一般的なCisco ISEゲストアクセスの問題のトラブルシューティング

概要

このドキュメントでは、導入の一般的なゲストの問題をトラブルシューティングする方法について説明します。ここでは、問題の切り分け方法、実行する一般的なチェック、試す簡単な回避策について簡単に説明します。

前提条件 

要件

次の項目に関する知識があることが推奨されます。

• ISEゲスト設定
• ネットワークアクセスデバイス(NAD)のCoA設定
• ワークステーションのキャプチャツールが必要です。

使用するコンポーネント

このドキュメントの情報は、次に基づくものです。 Cisco ISE、リリース2.6、および：

• WLC 5500
• Catalystスイッチ3850 15.xバージョン
• Windows 10ワークステーション

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

ゲストフロー

ゲストフローの概要は、有線またはワイヤレスの設定に似ています。この図は、ドキュメント全体の参照に使用できます。トラブルシューティング手順とエンティティを視覚化するのに役立ちます。

エンドポイントIDをフィルタリングして、ISEのライブログ[Operations] > [RADIUS Live Logs]でフローを追跡することもできます。

• MAB Authentication successful – ユーザ名フィールドにMACアドレスが含まれる – URLがNADにプッシュされる – User gets the portal
• [Guest Authentication successful]：ユーザ名フィールドにゲストのユーザ名が入力され、GuestType_Daily（またはゲストユーザ用に設定されたタイプ）として識別されます
• CoA initiated：ユーザ名フィールドが空白で、詳細レポートにDynamic Authorization successfulと表示されます
• ゲストアクセスの提供

イメージ内のイベントのシーケンス（下から上）

共通の導入ガイド

設定を支援するリンクを次に示します。特定のユースケースのトラブルシューティングでは、理想的な設定または想定される設定を認識するのに役立ちます。

• 有線ゲスト設定
• ワイヤレスゲストの設定
• FlexAuth APを使用したワイヤレスゲストCWA

頻繁に発生する問題

このドキュメントでは、主に次の問題について説明します。

ゲストポータルへのリダイレクトが機能しない

リダイレクトURLとACLがISEからプッシュされたら、次の点を確認します。

1.スイッチのクライアントステータス（有線ゲストアクセスの場合）show authentication session int <interface>コマンドの詳細:

2.ワイヤレスLANコントローラのクライアントステータス（ワイヤレスゲストアクセスの場合）:[Monitor] > [Client] > [MAC address]

3.コマンドプロンプトを使用して、エンドポイントからTCPポート8443のISEへの到達可能性： C:\Users\sotumu>telnet <ISE-IP> 8443

4.ポータルリダイレクトURLにFQDNがある場合は、クライアントがコマンドプロンプトから解決できるかどうかを確認します。 C:\Users\sotumu>nslookup guest.ise.com

5. flex connectセットアップで、ACLとFlex ACLの下に同じACL名が設定されていることを確認します。また、ACLがAPにマッピングされているかどうかを確認します。詳細については、前のセクションの設定ガイド（手順7 bおよびc）を参照してください。

6.クライアントからパケットキャプチャを取得し、リダイレクトを確認します。パケットHTTP/1.1 302 Page Movedは、WLC/スイッチがアクセスしたサイト（例：google.com）をISEゲストポータル（リダイレクトされたURL）にリダイレクトしたことを示します。

7.ネットワークアクセスデバイスでHTTPエンジンが有効になっている。

スイッチ側：

WLC 上：

 8. WLCが外部アンカー設定の場合は、次を確認します。   

    ステップ1：クライアントのステータスは、両方のWLCで同じである必要があります。

    ステップ2：両方のWLCでリダイレクトURLが表示されます。

    ステップ3：アンカーWLCでRADIUSアカウンティングを無効にする必要があります。

ダイナミック認証の失敗

エンドユーザがゲストポータルにアクセスして正常にログインできる場合、次のステップは、ユーザに完全なゲストアクセスを提供するための認可の変更です。これが機能しない場合は、ISE RADIUSライブログでダイナミック認証エラーが発生します。問題を修正するには、次の点を確認してください。

1.認可変更(CoA)は、NADで有効または設定する必要があります。

 2.ファイアウォールでUDPポート1700を許可する必要があります。

3. WLCのNAC状態が正しくない。[WLC GUI] > [WLAN]の[Advanced settings]で、NACの状態を[ISE NAC]に変更します。

SMS/Eメール通知が送信されない

1. [Administration] > [System] > [Settings] > [SMTP]でSMTP設定を確認します。

2. ISE外のSMS/EメールゲートウェイのAPIを確認します。 

APIクライアントまたはブラウザでベンダーから提供されたURLをテストし、ユーザ名、パスワード、携帯番号などの変数を置き換え、到達可能性をテストします。[Administration] > [System] > [Settings] > [SMS Gateways]

または、ISEスポンサーグループ[Workcenter] > [Guest Access] > [Portals and Components] > [Guest Types]からテストを行う場合は、ISEとSMS/SMTPゲートウェイでパケットキャプチャを取得して、

1. 要求パケットが改ざんされていないサーバに到達します。
2. ISEサーバには、ゲートウェイがこの要求を処理するためのベンダー推奨の権限があります。

[アカウントの管理]ページにアクセスできない

1. ISE管理者がスポンサーポータルにアクセスするために、[Workcenters] > [Guest Access] > [Manage accounts] ボタンを使用して、ポート9002のISE FQDNにリダイレクトします。

2.コマンドnslookup <FQDN of ISE PAN>を使用して、スポンサーポータルへのアクセス元のワークステーションでFQDNが解決されているかどうかを確認します。

3. show portsコマンドを使用して、ISEのCLIからISE TCPポート9002が開いているかどうかを確認します | include 9002

ポータル証明書のベストプラクティス

• シームレスなユーザエクスペリエンスを実現するには、ポータルおよび管理者ロールに使用する証明書が、既知のパブリック認証局(CA)によって署名されている必要があります(例：GoDaddy、DigiCert、VeriSignなど)、一般的にブラウザに信頼されている(例：Google Chrome、Firefoxなど)。
  
  
• ISEのプライベートIPがすべてのユーザに表示されるため、ゲストリダイレクションにスタティックIPを使用することは推奨されません。ほとんどのベンダーは、プライベートIP用のサードパーティ署名付き証明書を提供していません。
  
  
• ISE 2.4 p6からp8またはp9に移行する場合、既知の不具合CSCvp75207があり、パッチのアップグレード後にTrust for authenticationボックスとTrust for client authentication and Syslogボックスを手動でチェックする必要必要です。これにより、ISEはゲストポータルにアクセスするときに、TLSフローの完全な証明書チェーンを送信します。

これらのアクションでゲストアクセスの問題が解決しない場合は、次のドキュメントの手順に従って収集されたサポートバンドルを使用してTACに連絡してください。ISEで有効にするデバッグ。