Pada Cisco 5508 v7.2.103.0, saya memiliki beberapa WLAN yang dikonfigurasi. Sebut mereka ABC dan XYZ demi pertanyaan ini. ABC menggunakan 802.1X dan mendorong URL pengalihan halaman splash. XYZ menggunakan PSK dan menggunakan konfigurasi eksternal WebAuth untuk mendorong URL pengalihan halaman login. Kedua halaman splash dan login disajikan di bawah basis yang sama (server web eksternal) URL seperti http://webauth.example.com/splash.html dan /login.html.
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
Saya melihat perilaku yang tampaknya tidak konsisten saat URL pengalihan ditampilkan di perangkat, status webauth / NAC RUN, dan kemampuan untuk benar-benar mendapatkan akses Internet (atau tidak mendapatkannya saat saya seharusnya).
Saya mengerti bahwa halaman login memerlukan penerimaan (tidak perlu nama pengguna) sebelum mengizinkan lalu lintas untuk lewat dan WLC hanya harus berpikir bahwa halaman pembuka dilihat oleh perangkat (penerimaan tidak perlu) agar lalu lintas mengalir di sini.
Saya telah melihat hampir semua kondisi yang mungkin terjadi , tetapi kasus di mana arus lalu lintas tidak selalu masuk akal.
- Pengalihan Splash atau halaman Login terjadi saat menjelajah ke URL teks biasa yang tidak aman; webauth menunjukkan Diotentikasi dengan status NAC RUN, arus lalu lintas. Inilah yang diharapkan terjadi, tetapi tidak sering terjadi.
- Pengalihan Splash atau halaman Login tidak terjadi saat menjelajah ke URL teks biasa yang tidak aman; webauth menunjukkan Diotentikasi dengan status NAC RUN, arus lalu lintas (tetapi tidak seharusnya setelah menghapus klien dari WLC untuk memaksa pengalihan webauth yang tidak ditampilkan).
- Pengalihan Splash atau halaman Login tidak terjadi saat menjelajah ke URL teks biasa yang tidak aman; webauth tidak diautentikasi dengan status NAC WEBAUTH, arus lalu lintas (tetapi tidak boleh).
- Pengalihan Splash atau halaman Login terjadi saat menjelajah ke URL teks biasa yang tidak aman; webauth menunjukkan Tidak Diauthentikasi dengan status NAC WEBAUTH, lalu lintas tidak mengalir (tetapi harus jika WEBAUTH ditunjukkan saat berlalu).
- Pengalihan Splash atau halaman Login tidak terjadi saat menjelajah ke URL teks biasa yang tidak aman; webauth tidak diautentikasi dengan status NAC WEBAUTH, lalu lintas tidak mengalir (seperti yang diharapkan).
Dalam semua kasus, detail klien menunjukkan URL pengalihan diatur.
Dalam dua kasus di mana semuanya bekerja seperti yang diharapkan dengan redirect, webauth / run state, dan arus lalu lintas (diizinkan atau ditolak), saya tidak berpikir ACL adalah masalahnya. Tidak ada hal lain yang ditekan dari ACS selain dari redirect URL. Dua WLAN dikodekan ke VLAN yang berbeda.
Mungkinkah ini perilaku acak atau apakah mata saya hanya mempermainkan saya? Saya melihat perilaku yang sedikit berbeda dengan perangkat yang berbeda - beberapa lebih acak, beberapa kurang.
Apa pendekatan terbaik untuk mempersempit masalah ini?
Pembaruan : DNS bukan masalah. Jangkauan IP umum secara acak berfungsi di browser. Terlepas dari status webauth (RUN vs WEBAUTH-REQD), terkadang browser melewati dan terkadang tidak. (Permintaan awal selalu berupa HTTP teks biasa.) Saya bahkan pernah melihat traffic biasa untuk aplikasi non-web seperti SMTP, jadi saya benar-benar berpikir Webauth sedang mempermainkan ini, tapi saya tidak melihat ada yang jelas salah . Saya memiliki ACL preauth yang cukup liberal dan ACL tamu . Saya bahkan telah menambahkan izin apa pun kepada ACL yang tidak membuat perbedaan.
Jawaban:
Saya telah melihat masalah serupa dua kali di masa lalu.
Pertama kali, itu berkaitan dengan resolusi DNS. Saya melakukan pencarian DNS pada klien yang mengalami masalah, dan menyadari bahwa klien tidak mampu menyelesaikan URL yang saya lewati untuk halaman login. Ini karena saya melewati server DNS eksternal. Periksa dulu. Saya mengatasinya dengan melewatkan IP di URL, meskipun Anda bisa membuat cname yang memutuskan ke 1.1.1.1.
Kedua kalinya, itu adalah masalah sertifikat. Beberapa browser default tidak akan menampilkan layar splash jika pengguna harus menerima sertifikat yang ditandatangani sendiri. Saya akan mengujinya dengan menjelajah secara manual ke layar splash atau halaman login dari klien yang tidak secara otomatis menampilkannya.
Semoga salah satu dari mereka membantu Anda keluar. Saya tahu bahwa saya siap mencabut rambut ketika saya melihat ini pertama kali.
sumber