In dit artikel wordt beschreven hoe de omleiding van gebruikersverkeer werkt en onder welke voorwaarden het pakket door de switch moet worden omgeleid.
Cisco raadt u aan ervaring te hebben met de configuratie van Cisco Identity Services Engine (ISE) en basiskennis van deze onderwerpen:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De omleiding van gebruikersverkeer op de switch is een cruciaal onderdeel voor de meeste implementaties met de ISE. Al deze stromen bestaan uit het gebruik van verkeersomleiding door de switch:
Onjuist geconfigureerde omleiding is de oorzaak van meerdere problemen met de implementatie. Het typische resultaat is een Network Admission Control (NAC) Agent die niet correct verschijnt of een onvermogen om het Gastenportal weer te geven.
Raadpleeg de laatste drie voorbeelden voor scenario's waarin de switch niet dezelfde Switch Virtual Interface (SVI) heeft als de client VLAN.
Tests worden uitgevoerd op de client, die moet worden doorgestuurd naar ISE voor provisioning (CPP). De gebruiker is geverifieerd via MAC-verificatie-omleiding (MAB) of 802.1x. ISE retourneert het autorisatieprofiel met de naam (ACL) (REDIRECT_POSTURE) van de toegangscontrolelijst en doorverwijst URL (omgeleid naar ISE):
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
Downloadbare ACL (DACL) maakt al het verkeer in deze fase mogelijk:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
Omleiden ACL staat dit verkeer zonder omleiding toe:
Al het andere verkeer moet worden omgeleid:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
De switch heeft een SVI in hetzelfde VLAN als de gebruiker:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
In de volgende paragrafen wordt dit gewijzigd om de potentiële impact te presenteren.
Wanneer u probeert om het even welke gastheer te pingelen, zou u een reactie moeten ontvangen omdat dat verkeer niet wordt opnieuw gericht. Om te bevestigen, voer dit debug uit:
debug epm redirect
Voor elk ICMP-pakket dat door de client wordt verzonden, moeten de debugs worden weergegeven:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
Om te bevestigen, onderzoek ACL:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Wanneer u het verkeer start naar het IP-adres dat direct Layer 3 (L3) bereikbaar is via de switch (het netwerk voor de switch heeft een SVI-interface), is hier wat er gebeurt:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
Als de doelhost 192.168.1.20 niet reageert, ontvangt de client geen ARP-antwoord (de switch onderschept ARP niet) en stuurt de client geen TCP-SYN. Omleiding komt nooit voor.
Dit is waarom de NAC Agent een standaardgateway gebruikt voor een detectie. Een standaardgateway moet altijd reageren en trigger omleidingen.
Dit is wat er gebeurt in dit scenario:
Dit scenario is precies hetzelfde als scenario 3. Het is niet van belang als de bestemmingsgastheer in ver VLAN of niet bestaat.
Als de switch geen SVI UP heeft in hetzelfde VLAN als de client, kan deze nog steeds omleiding uitvoeren, maar alleen wanneer specifieke omstandigheden worden aangepast.
Het probleem voor de switch is hoe je de reactie van een andere SVI aan de client kunt retourneren. Het is moeilijk om te bepalen welk bron-MAC-adres moet worden gebruikt.
De stroom is anders dan wanneer SVI UP is:
Let op de asymmetrie hier:
Dit scenario is precies hetzelfde als scenario 5. Het maakt niet uit dat de afgelegen host bestaat. De juiste routing is belangrijk.
Zoals gepresenteerd in scenario 6, speelt het HTTP-proces op de switch een belangrijke rol. Als de HTTP-service is uitgeschakeld, toont EPM dat het pakket de omleidingsACL bereikt:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
Deze omleiding komt echter nooit voor.
De HTTPS-service op de switch is niet vereist voor HTTP-omleiding, maar voor HTTPS-omleiding. De NAC Agent kan beide gebruiken voor ISE-detectie. Daarom wordt geadviseerd beide mogelijk te maken.
Bericht dat de switch alleen HTTP- of HTTPS-verkeer kan onderscheppen dat werkt op standaardpoorten (TCP/80 en TCP/443). Als HTTP/HTTPS op een niet-standaard poort werkt, kan deze worden geconfigureerd met de ip-poort-kaart http opdracht. De switch moet ook zijn HTTP-server op die poort laten luisteren (ip http poort).
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
13-Feb-2014 |
Eerste vrijgave |