本文描述使用者流量重定向如何工作,以及用交換機重定向資料包所需的條件。
思科建議您具有思科身份服務引擎(ISE)配置的經驗並具備以下主題的基本知識:
本文中的資訊係根據以下軟體和硬體版本:
對於大多數使用ISE的部署而言,交換機上的使用者流量重定向是一個關鍵元件。所有這些流都涉及交換機使用流量重定向:
錯誤配置的重定向是部署出現多個問題的原因。典型的結果是網路准入控制(NAC)代理無法正確彈出或無法顯示訪客門戶。
如需交換器沒有與使用者端VLAN相同的交換器虛擬介面(SVI)的案例,請參閱最後三個範例。
在客戶端上執行測試,應將測試重定向到ISE以進行調配(CPP)。使用者是透過MAC驗證略過(MAB)或802.1x進行驗證。ISE返回具有重定向訪問控制清單(ACL)名稱(REDIRECT_POSTURE)和重定向URL(重定向到ISE)的授權配置檔案:
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
可下載ACL (DACL)會允許此階段的所有流量:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
重新導向ACL允許此流量但不重新導向:
所有其他流量應重新導向:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
交換機與使用者在同一VLAN中有一個SVI:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
在下一節中,將對此進行修改以顯示潛在影響。
當您嘗試ping任何主機時,應該會收到回應,因為該流量沒有重新導向。要進行確認,請運行以下調試:
debug epm redirect
對於客戶端傳送的每個ICMP資料包,調試應顯示:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
要進行確認,請檢查ACL:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
起始流量到可直接由交換器連線的第3層(L3)的IP位址(交換器的網路具有SVI介面)時,會發生以下情況:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
如果目的主機192.168.1.20關閉(不響應),客戶端不會收到ARP應答(交換機不會攔截ARP),客戶端也不會傳送TCP SYN。不會發生重新導向。
這就是為什麼NAC代理使用預設網關進行發現。預設網關應始終響應並觸發重定向。
下面是這種情況發生的情況:
此案例與案例3完全相同。遠端VLAN中的目的主機是否存在並不重要。
如果交換器與使用者端不在同一VLAN中具有SVI UP,它仍可執行重新導向,但只有符合特定條件時才能執行。
交換機的問題是如何從其他SVI將響應返回給客戶端。很難確定應使用哪個源MAC地址。
此流程與SVI啟動時的流程不同:
注意這裡的不對稱性:
此案例與案例5完全相同。遠端主機是否存在並不重要。正確的路由非常重要。
如案例6所示,交換器上的HTTP程式非常重要。如果HTTP服務已停用,EPM會顯示封包抵達重新導向ACL:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
但是,重新導向永遠不會發生。
HTTP重定向不需要交換機上的HTTPS服務,但HTTPS重定向需要該服務。NAC代理可以使用兩者進行ISE發現。因此,建議同時啟用兩者。
請注意,交換器只能攔截在標準連線埠上執行的HTTP或HTTPS流量(TCP/80和TCP/443)。如果HTTP/HTTPS在非標準埠上工作,則可使用ip port-map http命令進行配置。此外,交換器必須讓其HTTP伺服器偵聽該連線埠(ip http port)。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
13-Feb-2014 |
初始版本 |