Probleemoplossing voor centrale webverificatie (CWA) met draadloze LAN-controller (WLC) 9800 en Identity Services Engine (ISE)
Inhoud
Inleiding
Dit document beschrijft hoe u problemen kunt oplossen met Central Web Verification (CWA) met WLC 9800 en ISE.
Achtergrondinformatie
Er zijn momenteel zo veel persoonlijke apparaten dat netwerkbeheerders die op zoek zijn naar het beveiligen van draadloze toegang normaal kiezen voor draadloze netwerken die CWA gebruiken.
In dit document richten we ons op het stroomschema van CWA, dat helpt bij het oplossen van problemen van de gemeenschappelijke problemen die ons raken.
We kijken naar de meest voorkomende gateways van het proces, hoe we logboeken verzamelen met betrekking tot CWA, hoe we deze logboeken analyseren, en hoe we een ingesloten pakketopname op de WLC verzamelen om verkeersstromen te bevestigen.
CWA is de meest voorkomende configuratie voor bedrijven die gebruikers toestaan om verbinding te maken met het bedrijfsnetwerk met behulp van hun persoonlijke apparaten, ook bekend als BYOD.
Elke netwerkbeheerder is geïnteresseerd in de stappen voor het oplossen van problemen die moeten worden uitgevoerd om hun problemen op te lossen voordat een TAC-case wordt geopend.
Hier is de CWA-pakketstroom:
CWA-pakketstroom
Gedetailleerde stroom
Eerste associatie en RADIUS-verificatie:
Eerste associatie- en RADIUS-verificatie
DHCP-, DNS- en connectiviteitscontrole:
DHCP-, DNS- en connectiviteitscontrole
De connectiviteitscontrole wordt uitgevoerd met behulp van captive portal detectie door het client apparaat Besturingssysteem of browser.
Er zijn apparaat OS voorgeprogrammeerd om HTTP GET naar specifieke domein te doen
-
- Apple = captive.apple.com
- Android = connectivitycheck.gstatic.com
- Windows = msftconnectest.com
En browsers voeren deze controle ook uit wanneer geopend:
- Chroom = clients3.google.com
- Firefox = detectportal.firefox.com
Verkeersonderschepping en omleiding:
Verkeersonderschepping en omleiding
Inloggen van client bij ISE-gastenportal:
Inloggen van client bij ISE-gastenportal
Aanmelden bij client en CoA:
Inloggen bij client en CoA
Probleemoplossing
Algemeen Symptoom: Gebruiker wordt niet omgeleid naar de inlogpagina.
Laten we beginnen met het eerste deel van de stroom:
Eerste associatie- en RADIUS-verificatie
1 - Is de eerste RADIUS-verificatie geslaagd?
Controleer het resultaat van de mac-filtering:
ISE Live-logbestanden met mac-filtering van verificatieresultaten
Zorg ervoor dat de geavanceerde optie voor de verificatie is ingesteld op "Doorgaan" als gebruiker niet gevonden is:
Gebruiker niet gevonden geavanceerde optie
2 - WLC ontvangt de Redirect URL en ACL?
Controleer de live logs van ISE en de WLC-clientbeveiligingsinformatie onder Monitoring Controleer dat de ISE Redirect URL en ACL in de Access Accept verstuurt en het wordt ontvangen door WLC en toegepast op de client in de clientdetails:
Omleiden van ACL en URL
3 - Is redirect ACL correct?
Controleer de ACL-naam op een willekeurig type. Zorg ervoor dat het exact hetzelfde is als wanneer het door de ISE wordt verstuurd:
ACL-verificatie omleiden
4 - Wordt de client verplaatst naar Web-Auth Pending?
Controleer clientgegevens voor status "Web Auth Pending". Als dit niet het geval is, controleert u of AAA-overschrijding en RADIUS NAC zijn ingeschakeld in het beleidsprofiel:
Clientgegevens, aaa-overschrijving en RADIUS-NAC
Werkt het nog steeds niet?
Laten we teruggaan in de stroom...
DHCP-, DNS- en connectiviteitscontrole
5 - Staat WLC DHCP- en DNS-verkeer toe?
Controleer de omleiding van de ACL-inhoud in de WLC:
Omleiden ACL-inhoud in WLC
Redirect ACL bepaalt welk verkeer wordt onderschept en door de vergunningsverklaring opnieuw gericht en welk verkeer van onderschepping en omleiding met wordt genegeerd ontkennen verklaring.
In dit voorbeeld staan we DNS en verkeer naar/van ISE IP-adres toe om te stromen en elk TCP-verkeer op poort 80 (www) te onderscheppen.
6 - ontvangt DHCP-server DHCP Discover/request?
Controleer bij EPC of DHCP-uitwisseling plaatsvindt. EPC kan worden gebruikt met binnenfilters zoals DHCP-protocol en/of binnenfilter MAC waar we het mac-adres van het clientapparaat kunnen gebruiken en we krijgen in de EPC alleen DHCP-pakketten verzonden door of verzonden naar het client-apparaat mac-adres.
In dit voorbeeld zien we de DHCP Discover-pakketten die als uitzending op VLAN 3 worden verzonden:
WLC EPC om DHCP te verifiëren
Bevestig de verwachte client VLAN in het beleidsprofiel:
VLAN in het beleidsprofiel
Controleer WLC VLAN en switchport Trunk-configuratie en DHCP-subnetvoeding:
VLAN, switchport en DHCP-subnet
We kunnen zien dat VLAN 3 bestaat in de WLC en het heeft ook SVI voor VLAN 3, maar wanneer we het DHCP server ip adres, zijn op verschillende subnetnummers verifiëren, daarom hebben we ip helper adres op de SVI nodig.
De beste praktijken dicteren dat SVI voor cliëntsubnets in de getelegrafeerde infrastructuur worden gevormd en hen bij WLC vermijden.
In elk van de gevallen moet de ip helper-address opdracht worden toegevoegd aan de SVI, ongeacht waar deze zich bevindt.
Een alternatief is het DHCP-serverip-adres in het beleidsprofiel te configureren:
IP-helperadres op SVI of beleidsprofiel
U kunt vervolgens met EPC controleren of DHCP-exchange nu ok is en of DHCP-server DNS-server IP(s) biedt:
DHCP-aanbiedingsdetails van DNS-serverip
7 - Is automatische omleiding mogelijk?
Controleer met WLC EPC of DNS-server op vragen antwoordt:
DNS-query en antwoorden
- Als de omleiding niet automatisch is, open een browser en probeer een willekeurig IP-adres. Bijvoorbeeld 10.0.0.1.
- Als de omleiding dan werkt, is het mogelijk dat u een DNS resolutieprobleem hebt.
Werkt het nog steeds niet?
Laten we teruggaan in de stroom...
Verkeersonderschepping en omleiding
8 - Browser toont niet login pagina?
Controleer of de client TCP/SYN naar poort 80 verstuurt en WLC deze onderschept:
TCP-hertransmissies naar poort 80
Hier kunnen we zien dat de client TCP SYN-pakketten naar poort 80 verstuurt, maar geen antwoord krijgt en TCP-heruitzendingen doet.
Zorg ervoor dat u de opdracht ip http server hebt in de globale configuratie of webauth-http-enabled in de parameter-map global:
http-onderscheppingsopdrachten
Na de opdracht onderschept WLC TCP en spoofs het bestemmingsip adres om te reageren op client en omleiden.
TCP-onderschepping door WLC
Werkt het nog steeds niet?
Er is meer in de stroom...
Inloggen van client bij ISE-gastenportal
9 - Kan de client ISE hostname oplossen?
Controleer of de URL een IP- of hostnaam gebruikt en of de client een ISE-hostnaam oplost:
ISE-hostnameresolutie
Een veelvoorkomend probleem wordt gezien wanneer de doorverwijzing URL de ISE hostname bevat, maar het clientapparaat kan die hostname niet oplossen naar het ISE IP-adres. Als hostname wordt gebruikt, zorg ervoor dat dit via DNS oplosbaar is.
10 - De inlogpagina wordt nog steeds niet geladen?
Controleer met WLC EPC en ISE TCPdump of clientverkeer ISE-PSN bereikt. Configureer en start de opnamen op WLC en ISE:
WLC EPC en ISE-CPDump
Na uitgifteweergave verzamelt u opnamen en correleert u verkeer. Hier zien we ISE hostname opgelost en vervolgens communicatie tussen client en ISE op poort 8443:
WLC- en ISE-verkeer
11 - Waarom krijgen we veiligheidsovertredingen door certificaat?
Als u zelf ondertekende certificaat op ISE gebruikt, dan verwacht de client dat de beveiligingswaarschuwing geeft wanneer de ISE portal inlogpagina wordt getoond.
Op de WLC EPC of ISE TCPdump kunnen we controleren of het ISE-certificaat betrouwbaar is.
In dit voorbeeld kunnen we een verbinding van client met waarschuwing zien (niveau: fataal, beschrijving: certificaat onbekend) wat betekent dat het ISE-certificaat niet bekend is (Trusted):
ISE-onbetrouwbaar certificaat
Als we controleren aan de clientzijde, zien we deze voorbeelden output:
Clientapparaat dat geen vertrouwen heeft in het ISE-certificaat
Tenslotte werkt omleiding!! Maar inloggen mislukt...
Een laatste keer de stroom controleren...
Inloggen bij client en CoA
12 - Gastenaanmelding mislukt?
Controleer de ISE-logbestanden op mislukte verificatie. Controleer of de referenties correct zijn.
Gastverificatie mislukt vanwege verkeerde referenties
13 - Login slaagt maar beweegt zich niet om te LOPEN?
Controleer ISE-logbestanden op verificatiedetails en resultaat:
Omleiding lus
In dit voorbeeld kunnen we zien dat de client opnieuw het autorisatieprofiel krijgt dat de Redirect URL en Redirect ACL bevat. Dit resulteert in een omleidingslus.
Controleer de beleidsset. Regel die Guest_Flow controleert moet vóór de omleiding zijn:
Guest_Flow-regel
14 - Cacao faalt?
Met EPC en ISE TCPDump kunnen we het CoA-verkeer verifiëren. Controleer of de CoA-poort (1700) is geopend tussen WLC en ISE. Zorg voor gedeelde geheime overeenkomsten.
CoA-verkeer
Opmerking: Zorg er bij versie 17.4.X en hoger voor dat u de CoA-servertoets ook configureert wanneer u de RADIUS-server configureert. Gebruik dezelfde sleutel als het gedeelde geheim (deze zijn standaard hetzelfde bij ISE). Het doel is om optioneel een andere sleutel voor CoA dan het gedeelde geheim te configureren als dat is wat uw RADIUS-server heeft geconfigureerd. In Cisco IOS® XE 17.3 gebruikte de web-UI gewoon hetzelfde gedeelde geheim als de CoA-toets.
Vanaf versie 17.6.1 wordt RADIUS (inclusief CoA) ondersteund via deze poort. Als u de servicepoort voor RADIUS wilt gebruiken, hebt u deze configuratie nodig:
aaa server radius dynamic-author
client 10.48.39.28 vrf Mgmt-intf server-key cisco123
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address x.x.x.x x.x.x.x
!if using aaa group server:
aaa group server radius group-name
server name nicoISE
ip vrf forwarding Mgmt-intf
ip radius source-interface GigabitEthernet0
Conclusie
Dit is de hervatte CWA checklist:
- Zorg ervoor dat de client op het juiste VLAN zit en IP-adres en DNS krijgt.
- Krijg clientgegevens bij WLC en voer pakketopnamen uit om DHCP-uitwisseling te zien.
- Controleer dat client hostnamen via DNS kan oplossen.
- Ping hostnaam van cmd.
- WLC moet luisteren op poort 80
- Controleer de globale opdracht ip http server of global parameter map commando webauth-http-enabled.
- Om van de certificaatwaarschuwing af te komen, installeer vertrouwd op certificaat op ISE.
- Geen behoefte om vertrouwd op certificaat op WLC in CWA te installeren.
- Verificatiebeleid bij geavanceerde ISE-optie "Doorgaan" indien gebruiker niet gevonden
- Om gesponsorde Gast gebruikers toe te staan om verbinding te maken en URL Redirect en ACL te krijgen.
En de belangrijkste tools die worden gebruikt bij de probleemoplossing:
- WLC EPC
- Binnenfilters: DHCP-protocol, MAC-adres.
- WLC-monitor
- Controleer de beveiligingsgegevens van de client.
- WLC RA-tracering
- Debugs met gedetailleerde info aan WLC kant.
- ISE-livelogs
- Verificatiegegevens.
- ISE-CPDump
- Verzamel pakketopnamen bij de ISE-PSN-interface.
Referenties
Configureren van Central Web Verification (CWA) op Catalyst 9800 WLC en ISE
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
25-Aug-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)