Avez-vous un compte?
Cet article décrit comment les travaux de redirection du trafic d'utilisateur et les conditions qui sont nécessaires afin de réorienter le paquet par le commutateur.
Cisco recommande que vous ayez l'expérience avec la configuration du Logiciel Cisco Identity Services Engine (ISE) et la connaissance de base de ces thèmes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
La redirection du trafic d'utilisateur sur le commutateur est un élément essentiel pour la plupart des déploiements avec l'ISE. Tous ces écoulements comportent l'utilisation de la redirection du trafic par le commutateur :
La redirection inexactement configurée est la cause de plusieurs problèmes avec le déploiement. Le résultat typique est un agent de Contrôle d'admission au réseau (NAC) qui ne s'affiche pas correctement ou une incapacité d'afficher le portail d'invité.
Pour les scénarios dans lesquels le commutateur n'a pas même Switch Virtual Interface (SVI) que le client VLAN, référez-vous aux trois derniers exemples.
Des essais sont réalisés sur le client, qui devrait être réorienté à ISE pour le ravitaillement (CPP). L'utilisateur est authentifié par l'intermédiaire de la dérivation d'authentification MAC (MAB) ou du 802.1x. ISE renvoie le profil d'autorisation avec le nom de liste de contrôle d'accès de réorientation (ACL) (REDIRECT_POSTURE) et réoriente URL (redirect to ISE) :
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
L'ACL téléchargeable (DACL) permet tout le trafic à ce stade :
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
L'ACL de réorientation permet ce trafic sans redirection :
Tout autre trafic devrait être réorienté :
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Le commutateur a un SVI dans le même VLAN que l'utilisateur :
interface Vlan10
ip address 192.168.1.10 255.255.255.0
Dans les sections suivantes, ceci est modifié afin de présenter l'impact potentiel.
Quand vous essayez de cingler n'importe quel hôte, vous devriez recevoir une réponse parce que ce trafic n'est pas réorienté. Afin de confirmer, exécutez ceci mettent au point :
debug epm redirect
Pour chaque paquet d'ICMP envoyé par le client, met au point devrait présenter :
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
Afin de confirmer, examinez l'ACL :
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Quand vous initiez le trafic à l'adresse IP qui est directement la couche 3 (L3) accessible par le commutateur (le réseau pour le commutateur a une interface SVI), voici ce qui se produit :
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
Si la destination host 192.168.1.20 est en baisse (ne répond pas), le client ne reçoit pas de réponse d'ARP (le commutateur n'intercepte pas l'ARP), et le client n'envoie pas une synchronisation de TCP. La redirection ne se produit jamais.
C'est pourquoi l'agent NAC utilise une passerelle par défaut pour une détection. Une passerelle par défaut devrait toujours répondre et le déclencheur réoriente.
Voici ce qui se produit dans ce scénario :
Ce scénario est exactement identique que le scénario 3. Il n'importe pas si la destination host dans un distant VLAN existe ou pas.
Si le commutateur n'a pas le SVI dans le même VLAN que le client, il peut encore exécuter la redirection mais seulement quand des conditions spécifiques sont appariées.
Le problème pour le commutateur est comment renvoyer la réponse au client d'un SVI différent. Il est difficile de déterminer quelle adresse MAC source devrait être utilisée.
L'écoulement est différent de quand le SVI est :
Notez l'asymétrie ici :
Ce scénario est exactement identique que le scénario 5. Il n'importe pas que le serveur distant existe. Le routage correct est ce qui est important.
Comme présenté dans le scénario 6, le processus de HTTP sur le commutateur joue un important rôle. Si le service HTTP est désactivé, EPM prouve que le paquet atteint l'ACL de réorientation :
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
Cependant, la redirection ne se produit jamais.
Le service HTTPS sur le commutateur n'est pas exigé pour un HTTP réorientent, mais on l'exige pour HTTPS réorientent. L'agent NAC peut utiliser chacun des deux pour la détection ISE. Par conséquent, on lui informe pour activer chacun des deux.
Notez que le commutateur peut seulement intercepter le trafic de HTTP ou HTTPS qui travaille aux ports standard (TCP/80 et TCP/443). Si HTTP/HTTPS travaille à un port non standard, il peut être configuré avec la commande de HTTP d'ip port-map. En outre, le commutateur doit faire écouter son serveur HTTP sur ce port (ip http port).