この記事では、ユーザ トラフィックのリダイレクトの動作と、スイッチによってパケットをリダイレクトするために必要な条件について説明します。
Cisco Identity Services Engine(ISE)の設定の経験があり、次のトピックについて基本的な知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
ほとんどの ISE 導入において、スイッチでのユーザ トラフィックのリダイレクトは重要なコンポーネントです。 次のフローはすべて、スイッチによるトラフィックのリダイレクトを使用します。
リダイレクトの設定を誤ると、導入においてさまざまな問題を引き起こします。 たとえば、ネットワーク アドミッション コントロール(NAC)エージェントが正しくポップアップしない、ゲスト ポータルを表示できないなどの問題が生じます。
スイッチに、クライアント VLAN と同じスイッチ仮想インターフェイス(SVI)がない場合は、最後の 3 つの例を参照してください。
テストは、プロビジョニング(CPP)用 ISE にリダイレクトされる必要があるクライアントで実行されます。 ユーザは、MAC 認証バイパス(MAB)または 802.1x によって認証されます。 ISE は、許可プロファイルとともに、リダイレクト アクセス コントロール リスト(ACL)の名前(REDIRECT_POSTURE)と、リダイレクト URL(ISE へのリダイレクト)を返します。
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
ダウンロード可能 ACL(DACL)は、この段階ですべてのトラフィックを許可します。
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
リダイレクト ACL は、このトラフィックをリダイレクトせずに許可します。
その他のトラフィックはすべてリダイレクトされます。
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
スイッチは、ユーザと同じ VLAN に SVI を持っています。
interface Vlan10
ip address 192.168.1.10 255.255.255.0
次のセクションでは、潜在的な影響を示すために、これが変更されます。
任意のホストを ping しようとすると、そのトラフィックがリダイレクトされないため、応答が受信されます。 確認するには、この debug を実行します。
debug epm redirect
クライアントから送信される各 ICMP パケットについて、次の debug が表示される必要があります。
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
確認するには、ACL を検証します。
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
スイッチ(スイッチのネットワークには SVI インターフェイスがある)によって直接レイヤ 3(L3)に到達可能な IP アドレスへのトラフィックを開始すると、次のことが起こります。
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
宛先ホスト 192.168.1.20 がダウンした(応答がない)場合、クライアントは ARP 応答を受信せず(スイッチが ARP をインターセプトしない)、クライアントは TCP SYN を送信しません。 このため、リダイレクトは行われません。
NAC エージェントが検出にデフォルト ゲートウェイを使用するのはそのためです。 デフォルト ゲートウェイは常に応答し、リダイレクトをトリガーします。
このシナリオでは次のことが実行されます。
このシナリオは、シナリオ 3 とまったく同じです。 宛先ホストがリモート VLAN に存在するかどうかは問題ではありません。
スイッチが、クライアントと同じ VLAN に SVI UP を持っていない場合、特定の条件が一致した場合にだけリダイレクトが行われます。
スイッチにとって問題になるのは、異なる SVI からクライアントに応答を返す方法です。 使用する送信元 MAC アドレスを決定するのは困難を伴います。
フローは SVI が UP である場合とは異なります。
ここでは非対称性に注目してください。
このシナリオは、シナリオ 5 とまったく同じです。 リモート ホストが存在するかどうか問題ではありません。 重要なのは、正しいルーティングです。
シナリオ 6 で示されているように、スイッチの HTTP プロセスは重要な役割を果たします。 HTTP サービスが無効の場合、EPM は、パケットがリダイレクト ACL に到達したことを示します。
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
ただし、リダイレクトは行われません。
スイッチの HTTPS サービスは、HTTP リダイレクトには必要ありませんが、HTTPS リダイレクトには必要です。 NAC エージェントは両方の ISE 検出を使用できます。 そのため、両方を有効にすることを推奨します。
スイッチは、標準ポート(TCP/80 および TCP/443)で稼働する HTTP または HTTPS トラフィックのみをインターセプトできることに注意してください。 HTTP/HTTPS が非標準ポートで稼働している場合は、ip port-map http コマンドを使用して設定できます。 また、スイッチは、そのポート(ip http port)で自身の HTTP サーバをリッスンさせる必要があります。