アルバ ワイヤレスで ISE 2.0 サード パーティ 統合を設定して下さい
目次
概要
この資料にサード パーティ 統合 機能 Identity Services Engine (ISE)を on Cisco 解決する方法を記述されています。 それは他の開発元およびフローと統合のためにガイドとして使用することができます。 ISE バージョン 2.0 はサード パーティ 統合をサポートします。 これはアルバ IAP 204 によって管理される Bring のための ISE と無線ネットワークを統合方法をあなた自身のデバイス(BYOD)サービス示す設定例です。
前提条件
要件
次の項目に関する知識が推奨されます。
- アルバ IAP 設定
- ISE の BYOD フロー
- パスワードおよび証明書認証のための ISE 設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づくものです。
- Aruba IAP 204 ソフトウェア 6.4.2.3
- Cisco ISE リリース 2.0 以降
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
設定
ネットワーク図
Aruba AP が管理するワイヤレス ネットワークは 2 つあります。 最初の 1 つは 802.1X 拡張可能認証によってプロトコル保護される EAP (EAP-PEAP)アクセスのために(mgarcarz_byod)使用されます。 認証の成功の後で、アルバ コントローラは ISE BYOD ポータルに- (NSP)フローを提供するネイティブ サプリカント ユーザをリダイレクトする必要があります。 ユーザはリダイレクトされます、ネットワーク セットアップ アシスタント(NSA)アプリケーションは実行され、証明書は Windows クライアントで提供され、インストールされています。 そのプロセスには SE 内部 CA が使用されます(デフォルト設定)。 NSA は 802.1X 拡張可能認証プロトコル転送する 層 セキュリティ(EAP-TLS)認証のためにアルバ(mgarcarz_byod_tls)によって管理される聖餐式 セット ID (SSID)用のワイヤレス プロファイルの作成にまた責任があります-その使用されます。
その結果、企業ユーザは個人的なデバイスの onboarding を行い、社内ネットワークに安全なアクセスを得られます。
この例はアクセスの異なる型のために容易に修正することができますたとえば:
- BYOD サービスを使用する中央 Web 認証(CWA)
- Posture および BYOD のリダイレクションを使用する 802.1x 認証
- 通常、なぜなら EAP-PEAP 認証 Active Directory 使用されます(この技術情報不足分内部 ISE はユーザを保存するため使用されます)
- 通常、なぜなら証明書 プロビジョニング外部 Simple Certificate Enrollment Protocol (SCEP) サーバ、ISE CA 使用されます一般に Microsoft ネットワークデバイス登録サービス(NDES)この記事を短い、内部保存するために使用されます。
サード パーティ サポートの課題
ISE ゲスト フローを使用する時チャレンジはである何(BYOD のように、CWA、NSP、クライアント提供ポータル(CPP)) サード パーティ デバイスを使ってか。
セッション(Sessions)
Ciscoネットワーク アクセスデバイス(NAD)は監査セッション ID と呼ばれるセッションID についての認証、許可、アカウンティング(AAA) サーバを知らせるために Radius cisco-av-pair を使用します。 その値は ISE によってセッションをトラッキングし、各フローに正しいサービスを提供するために使用されます。 他の開発元は Cisco AV ペアをサポートしません。 このように、ISE は Access-Request および会計 要求で受け取った IETF 属性に頼らなければなりません。
Access-Request を受け取った後、ISE は Cisco 総合されたセッションID を構築します(呼出ステーション ID、Nas-port、NAS-IP-Address および共有秘密から)。 値にローカルな重要性だけがあること(ネットワークによって送信 されなくて)。 正しい属性を接続するとその結果、それは各フロー(BYOD、CWA、NSP、CPP)から期待しました-従って ISE は Cisco セッションID を計算し直し、それを正しいセッションに関連させ、フローを続けるためにルックアップを行えます。
URL リダイレクト
ISE は特定のトラフィックがリダイレクトする必要があること URL リダイレクトおよび URL リダイレクト ACL と呼ばれる NAD を知らせるために Radius cisco-av-pair を使用します。
他の開発元は Cisco AV ペアをサポートしません。 そう一般的に、それらのデバイスは ISE の特定のサービス(許可 プロファイル)を指す静的なリダイレクション URL で設定する必要があります。 ユーザが HTTPセッションを始めれば、URL への NADs それらのリダイレクトはまた ISE を可能にするために追加引数を(IP アドレスか MAC アドレスのように)識別し、特定のセッションを続けますフローを接続し。
CoA
ISE はサブスクライバと呼ばれる Radius cisco-av-pair を使用します: command、subscriber: 再認証型どんな操作が特定のセッションのために NAD 奪取 する必要があるか示すため。 他の開発元は Cisco AV ペアをサポートしません。 そう一般的に、それらのデバイスは RFC CoA (3576 か 5176)および 2 つの定義されたメッセージの 1 つを使用します:
- Disconnect 要求が(切断パケットとまた呼ばれる) -そのはセッションを切断するのに使用されています(頻繁に再接続を強制するため)
- coa push:切断せずにセッション ステータスを透過的に変更するために使用する(たとえば、VPN セッションや、新たに適用された ACL など)
ISE は、cisco-av-pair を使用する Cisco CoA も、CoA RFC 3576 と 5176 もサポートします。
ISE でのソリューション
サード パーティ ベンダーをサポートするために、ISE 2.0 は記述するネットワークデバイス プロファイルの概念を導入しました-セッション、URL リダイレクトおよび CoA がどのようにサポートされるか特定のベンダーがどのように動作するかか。
認証プロファイルは特定のタイプのプロファイル(ネットワーク デバイス プロファイル)であり、認証が実行されると、そのプロファイルから ISE の動作が取得されます。 その結果、他の開発元からのデバイスは ISE によって容易に管理することができます。 また、ISE の設定には柔軟性があり、新しいネットワーク デバイス プロファイルを調整したり、作成したりすることもできます。
この記事では、Aruba デバイスのデフォルト プロファイルの使用法について説明します。
機能の詳細については、以下の情報を参照してください。
Cisco Identity Services Engine でのネットワーク アクセス デバイス プロファイル
Cisco ISE
ステップ 1.ネットワークデバイスにアルバ ワイヤレス コントローラを追加して下さい
[管理(Administration)] > [ネットワーク リソース(Network Resources)] > [ネットワーク デバイス(Network Devices)] に移動します。 指定ベンダー用の正しいデバイス プロファイルを、この場合選択して下さい: ArubaWireless を選択します。 イメージに示すように共有秘密および CoA ポートを設定するために確認して下さい。
、望ましいベンダー用の利用可能 な プロファイルがなければ、Administration > ネットワークリソース > ネットワークデバイス プロファイルの下で設定することができます。
ステップ 2.設定 許可 プロファイル
ポリシー > ポリシー要素へのナビゲートは > > 許可 > 許可プロファイル選択します同じネットワークデバイス プロファイル 次ステップ 1. ArubaWireless を生じます。 設定されるプロファイルは門脈 BYOD のおよびイメージに示すようにアルバ リダイレクトBYOD です。
[Web Redirection] 設定の欠落している部分では、認証プロファイルへのスタティック リンクが生成されます。 アルバがアルバでおよびイメージに示すように設定されるゲスト ポータルにダイナミック リダイレクションをサポートしない間、各許可 プロファイルに割り当てられる 1 リンクがあります。
ステップ 3.設定承認規則
ポリシー > 承認規則および設定へのナビゲートはイメージに示すようにあります。
最初に、ユーザは BYOD ポータルをディフォルトするためにクライアントをリダイレクトする ISE 戻り許可 プロファイル アルバ リダイレクトBYOD におよび SSID mgracarz_aruba 接続します。 BYOD プロセスの完了が EAP-TLS と、クライアント接続した、ネットワークへのフルアクセスが許可される後。
Aruba AP
ステップ 1.捕虜門脈設定
Aruba 204 上でキャプティブ ポータルを設定するには、[Security] > [External Captive Portal] に移動し、新規ポータルを追加します。 適切な設定用のおよびイメージに示すようにこの情報を入力して下さい。
- Type: RADIUS認証
- IP or hostname: ISE サーバ
- URL: ISE において認証プロファイルの設定で作成したリンク。 それは特定の許可 プロファイルに特定で、Web リダイレクション 設定の下でここに見つけることができます
- Port: 選択したポータルがホストされている ISE 上のポート番号(デフォルト: イメージに示すように 8443)。
ステップ 2. RADIUSサーバ設定
Security > Authentication サーバへのナビゲートは CoA ポートがイメージに示すように ISE で設定されると同じであることを確認します。 しかし(デフォルトでアルバ 204 で RFC 5176 と対応しないそれは 5999 に設定 されますまた ISE を使用しないし、)。
ステップ 3. SSID 設定
- Security タブはイメージに示すようにあります。
- [Access] タブ: SSID の捕虜ポータルを設定するためにネットワークベース アクセス規則を選択して下さい。
ステップ 1.で『New』 をクリック したり、選択する規則の種類を設定された捕虜ポータルを使用して下さい: 捕虜ポータル、スプラッシュ ページの種類: イメージに示すように外部。
さらにアルバでデフォルトで設定されるルール間、ISE サーバ(範囲 1-20000 の TCP ポート)にすべてのトラフィックを割り当てて下さい: すべての宛先にイメージに示すようにきちんとはたらかないようです許可して下さい。
確認
このセクションでは、設定が正常に機能していることを確認します。
ステップ 1. EAP-PEAP の SSID mgarcarz_aruba への接続
ISE 上の最初の認証ログが表示されます。 デフォルトの認証 ポリシーはイメージに示すように、アルバ リダイレクトBYOD 許可 プロファイル戻りました使用されました。
ISE は EAP 成功の Radius Access-Accept メッセージを返します。 追加属性がイメージに示すように(Cisco AVペア URL リダイレクトか URL リダイレクト ACL 無し)戻らないことに注目して下さい。
アルバはセッションが(EAP-PEAP 識別です cisco)設定され、ことを報告します指定ロールはイメージに示すように mgarcarz_aruba です。
この役割は、ISE へのリダイレクション(Aruba 上のキャプティブ ポータルの機能)を実行します。
アルバ CLI では、そのセッションのための現在の認証ステータスはであるもの確認することは可能性のあるです:
04:bd:88:c3:88:14# show datapath user
Datapath User Table Entries
---------------------------
Flags: P - Permanent, W - WEP, T- TKIP, A - AESCCM
R - ProxyARP to User, N - VPN, L - local, I - Intercept, D - Deny local routing
FM(Forward Mode): S - Split, B - Bridge, N - N/A
IP MAC ACLs Contract Location Age Sessions Flags Vlan FM
--------------- ----------------- ------- --------- -------- ----- --------- ----- ---- --
10.62.148.118 04:BD:88:C3:88:14 105/0 0/0 0 1 0/65535 P 1 N
10.62.148.71 C0:4A:00:14:6E:31 138/0 0/0 0 0 6/65535 1 B
0.0.0.0 C0:4A:00:14:6E:31 138/0 0/0 0 0 0/65535 P 1 B
172.31.98.1 04:BD:88:C3:88:14 105/0 0/0 0 1 0/65535 P 3333 B
0.0.0.0 04:BD:88:C3:88:14 105/0 0/0 0 0 0/65535 P 1 N
04:bd:88:c3:88:14#
そして ACL ID 138 を現在のアクセス許可があるように確認するため:
04:bd:88:c3:88:14# show datapath acl 138
Datapath ACL 138 Entries
-----------------------
Flags: P - permit, L - log, E - established, M/e - MAC/etype filter
S - SNAT, D - DNAT, R - redirect, r - reverse redirect m - Mirror
I - Invert SA, i - Invert DA, H - high prio, O - set prio, C - Classify Media
A - Disable Scanning, B - black list, T - set TOS, 4 - IPv4, 6 - IPv6
K - App Throttle, d - Domain DA
----------------------------------------------------------------
1: any any 17 0-65535 8209-8211 P4
2: any 172.31.98.1 255.255.255.255 6 0-65535 80-80 PSD4
3: any 172.31.98.1 255.255.255.255 6 0-65535 443-443 PSD4
4: any mgarcarz-ise20.example.com 6 0-65535 80-80 Pd4
5: any mgarcarz-ise20.example.com 6 0-65535 443-443 Pd4
6: any mgarcarz-ise20.example.com 6 0-65535 8443-8443 Pd4 hits 37
7: any 10.48.17.235 255.255.255.255 6 0-65535 1-20000 P4 hits 18
<....some output removed for clarity ... >
設定されたものがとイメージに示すようにそのロールのための GUI でその一致します。
ステップ 2. BYOD のための Webブラウザ トラフィック リダイレクション
ユーザが Webブラウザを開き、アドレスを入力すれば、リダイレクションはイメージに示すように発生します。
アルバが宛先(5.5.5.5)をスプーフィングし、ISE に HTTP リダイレクションを戻すことがパケットキャプチャを検知 して、確認されます。
それが同じスタティック URL ISE の設定によっておよびコピーされるアルバの捕虜ポータルにであるが、ことに注目して下さい-次の通りおよびイメージに示すようにその上に複数の引数は追加されます:
- cmd = login
- mac = c0:4a:00:14:6e:31
- essid = mgarcarz_aruba
- ip = 10.62.148.7
- apname = 4bd88c38814 (mac)
- url = http://5.5.5.5
これらの引数が理由で、ISE は Cisco セッションID を作り直し、ISE の対応した セッションを調べ、BYOD (または設定される他のどの)フローと続けます。 Ciscoデバイスに関しては、audit_session_id は普通使用されますが、それは他の開発元によってサポートされません。
ISE デバッグから、(ネットワークに決して送信 されない)監査セッション ID の生成が評価するのを見ることは可能性のあるであることを確認するため:
AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
c04a00146e31,FramedIPAddress=10.62.148.71,MessageFormatter::appendValue() attrName:
cisco-av-pair appending value:
audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M
そして次に、BYOD ページの 2 デバイスの登録の後のそれの相関:
AcsLogs,2015-10-29 23:25:48,538,DEBUG,0x7fc0b39a4700,cntx=0000032947,CallingStationID=
c04a00146e31,FramedIPAddress=10.62.148.71,Log_Message=[2015-10-29 23:25:48.533 +01:00
0000011874 88010 INFO MyDevices: Successfully registered/provisioned the device
(endpoint), ConfigVersionId=145, UserName=cisco, MacAddress=c0:4a:00:14:6e:31,
IpAddress=10.62.148.71, AuthenticationIdentityStore=Internal Users,
PortalName=BYOD Portal (default), PsnHostName=mgarcarz-ise20.example.com,
GuestUserName=cisco, EPMacAddress=C0:4A:00:14:6E:31, EPIdentityGroup=RegisteredDevices
Staticassignment=true, EndPointProfiler=mgarcarz-ise20.example.com, EndPointPolicy=
Unknown, NADAddress=10.62.148.118, DeviceName=ttt, DeviceRegistrationStatus=Registered
AuditSessionId=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M,
cisco-av-pair=audit-session-id=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M
順次要求では、クライアントは BYOD ページに 3. NSA がダウンロードされ、実行されるところでリダイレクトされます。
ステップ 3.ネットワーク セットアップ アシスタント実行
NSA には Web ブラウザと同じタスクがあります。 最初に、それは ISE の IP アドレスはであるもの検出する必要があります。 この検出は HTTP リダイレクションによって実行されます。 しかしこの時間以来ユーザに IP アドレス(次 Webブラウザ)を入力する可能性がそのトラフィック自動的に生成されますありません。 デフォルト ゲートウェイはイメージに示すように(enroll.cisco.com も使用することができます)使用されます。
応答は Webブラウザのためと丁度同じです。 この方法で NSA は、ISE に接続し、xml プロファイルを設定とともに取得し、SCEP 要求を生成し、それを ISE に送信して、署名付き証明書(ISE の内部 CA による署名)を取得し、ワイヤレス プロファイルを設定し、最終的に設定済み SSID に接続できます。 クライアントからログを集めて下さい(Windows で %temp%/spwProfile.log にあって下さい)。 分かりやすくするために、一部の出力を省略しています。
Logging started
SPW Version: 1.0.0.46
System locale is [en]
Loading messages for english...
Initializing profile
SPW is running as High integrity Process - 12288
GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\ for file name = spwProfile.xml result: 0
GetProfilePath: searched path = C:\Users\ADMINI~1.EXA\AppData\Local\Temp\Low for file name = spwProfile.xml result: 0
Profile xml not found Downloading profile configuration...
Downloading profile configuration...
Discovering ISE using default gateway
Identifying wired and wireless network interfaces, total active interfaces: 1
Network interface - mac:C0-4A-00-14-6E-31, name: Wireless Network Connection, type: wireless
Identified default gateway: 10.62.148.100
Identified default gateway: 10.62.148.100, mac address: C0-4A-00-14-6E-31
redirect attempt to discover ISE with the response url
DiscoverISE - start
Discovered ISE - : [mgarcarz-ise20.example.com, sessionId: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M]
DiscoverISE - end
Successfully Discovered ISE: mgarcarz-ise20.example.com, session id: 0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M, macAddress: C0-4A-00-14-6E-31
GetProfile - start
GetProfile - end
Successfully retrieved profile xml
using V2 xml version
parsing wireless connection setting
Certificate template: [keysize:2048, subject:OU=Example unit,O=Company name,L=City,ST=State,C=US, SAN:MAC]
set ChallengePwd
creating certificate with subject = cisco and subjectSuffix = OU=Example unit,O=Company name,L=City,ST=State,C=US
Installed [LAB CA, hash: fd 72 9a 3b b5 33 72 6f f8 45 03 58 a2 f7 eb 27^M
ec 8a 11 78^M
] as rootCA
Installed CA cert for authMode machineOrUser - Success
HttpWrapper::SendScepRequest - Retrying: [1] time, after: [2] secs , Error: [0], msg: [ Pending]
creating response file name C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer
Certificate issued - successfully
ScepWrapper::InstallCert start
ScepWrapper::InstallCert: Reading scep response file [C:\Users\ADMINI~1.EXA\AppData\Local\Temp\response.cer].
ScepWrapper::InstallCert GetCertHash -- return val 1
ScepWrapper::InstallCert end
Configuring wireless profiles...
Configuring ssid [mgarcarz_aruba_tls]
WirelessProfile::SetWirelessProfile - Start
Wireless profile: [mgarcarz_aruba_tls] configured successfully
Connect to SSID
Successfully connected profile: [mgarcarz_aruba_tls]
WirelessProfile::SetWirelessProfile. - End
これらのログは、シスコ デバイスでの BYOD プロセスとまったく同じです。
そのステージで、ユーザはシステムが最終的な SSID に関連付けることを試みることがわかる場合があります。 もっとそして 1 つのユーザ許可証がある場合、イメージに示すように正しい 1 を選択して下さい。
接続の成功の後で、NSA レポートはイメージに示すようにあります。
それは ISE で-イメージに示すように Basic_Authenticated_Access (EAP-TLS、従業員、および BYOD 登録済みの本当)のためのすべての条件と一致する第 2 ログ ヒット EAP-TLS 認証確認することができます。
また、エンドポイント識別ビューはエンドポイントにイメージに示すように本当に BYOD によって登録されているフラグが設定があることを確認できます。
ON ウィンドウ PC は(好まれ、)およびイメージに示すように EAP-TLS のために設定されるように、新しいワイヤレス プロファイル自動的に作成されました。
そのステージで、アルバはユーザがイメージに示すように最終的な SSID に接続されることを確認します。
自動的に作成され、ネットワークがイメージに示すように完全なネットワーク アクセスを提供する同じを指名したロール。
その他のフローおよび CoA サポート
CoA を含む CWA
BYOD でポータルがここに示される自己によって登録されているゲストとあります CoA メッセージが、CWA フローしますフローしません間、:
設定される承認規則はイメージに示すようにあります。
ユーザは MAB 認証と SSID にゲストが新しいアカウントを作成するか、またはイメージに示すように電流 1 を使用できるところで、Webページに接続することを試みるときポータルが起こす自己によって登録されているゲストに一度リダイレクション接続し。
ゲストが上手く接続された後イメージに示すように許可状態を変更するために、CoA メッセージは ISE からネットワークデバイスに送られます。
それはオペレーション > Authenitcations の下でおよびイメージに示すように確認することができます。
ISE デバッグ内の CoA メッセージは、次のようになります。
2015-11-02 18:47:49,553 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name NAS-IP-Address, value=10.62.148.118.,
DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,567 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name Acct-Session-Id, value=04BD88B88144-
C04A00157634-7AD.,DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,573 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::createCoACmd]
Processing incoming attribute vendor , name cisco-av-pair, v
alue=audit-session-id=0a3011ebisZXypODwqjB6j64GeFiF7RwvyocneEia17ckjtU1HI.,DynamicAuthorizationFlow.cpp:708
2015-11-02 18:47:49,584 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::
setConnectionParams] defaults from nad profile : NAS=10.62.148.118, port=3799, timeout=5,
retries=2 ,DynamicAuthorizationRequestHelper.cpp:59
2015-11-02 18:47:49,592 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationRequestHelper::set
ConnectionParams] NAS=10.62.148.118, port=3799, timeout=5, retries=1,
DynamicAuthorizationRequestHelper.cpp:86
2015-11-02 18:47:49,615 DEBUG [Thread-137][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9cb2700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::onLocalHttpEvent]:
invoking DynamicAuthorization,DynamicAuthorizationFlow.cpp:246
そしてアルバから来る接続解除 ACK:
2015-11-02 18:47:49,737 DEBUG [Thread-147][] cisco.cpm.prrt.impl.PrRTLoggerImpl -:::::-
DynamicAuthorizationFlow,DEBUG,0x7fc0e9eb4700,cntx=0000000561,sesn=c59aa41a-e029-4ba0-a31b
-44549024315e,CallingStationID=c04a00157634,[DynamicAuthorizationFlow::
onResponseDynamicAuthorizationEvent] Handling response
ID c59aa41a-e029-4ba0-a31b-44549024315e, error cause 0, Packet type 41(DisconnectACK).,
DynamicAuthorizationFlow.cpp:303
CoA Diconnect 要求(40)および Diconnect ACK (41)を持つパケットキャプチャはイメージに示すようにあります。
トラブルシューティング
このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。
FQDN の代りの IP アドレスのアルバ捕虜ポータル
アルバの捕虜ポータルが ISE の FQDN の代りに IP アドレスで設定される場合、PSN NSA は失敗します:
Warning - [HTTPConnection] Abort the HTTP connection due to invalid certificate
CN
そのの理由は ISE に接続するとき厳密な認証の検証です。 ISE に接続するために IP アドレスを(FQDN の代りの IP アドレスのリダイレクション URL の結果として)使用し、サブジェクト名 = 記載するとき FQDN 検証の ISE 証明書を失敗します。
Aruba キャプティブ ポータルのアクセス ポリシーが正しくない
デフォルトで、TCP ポート 80、443 および 8080 を捕虜門脈可能にで設定されるアルバ アクセスポリシー。
NSA は TCPポート 8905 に接続 ISE から XML プロファイルを得るためにできません。 このエラーは報告されます:
Failed to get spw profile url using - url
[https://mgarcarz-ise20.example.com:8905/auth/provisioning/evaluate?
typeHint=SPWConfig&referrer=Windows&mac_address=C0-4A-00-14-6E-31&spw_version=
1.0.0.46&session=0a3011ebXbiuDA3yUNoLUvtCRyuPFxkqYJ7TT06foOZ7G1HXj1M&os=Windows All]
- http Error: [2] HTTP response code: 0]
GetProfile - end
Failed to get profile. Error: 2
Aruba CoA のポート番号
デフォルトで、アルバは CoA 飛行連隊 CoA ポート 5999 にポート番号を提供します。 残念ながら、アルバ 204 はイメージに示すようにそのような要求に応答しませんでした。
パケットキャプチャはイメージに示すようにあります。
ここでは使用する最もよいオプションは RFC 5176 に記述されているように CoA ポート 3977 である場合もあります。
Aruba デバイスでのリダイレクション
v6.3 のアルバ 3600 でそれはこと他のコントローラでそしてわずかに異なるリダイレクション作業注意されます。 パケットキャプチャおよび説明はここにおよびイメージに示すように見つけることができます。
packet 1: PC is sending GET request to google.com packet 2: Aruba is returning HTTP 200 OK with following content: <meta http-equiv='refresh' content='1; url=http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5'>\n packet 3: PC is going to link with Aruba attribute returned in packet 2: http://www.google.com/&arubalp=6b0512fc-f699-45c6-b5cb-e62b3260e5 packet 4: Aruba is redirecting to the ISE (302 code): https://10.75.89.197:8443/portal/g?p=4voD8q6W5Lxr8hpab77gL8VdaQ&cmd=login&mac=80:86:f2:59:d9:db&ip=10.75.94.213&essid=SC%2DWiFi&apname=LRC-006&apgroup=default&url=http%3A%2F%2Fwww%2Egoogle%2Ecom%2F
フィードバック