLC GUI > WLANのAdvanced settingsで、NAC stateをISE NACに変更します。
SMS/電子メール通知が送信されない
1. Administration > System > Settings > SMTPの順に選択し、SMTP設定を確認します。
2. ISE外部のSMS/EメールゲートウェイのAPIを確認します。
ベンダーから提供されたURLをAPIクライアントまたはブラウザでテストし、ユーザ名、パスワード、携帯電話番号などの変数を置き換えて、到達可能性をテストします[Administration > System > Settings > SMS Gateways]。
または、ISEスポンサーグループ[ワークステーション>ゲストアクセス>ポータルとコンポーネント>ゲストタイプ]からテストする場合は、ISEとSMS/SMTPゲートウェイでパケットキャプチャを実行して、次の点を確認します。
- 要求パケットは、改ざんされずにサーバに到達します。
- ISEサーバには、ゲートウェイがこの要求を処理するためにベンダーが推奨する権限または特権があります。
「アカウントの管理」ページにアクセスできません
1. ISE管理者がスポンサーポータルにアクセスするには、Workcentres > Guest Access > Manage accountsボタンを使用して、ポート9002でISE FQDNにリダイレクトします。
2. コマンドnslookup <FQDN of ISE PAN>を使用して、スポンサーポータルへのアクセス元のワークステーションでFQDNが解決されているかどうかを確認します。
3. コマンドshow portsを使用して、ISEのCLIからISE TCPポート9002が開いているかどうかを確認します。 | include 9002コマンドを使用します。
ポータル証明書のベストプラクティス
- シームレスなユーザエクスペリエンスを実現するには、ポータルと管理者ロールに使用する証明書が、一般にブラウザで信頼されている、よく知られたパブリック認証局(GoDaddy、DigiCert、VeriSignなど)によって署名されている必要があります(Google Chrome、Firefoxなど)。
- ゲストのリダイレクトにスタティックIPを使用することは推奨されません。スタティックIPを使用すると、ISEのプライベートIPがすべてのユーザから見えるようになります。ほとんどのベンダーは、プライベートIP用のサードパーティ署名証明書を提供していません。
- ISE 2.4 p6からp8またはp9に移行する場合は、既知のバグCisco Bug ID CSCvp75207があります。このバグでは、パッチアップグレード後に「ISE内の認証の信頼」ボックスと「クライアント認証の信頼」ボックスと「Syslog」ボックスを手動でチェックする必要があります。これにより、ゲストポータルへのアクセス時に、ISEがTLSフローの完全な証明書チェーンを送信します。
これらの操作でゲストアクセスの問題が解決しない場合は、ISEで有効にするデバッグの手順で収集したサポートバンドルを使用してTACにお問い合わせください。
関連情報