Cisco ISEゲストアクセスに関する一般的な問題のトラブルシューティング

はじめに

このドキュメントでは、導入における一般的なゲストの問題をトラブルシューティングする方法について説明します。問題を切り分ける方法、実行する一般的なチェック、および試す簡単な回避策について簡単に説明します。

前提条件 

要件

次の項目に関する知識が推奨されます。

• ISEゲスト設定
• ネットワークアクセスデバイス(NAD)のCoA設定
• ワークステーションのキャプチャツールが必要です。

使用するコンポーネント

このドキュメントの情報は、次に基づくものです。 Cisco ISE、リリース2.6、および：

• WLC 5500
• Catalystスイッチ3850 15.xバージョン
• Windows 10ワークステーション

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

ゲストフロー

ゲストフローの概要は、有線またはワイヤレスの設定に似ています。この図は、ドキュメント全体の参照に使用できます。トラブルシューティングステップとエンティティを視覚化するのに役立ちます。

エンドポイントIDをフィルタリングして、ISEのライブログ[Operations] > [RADIUS Live Logs]でフローを追跡することもできます。

• MAB Authentication successful：ユーザ名フィールドにMACアドレスが入力されている：URLがNADにプッシュされる – ユーザがポータルを取得
• [Guest Authentication successful]：ユーザ名フィールドにゲストのユーザ名が入力され、GuestType_Daily（またはゲストユーザ用に設定されたタイプ）として識別されます。
• CoA initiated：ユーザ名フィールドが空白で、詳細レポートにはDynamic Authorization successful
• ゲストアクセスの提供

イメージ内のイベントのシーケンス（下から上）

共通の導入ガイド

設定を支援するリンクをいくつか示します。特定のユースケースのトラブルシューティングでは、理想的な設定または予想される設定を認識するのに役立ちます。

• 有線ゲスト設定
• ワイヤレスゲストの設定
• FlexAuth APを使用したワイヤレスゲストCWA

頻繁に発生する問題

このドキュメントでは、主に次の問題について説明します。

ゲストポータルへのリダイレクトが機能しない

リダイレクトURLとACLがISEからプッシュされたら、次の項目を確認します。

1. show authentication session int <interface> detailsコマンドを使用して、スイッチのクライアントステータス（有線ゲストアクセスの場合）

2.ワイヤレスLANコントローラのクライアントステータス（ワイヤレスゲストアクセスの場合）:[Monitor] > [Client] > [MAC address]

3.コマンドプロンプトを使用して、エンドポイントからTCPポート8443のISEへの到達可能性を確認します。 C:\Users\sotumu>telnet <ISE-IP> 8443

4.ポータルリダイレクトURLにFQDNがある場合は、クライアントがコマンドプロンプトから解決できるかどうかを確認します。 C:\Users\sotumu>nslookup guest.ise.com

5. Flex Connectセットアップで、ACLとFlex ACLの下に同じACL名が設定されていることを確認します。また、ACLがAPにマッピングされているかどうかを確認します。詳細については、前のセクションの設定ガイド（手順7 bおよびc）を参照してください。

6.クライアントからパケットキャプチャを取得し、リダイレクトを確認します。パケットHTTP/1.1 302 Page Movedは、WLC/スイッチがアクセスされたサイト（例：google.com）をISEゲストポータル（リダイレクトされたURL）にリダイレクトしたことを示します。

7.ネットワークアクセスデバイスでHTTPエンジンが有効になっている場合：

スイッチ側：

WLC 上：

 8. WLCが外部アンカー設定の場合は、次の点を確認します。   

    ステップ1：クライアントのステータスは、両方のWLCで同じである必要があります。

    ステップ2：両方のWLCでリダイレクトURLが表示されます。

    ステップ3：アンカーWLCでRADIUSアカウンティングを無効にする必要があります。

動的認可が失敗する

エンドユーザがゲストポータルにアクセスして正常にログインできる場合は、次のステップとして認可を変更し、ユーザに完全なゲストアクセスを提供します。これが機能しない場合は、ISE Radiusライブログでダイナミック認証エラーが発生します。問題を修正するには、次の項目を確認します。

1.認可変更(CoA)をNADで有効/設定する必要があります。

 2.ファイアウォールでUDPポート1700を許可する必要があります。

3. WLCのNAC状態が正しくない。[WLC GUI] > [WLAN] の[Advanced settings]で、NACの状態を[ISE NAC]に変更します。

SMS/Eメール通知が送信されない

1. [Administration] > [System] > [Settings] > [SMTP]でSMTP設定を確認します。

2. ISE外のSMS/EメールゲートウェイのAPIを確認します。 

APIクライアントまたはブラウザでベンダーから提供されたURLをテストし、ユーザ名、パスワード、携帯番号などの変数を置き換え、到達可能性をテストします。[Administration > System > Settings > SMS Gateways]

または、ISEスポンサーグループ[Workcenter] > [Guest Access] > [Portals and Components] > [Guest Types] からテストする場合は、ISEとSMS/SMTPゲートウェイでパケットキャプチャを取得して、

1. 要求パケットは改ざんされていないサーバに到達します。
2. ISEサーバには、この要求を処理するゲートウェイに対するベンダー推奨の権限または権限があります。

[アカウントの管理]ページにアクセスできない

1. ISE管理者がスポンサーポータルにアクセスできるように、[Workcenters] > [Guest Access] > [Manage accounts] ボタンでポート9002のISE FQDNにリダイレクトされます。

2. nslookup <ISE PANのFQDN>コマンドを使用して、スポンサーポータルにアクセスするワークステーションでFQDNが解決されているかどうかを確認します。

3. show portsコマンドを使用して、ISEのCLIからISE TCPポート9002が開いているかどうかを確認します。 | include 9002

ポータル証明書のベストプラクティス

• シームレスなユーザエクスペリエンスを実現するには、ポータルおよび管理者ロールに使用する証明書を既知の公開認証局(CA)によって署名する必要があります(例：GoDaddy、DigiCert、VeriSignなど)、一般にブラウザに信頼されている(例：Google Chrome、Firefoxなど)。
  
  
• ISEのプライベートIPがすべてのユーザに表示されるため、ゲストリダイレクションにスタティックIPを使用することは推奨されません。ほとんどのベンダーは、プライベートIP用のサードパーティ署名付き証明書を提供していません。
  
  
• ISE 2.4 p6からp8またはp9に移行する際には、既知の不具合CSCvp75207があります。この不具合では、Trust for authentication within ISEボックスとTrust for client authentication and Syslogボックスは、パッチのアップグレード後手動でチェックする必要があります。これにより、ISEはゲストポータルにアクセスするときにTLSフローの完全な証明書チェーンを送信します。

これらのアクションでゲストアクセスの問題が解決しない場合は、次のドキュメントの手順で収集されたサポートバンドルを使用してTACに連絡してください。ISEで有効にするデバッグ。