Solución de problemas comunes de acceso de invitado de Cisco ISE

Opciones de descarga

  • PDF     (1.1 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (764.4 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:4 de noviembre de 2020
ID del documento:216191

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo resolver problemas comunes de invitado en la implementación. Describe brevemente cómo aislar el problema, las comprobaciones comunes que se deben realizar y las soluciones sencillas que se deben intentar.

    Requisito previo 

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • configuración de invitado ISE
    • Configuración de CoA en dispositivos de acceso a la red (NAD)
    • Se requieren herramientas de captura en estaciones de trabajo.

    Componentes Utilizados

    La información de este documento se basa en Cisco ISE, versión 2.6 y:

    • WLC 5500
    • Catalyst switch 3850 versión 15.x
    • estación de trabajo Windows 10

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Flujo de invitado

    La descripción general del flujo de invitados es similar a la de las configuraciones por cable o inalámbricas. Esta imagen del diagrama de flujo se puede utilizar como referencia en todo el documento. Ayuda a visualizar el paso de resolución de problemas y la entidad.

    El flujo también se puede seguir en los registros en vivo de ISE [Operations > RADIUS Live Logs] filtrando la ID del terminal:

    • Autenticación MAB exitosa- el campo de nombre de usuario tiene la dirección MAC- la dirección URL se envía al NAD - El usuario obtiene el portal
    • Autenticación de invitado correcta: el campo nombre de usuario tiene el nombre de usuario de invitado, se ha identificado como GuestType_Daily (o el tipo configurado para el usuario invitado)
    • El campo Nombre de usuario iniciado por CoA está en blanco, el informe detallado muestra que la autorización dinámica se ha realizado correctamente
    • Acceso de invitado proporcionado

    Secuencia de eventos en la imagen (de abajo hacia arriba)

    Guías de implementación comunes

    A continuación se muestran algunos enlaces para obtener asistencia sobre la configuración. Para cualquier solución de problemas de casos prácticos específicos, ayuda a ser consciente de la configuración ideal o esperada.

    Problemas frecuentes

    Este documento aborda principalmente estos problemas:

    La redirección al portal de invitados no funciona

    Una vez que la URL de redirección y la ACL se envían desde ISE, verifique lo siguiente:

    1. Estado del cliente en el switch (si el acceso de invitado por cable) con el comando show authentication session int <interface> detalles:

    2. Estado del cliente en el controlador de LAN inalámbrica (si el acceso de invitado inalámbrico): Monitor > Client > MAC Address

    3. Alcance del punto final al ISE en el puerto TCP 8443 con la ayuda del símbolo del sistema: C:\Users\sotumu>telnet <ISE-IP> 8443

    4. Si la URL de redirección del portal tiene un FQDN, verifique si el cliente puede resolver desde el símbolo del sistema: C:\Users\sotumu>nslookup guest.ise.com

    5. En la configuración de conexión flexible, asegúrese de que el mismo nombre de ACL esté configurado en ACL y ACL flexibles. Además, verifique si la ACL está asignada a los AP. Consulte la guía de configuración de la sección anterior, pasos 7 b y c para obtener más información.

    6. Tome una captura de paquetes del cliente y verifique la redirección. El paquete HTTP/1.1 302 Page Moved es para indicar que el WLC/Switch redirigió el sitio al que se accedió (por ejemplo, google.com) al portal de invitados ISE (URL redirigido):

    7. El motor HTTP(s) está habilitado en los dispositivos de acceso a la red:

    En el switch:

    En el WLC:

     8. Si el WLC está en una configuración de anclaje externo, verifique lo siguiente:   

        Paso 1. El estado del cliente debe ser el mismo en ambos WLC.

        Paso 2. La URL de redirección debe ser vista en ambos WLC.

        Paso 3. RADIUS Accounting se debe inhabilitar en el WLC de anclaje.

    Falla la autorización dinámica

    Si el usuario final puede acceder al portal de invitados e iniciar sesión con éxito, el siguiente paso sería un cambio de autorización, para dar acceso completo al usuario al invitado. Si esto no funciona, se vería una falla de autorización dinámica en los registros en directo de ISE Radius. Para solucionar el problema, verifique lo siguiente:

    1. El cambio de autorización (CoA) debe estar habilitado/configurado en el NAD:

     2. El puerto UDP 1700 debe estar permitido en el firewall.

    3. El estado de NAC en el WLC es incorrecto. En Advanced settings on WLC GUI > WLAN - cambie el estado de NAC a ISE NAC.

    No se envían notificaciones de SMS/EMAIL

    1. Verifique la configuración SMTP bajo Administration > System > Settings > SMTP.

    2. Verifique la API para gateways SMS/Email fuera de ISE: 

    Pruebe las URL proporcionadas por el proveedor en un cliente de API o un navegador, reemplace las variables como nombres de usuario, contraseñas, número de móvil y pruebe el alcance. [Administration > System > Settings > SMS Gateways]

    Alternativamente, si está probando desde los grupos de patrocinadores de ISE [Workcenters > Guest Access > Portals and Components > Guest Types], tome una captura de paquetes en ISE y el gateway SMS/SMTP para verificar si

    1. El paquete de solicitud llega al servidor sin problemas.
    2. El servidor ISE tiene los permisos/privilegios recomendados por el proveedor para que el gateway procese esta solicitud.

    La página Administrar cuentas no está disponible

    1. En Workcenters > Guest Access > Manage accounts button se redirige al FQDN de ISE en el puerto 9002, para que el administrador de ISE acceda al portal del patrocinador:

    2. Compruebe si la estación de trabajo desde la que se accede al portal de patrocinadores resuelve el FQDN con el comando nslookup <FQDN de ISE PAN>.

    3. Verifique si el puerto TCP 9002 de ISE está abierto desde la CLI del ISE con el comando show ports | incluir 9002.

    Prácticas recomendadas del certificado del portal

    • Para una experiencia de usuario fluida, el certificado utilizado para los portales y las funciones de administrador debe estar firmado por una autoridad pública de certificados conocida (ejemplo: GoDaddy, DigiCert, VeriSign, etc.), de confianza común en los exploradores (por ejemplo: Google Chrome, Firefox, etc.).

    • No se recomienda utilizar IP estática para redirección de invitado, ya que esto hace que la IP privada de ISE sea visible para todos los usuarios. La mayoría de los proveedores no proporcionan certificados firmados por terceros para IP privada.

    • Cuando se mueve de ISE 2.4 p6 a p8 o p9, hay un error conocido: CSCvp75207, donde la confianza para la autenticación dentro de ISE y las casillas Confianza para la autenticación del cliente y Syslog deben comprobarse manualmente después de la actualización del parche. Esto garantiza que ISE envíe la cadena de certificación completa para el flujo TLS al acceder al portal de invitados.

    Si estas acciones no resuelven los problemas de acceso de invitado, póngase en contacto con el TAC con un paquete de soporte recopilado con las instrucciones del documento: Depuraciones para habilitar en ISE.

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Sowmya Bhargavi
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos