排除常見ISE訪客訪問問題

簡介

本文檔介紹如何對部署中的常見訪客問題進行故障排除，如何隔離並檢查問題，以及要嘗試的簡單解決方法。

必備條件 

需求

思科建議您瞭解以下主題：

• ISE訪客配置
• 網路接入裝置(NAD)上的CoA配置
• 需要工作站上的捕獲工具。

採用元件

本文檔中的資訊基於Cisco ISE版本2.6，以及：

• WLC 5500
• Catalyst交換器3850 15.x版本
• Windows 10工作站

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

訪客流

訪客流概述類似於有線或無線設定。此流程圖影像可用於整個檔案的參考。它有助於將步驟和實體視覺化。

也可以透過過濾終端ID來跟蹤ISE即時日誌[操作> RADIUS即時日誌]：

• MAB Authentication successful- username欄位具有MAC地址- URL被推送到NAD -使用者獲取門戶
• Guest Authentication successful - username欄位具有訪客使用者名稱，已標識為GuestType_Daily（或為訪客使用者配置的型別）
• CoA initiated-使用者名稱欄位為空，詳細報告顯示動態授權成功
• 已提供訪客訪問

影像中的事件順序（從下到上）：

通用部署指南

以下是組態協助的一些連結。對於任何特定使用案例的故障排除，了解理想或預期的配置會有所幫助。

• 有線訪客配置
• 無線訪客配置
• 具有FlexAuth AP的無線訪客CWA

常見問題

本檔案主要處理以下問題：

重新導向至訪客入口網站無法運作

從ISE推送重定向URL和ACL後，請檢查以下內容：

1. 使用命令show authentication session int <interface> details顯示交換機上的客戶端狀態（如果有線訪客接入）：

2. 無線區域網控制器上的客戶端狀態（如果無線訪客接入）：Monitor > Client > MAC address

3. 藉助命令提示符，從終端到TCP埠8443上ISE的可達性：C:\Users\user>telnet <ISE-IP> 8443。

4. 如果門戶重定向URL具有FQDN，請檢查客戶端是否能夠透過命令提示符進行解析：C:\Users\user>nslookup guest.ise.com。

5. 在Flex Connect設定中，確保在ACL和Flex ACL下配置了相同的ACL名稱。此外，驗證ACL是否已對映到AP。有關詳細資訊，請參閱上一節-步驟7 b和c中的配置指南。

6. 從客戶端捕獲資料包，並檢查重定向。移動的資料包HTTP/1.1 302頁面用於指示WLC/交換機將訪問的站點重定向到ISE訪客門戶（重定向URL）：

7. 網路存取裝置上已啟用HTTP(s)引擎：

• 在交換器上：

• 在WLC上：

 8. 如果WLC處於外部錨點設定中，請檢查以下內容：   

    步驟 1.兩個WLC上的客戶端狀態必須相同。

    步驟 2.必須在兩個WLC上看到重定向URL。

    步驟 3.必須在錨點WLC上停用RADIUS記帳。

動態授權失敗

如果終端使用者能夠訪問訪客門戶並成功登入，則下一步是更改授權以授予使用者的完全訪客訪問許可權。如果這不起作用，您會在ISE Radius即時日誌上看到動態授權故障。若要修正此問題，請檢查以下專案：

1. 必須在NAD上啟用/配置授權更改(CoA)：

 2. 防火牆上必須允許UDP埠1700。

3. WLC上的NAC狀態不正確。在WLC GUI > WLAN上的「Advanced settings」下，將NAC狀態更改為ISE NAC。

未傳送簡訊/電子郵件通知

1. 檢查管理>系統>設定> SMTP下的SMTP配置。

2. 檢查ISE以外的SMS/電子郵件網關API： 

在API客戶端或瀏覽器上測試供應商提供的URL，替換使用者名稱、密碼、行動電話號碼等變數，並測試可接通性[Administration > System > Settings > SMS Gateways]。

或者，如果從ISE發起人組[Workcenters > Guest Access > Portals and Components > Guest Types]進行測試，請對ISE和SMS/SMTP網關進行資料包捕獲以檢查是否：

1. 請求資料包未遭篡改即到達伺服器。
2. ISE伺服器具有供應商建議的網關處理此請求的許可權/許可權。

無法管理帳號頁面

1. Workcenters > Guest Access > Manage accounts按鈕重定向到埠9002上的ISE FQDN，以便ISE管理員訪問發起人門戶：

2. 使用nslookup <FQDN of ISE PAN>命令檢查發起人門戶所訪問的工作站是否解析了FQDN。

3. 使用show ports命令，從ISE的CLI檢查ISE TCP埠9002是否打開 | include 9002。

門戶證書最佳實踐

• 為了提供無縫的使用者體驗，用於門戶和管理員角色的證書必須由眾所周知的公共證書頒發機構（例如：GoDaddy、DigiCert、VeriSign等）簽署，瀏覽器通常信任該機構（例如：Google Chrome、Firefox等）。
  
  
• 建議不要使用靜態IP進行訪客重定向，因為這會使ISE的私有IP對所有使用者可見。大多數供應商不為私有IP提供第三方簽署的證書。
  
  
• 當您從ISE 2.4 p6遷移到p8或p9時，有一個已知Bug：Cisco Bug ID CSCvp75207，其中Trust for authentication within ISE和Trust for client authentication框必須在修補程式升級後手動選中。這可以確保ISE在訪問訪客門戶時發出TLS流的完整證書鏈。

如果這些操作無法解決訪客接入問題，請聯絡TAC獲取支援捆綁包，這些支援捆綁包收集自以下文檔中的說明：調試以在ISE上啟用。

相關資訊

• 思科技術支援與下載