Su Cisco 5508 v7.2.103.0, ho configurato un paio di WLAN. Chiamali ABC e XYZ per il bene di questa domanda. ABC utilizza 802.1X e ottiene un URL di reindirizzamento della splash page premuto. XYZ utilizza PSK e utilizza la configurazione esterna WebAuth per inviare un URL di reindirizzamento della pagina di accesso. Entrambe le pagine splash e login sono offerte con lo stesso URL di base (server Web esterno) come http://webauth.example.com/splash.html e /login.html.
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
Vedo quello che sembra essere un comportamento incoerente quando gli URL di reindirizzamento vengono visualizzati sui dispositivi, lo stato di Webauth / NAC RUN e la possibilità di ottenere effettivamente l'accesso a Internet (o non ottenerlo quando dovrei).
Comprendo che la pagina di accesso richiede l'accettazione (nessun nome utente richiesto) prima di consentire il passaggio del traffico e il WLC deve semplicemente pensare che la splash page sia stata vista dal dispositivo (accettazione non necessaria) per il flusso del traffico qui.
Ho visto praticamente tutte le condizioni possibili , ma i casi in cui i flussi di traffico non hanno sempre senso.
- Il reindirizzamento della pagina iniziale o di accesso avviene quando si accede a un URL di testo semplice non protetto; webauth mostra Autenticato con stato NAC RUN, flussi di traffico. Questo è ciò che dovrebbe accadere, ma non succede spesso.
- Il reindirizzamento della pagina iniziale o di accesso non si verifica quando si accede a un URL di testo semplice non protetto; webauth mostra Autenticato con stato NAC RUN, flussi di traffico (ma non dovrebbe dopo aver rimosso il client da WLC per forzare il reindirizzamento webauth che non ha mostrato).
- Il reindirizzamento della pagina iniziale o di accesso non si verifica quando si accede a un URL di testo semplice non protetto; webauth non autenticato con stato NAC WEBAUTH, flussi di traffico (ma non dovrebbero).
- Il reindirizzamento della pagina iniziale o di accesso avviene quando si accede a un URL di testo semplice non protetto; webauth mostra Non autenticato con stato NBA WEBAUTH, il traffico non scorre (ma dovrebbe se WEBAUTH fosse mostrato come passato).
- Il reindirizzamento della pagina iniziale o di accesso non si verifica quando si accede a un URL di testo semplice non protetto; webauth non autenticato con lo stato NBA WEBAUTH, il traffico non scorre (come previsto).
In tutti i casi, i dettagli del client mostrano che è stato impostato l'URL di reindirizzamento.
Nei due casi in cui tutto ha funzionato come previsto con il reindirizzamento, lo stato di webauth / run e il flusso di traffico (sia consentito che negato), non credo che gli ACL siano il problema. Nient'altro viene rimosso da ACS oltre all'URL di reindirizzamento. Le due WLAN sono hardcoded su VLAN diverse.
Potrebbe essere un comportamento casuale o i miei occhi mi stanno solo giocando un trucco? Ho visto un comportamento leggermente diverso con dispositivi diversi: alcuni più casuali, altri meno.
Qual è l'approccio migliore per limitare questo problema?
Aggiornamento : DNS non è il problema. La raggiungibilità IP generale funziona in modo casuale nel browser. Indipendentemente dallo stato del webauth (RUN vs WEBAUTH-REQD), a volte il browser passa e talvolta no. (Le richieste iniziali sono sempre in chiaro HTTP.) Ho anche visto passare traffico regolare per app non web come SMTP, quindi sto davvero pensando che Webauth si stia comportando in questo modo, ma ovviamente non vedo nulla di sbagliato . Ho un bellissimo ACL abbastanza liberale e un guest ACL. Ho anche aggiunto un permesso qualsiasi / entrambi a entrambi gli ACL che non hanno fatto differenza.