Catalyst 3750系列交換機上的ISE流量重定向
目錄
簡介
本文描述使用者流量重定向如何工作,以及用交換機重定向資料包所需的條件。
必要條件
需求
思科建議您具有思科身份服務引擎(ISE)配置的經驗並具備以下主題的基本知識:
- ISE部署和中央Web身份驗證(CWA)流程
- Cisco Catalyst交換機的CLI配置
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- Microsoft Windows 7
- Cisco Catalyst 3750X系列交換機軟體,版本15.0及更高版本
- ISE軟體,版本1.1.4及更高版本
背景資訊
對於大多數使用ISE的部署而言,交換機上的使用者流量重定向是一個關鍵元件。所有這些流都涉及交換機使用流量重定向:
- CWA
- 使用者端布建(CPP)
- 裝置註冊(DRW)
- 原生Supplicant客戶端調配(NSP)
- 流動裝置管理(MDM)
錯誤配置的重定向是部署出現多個問題的原因。典型的結果是網路准入控制(NAC)代理無法正確彈出或無法顯示訪客門戶。
如需交換器沒有與使用者端VLAN相同的交換器虛擬介面(SVI)的案例,請參閱最後三個範例。
疑難排解
測試案例
在客戶端上執行測試,應將測試重定向到ISE以進行調配(CPP)。使用者是透過MAC驗證略過(MAB)或802.1x進行驗證。ISE返回具有重定向訪問控制清單(ACL)名稱(REDIRECT_POSTURE)和重定向URL(重定向到ISE)的授權配置檔案:
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
可下載ACL (DACL)會允許此階段的所有流量:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
重新導向ACL允許此流量但不重新導向:
- 發往ISE的所有流量(10.48.66.74)
- 網域名稱系統(DNS)和網際網路控制訊息通訊協定(ICMP)流量
所有其他流量應重新導向:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
交換機與使用者在同一VLAN中有一個SVI:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
在下一節中,將對此進行修改以顯示潛在影響。
流量無法到達重新導向ACL
當您嘗試ping任何主機時,應該會收到回應,因為該流量沒有重新導向。要進行確認,請運行以下調試:
debug epm redirect
對於客戶端傳送的每個ICMP資料包,調試應顯示:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
要進行確認,請檢查ACL:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
流量到達重新導向ACL
方案1 -目標主機位於同一個VLAN中,存在,並且為SVI 10 UP
起始流量到可直接由交換器連線的第3層(L3)的IP位址(交換器的網路具有SVI介面)時,會發生以下情況:
- 使用者端對相同VLAN中的目的地主機(192.168.1.20)起始位址解析通訊協定(ARP)解析要求,並接收回應(ARP流量永遠不會重新導向)。
- 交換器會攔截該作業階段,即使該交換器上未設定目的地IP位址也是如此。客戶端和交換機之間的TCP握手已完成。在這個階段,沒有其他封包傳送到交換器外部。在此案例中,使用者端(192.168.1.201)已啟動與存在於該VLAN (192.168.1.20)中且交換器具有SVI介面UP (IP位址為192.168.1.10)之其他主機的TCP作業階段:
- 建立TCP會話並傳送HTTP請求後,交換機返回重定向到ISE(位置報頭)的HTTP響應。
這些步驟均透過調試進行確認。有若干ACL命中:epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
這也可以透過更詳細的調試進行確認:debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ... - 客戶端直接連線到ISE(安全套接字層(SSL)會話到10.48.66.74:8443)。此封包不會觸發重新導向:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
方案2 -目標主機位於同一個VLAN中,不存在,且為SVI 10 UP
如果目的主機192.168.1.20關閉(不響應),客戶端不會收到ARP應答(交換機不會攔截ARP),客戶端也不會傳送TCP SYN。不會發生重新導向。
這就是為什麼NAC代理使用預設網關進行發現。預設網關應始終響應並觸發重定向。
方案3 -目標主機位於不同的VLAN中,存在,並且為SVI 10 UP
下面是這種情況發生的情況:
- 客戶端嘗試訪問HTTP://8.8.8.8。
- 該網路不在交換機上的任何SVI上。
- 使用者端會將該作業階段的TCP SYN傳送到預設閘道192.168.1.10(已知目的地MAC位址)。
- 重新導向的觸發方法與第一個範例完全相同。
- 交換機攔截該會話並返回重定向到ISE伺服器的HTTP響應。
- 客戶端訪問ISE伺服器沒有問題(流量沒有重定向)。
方案4 -目標主機位於不同的VLAN中,不存在,並且是SVI 10 UP
此案例與案例3完全相同。遠端VLAN中的目的主機是否存在並不重要。
方案5 -目標主機位於不同的VLAN中,存在,並且SVI 10已關閉
如果交換器與使用者端不在同一VLAN中具有SVI UP,它仍可執行重新導向,但只有符合特定條件時才能執行。
交換機的問題是如何從其他SVI將響應返回給客戶端。很難確定應使用哪個源MAC地址。
此流程與SVI啟動時的流程不同:
- 使用者端將TCP SYN傳送到不同VLAN (192.168.2.20)中的主機,目的MAC位址設定為上游交換器上定義的預設閘道。此封包抵達重新導向ACL,其顯示方式為偵錯。
- 交換機檢驗它是否有返回客戶端的路由。記住SVI 10已關閉。
- 如果交換器沒有另一個SVI,且該交換器具有傳回使用者端的路由,則即使企業原則管理員(EPM)記錄指出已到達ACL,該封包也不會被攔截或重新導向。遠端主機可能傳回SYN ACK,但交換器沒有傳回使用者端(VLAN10)的路由,因此捨棄封包。封包無法僅交換回(L2),因為它已到達重新導向ACL。
- 如果交換器確實透過不同的SVI擁有通往使用者端VLAN的路由,便會攔截該封包並照常執行重新導向。使用URL-redirect的回應不會直接傳送到使用者端,而是根據路由決定透過不同的交換器/路由器。
注意這裡的不對稱性:
- 從客戶端接收的流量被交換機本地攔截。
- 該響應(包括HTTP重定向)基於路由透過上游交換機傳送。
- 這時可能會發生典型的防火牆問題,並且需要TCP繞過。
- 未重定向至ISE的流量是對稱的。只有重新導向本身是不對稱的。
方案6 -目標主機位於不同VLAN中,不存在,並且SVI 10已關閉
此案例與案例5完全相同。遠端主機是否存在並不重要。正確的路由非常重要。
方案7 - HTTP服務關閉
如案例6所示,交換器上的HTTP程式非常重要。如果HTTP服務已停用,EPM會顯示封包抵達重新導向ACL:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
但是,重新導向永遠不會發生。
HTTP重定向不需要交換機上的HTTPS服務,但HTTPS重定向需要該服務。NAC代理可以使用兩者進行ISE發現。因此,建議同時啟用兩者。
重定向ACL -協定和埠不正確,無重定向
請注意,交換器只能攔截在標準連線埠上執行的HTTP或HTTPS流量(TCP/80和TCP/443)。如果HTTP/HTTPS在非標準埠上工作,則可使用ip port-map http命令進行配置。此外,交換器必須讓其HTTP伺服器偵聽該連線埠(ip http port)。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
13-Feb-2014 |
初始版本 |
意見