WLC 및 ISE 컨피그레이션의 중앙 웹 인증 예

다운로드 옵션

  • PDF     (1.4 MB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (1.3 MB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (1.0 MB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2021년 2월 1일 (월)
문서 ID:115732

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개

    이 문서에서는 WLC(Wireless LAN Controller)에서 CWA(Central Web Authentication)를 완료하는 데 사용되는 컨피그레이션 예를 설명합니다.

    이 가이드는 여기에서 제공하는 보다 완전한 게스트 구축 가이드로 대체됩니다.https://communities.cisco.com/docs/DOC-77590

    사전 요구 사항

    요구 사항

    이 문서에 대한 특정 요건이 없습니다.

    사용되는 구성 요소

    이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

    • Cisco® ISE(Identity Services Engine) 소프트웨어 릴리스 3.0

    • Cisco WLC 소프트웨어 릴리스 8.3.150.0

    구성

    웹 인증의 첫 번째 방법은 로컬 웹 인증입니다.이 경우 WLC는 HTTP 트래픽을 내부 또는 외부 서버로 리디렉션합니다. 여기서 사용자는 인증 프롬프트가 표시됩니다.그런 다음 WLC는 자격 증명을 가져와(외부 서버의 경우 HTTP GET 요청을 통해 다시 전송) RADIUS 인증을 만듭니다.게스트 사용자의 경우 포털에서 디바이스 등록 및 셀프 프로비저닝 등의 기능을 제공하므로 ISE(Identity Services Engine)와 같은 외부 서버가 필요합니다.플로우에는 다음 단계가 포함됩니다.

    1. 사용자는 웹 인증 SSID(Service Set Identifier)에 연결됩니다.

    2. 사용자가 브라우저를 엽니다.

    3. WLC는 URL을 입력하자마자 게스트 포털(예: ISE)로 리디렉션됩니다.

    4. 사용자는 포털에서 인증됩니다.

    5. 게스트 포털은 입력한 자격 증명을 사용하여 WLC로 다시 리디렉션합니다.

    6. WLC는 RADIUS를 통해 게스트 사용자를 인증합니다.

    7. WLC는 원래 URL로 다시 리디렉션됩니다.

    이 플로우에는 몇 가지 리디렉션이 포함되어 있습니다.새로운 접근 방식은 CWA를 사용하는 것입니다.플로우에는 다음 단계가 포함됩니다.

    1. 사용자는 실제로 열려 있는 웹 인증 SSID에 연결합니다.레이어 2 및 레이어 3 보안이 없으며 Mac 필터링만 활성화됩니다.

    2. 사용자가 브라우저를 엽니다.

    3. WLC는 게스트 포털에 리디렉션됩니다.

    4. 사용자는 포털에서 인증됩니다.

    5. ISE는 RADIUS Change of Authorization(CoA - UDP Port 1700)을 전송하여 사용자가 유효하다는 것을 컨트롤러에 표시하고 ACL(Access Control List)과 같은 RADIUS 특성을 푸시합니다.

    6. 원래 URL을 다시 시도하라는 메시지가 표시됩니다.

    사용되는 설정은 다음과 같습니다.

    WLC 컨피그레이션

    WLC 구성은 매우 간단합니다.CoA(Change of Authorization)를 사용하므로 ISE에서 동적 인증 URL을 얻기 위해 트릭이 사용됨(스위치에서와 동일), 세션이 생성되어야 하며 세션 ID는 URL의 일부입니다. SSID는 MAC 필터링을 사용하도록 구성됩니다.MAC 주소를 찾을 수 없는 경우에도 ISE가 액세스 수락을 반환하여 모든 사용자에 대한 리디렉션 URL을 전송하도록 구성됩니다. 

    이 외에도 ISE NAC(Network Admission Control) 및 AAA(Authentication, Authorization, and Accounting) 재정의가 활성화되어야 합니다.ISE NAC는 ISE가 사용자가 이제 인증되고 네트워크에 액세스할 수 있음을 나타내는 CoA 요청을 보낼 수 있습니다.포스처 평가에도 사용됩니다. 이 경우 ISE는 포스처 결과를 기반으로 사용자 프로필을 변경합니다.

    RADIUS 서버가 CoA에 대한 지원(기본적으로 활성화됨)을 사용하는지 확인합니다.

    마지막 단계는 리디렉션 ACL을 생성하는 것입니다.이 ACL은 ISE의 액세스 수락에서 참조되고 리디렉션되어야 할 트래픽(ACL에서 거부)과 리디렉션해서는 안 되는 트래픽(ACL에서 허용)을 정의합니다. 여기서는 ISE로 트래픽을 리디렉션하는 것을 방지합니다.포트 8443(게스트 포털)에서 ISE로 가는/로 가는 트래픽을 더 구체적이고 방지할 수 있지만 사용자가 포트 80/443에서 ISE에 액세스하려고 할 경우 리디렉션됩니다.

    참고:7.2 또는 7.3과 같은 이전 버전의 WLC 소프트웨어는 DNS(Domain Name System)를 지정할 필요가 없었지만 이후 코드 버전에서는 리디렉션 ACL에 대한 DNS 트래픽을 허용해야 합니다.


    이제 WLC에서 컨피그레이션이 완료되었습니다.

    ISE 컨피그레이션

    권한 부여 프로파일 생성

    ISE에서 권한 부여 프로파일을 생성해야 합니다.그런 다음 인증 및 권한 부여 정책이 구성됩니다.WLC는 이미 네트워크 디바이스로 구성되어야 합니다.

    권한 부여 프로파일에 앞서 WLC에서 생성한 ACL의 이름을 입력합니다.

    1. Policy(정책)를 클릭한 다음 Policy Elements(정책 요소)를 클릭합니다.

    2. 결과 클릭합니다.

    3. Authorization(권한 부여)을 확장한 다음 Authorization profile(권한 부여 프로파일)을 클릭합니다.

    4. 중앙 WebUth에 대한 새 권한 부여 프로파일을 생성하려면 Add(추가) 버튼을 클릭합니다.

    5. Name(이름) 필드에 프로파일 이름을 입력합니다.이 예에서는 WLC_CWA를 사용합니다.

    6. 액세스 유형 드롭다운 목록에서 ACCESS_ACCEPT를 선택합니다.

    7. Web Redirection(웹 리디렉션) 확인란을 선택하고 드롭다운 목록에서 Centralized Web Auth(중앙 웹 인증)를 선택합니다.

    8. ACL 필드에 리디렉션할 트래픽을 정의하는 스위치의 ACL 이름을 입력합니다.이 예에서는 CWA_Redirect를 사용합니다.

    9. 값 필드의 드롭다운 목록에서 Sponsored Guest Portal 또는 Self-Registered Guest Portal을 선택할 수 있습니다.스폰서 게스트 포털에서 스폰서 게스트 계정을 생성하고 게스트는 할당된 사용자 이름과 비밀번호를 사용하여 네트워크에 액세스하며 셀프 등록 게스트 포털에서는 게스트가 자신의 계정을 생성하고 할당된 사용자 이름과 비밀번호를 사용하여 네트워크에 액세스할 수 있습니다.이 예에서는 스폰서 게스트 포털을 사용합니다.

    인증 규칙 생성

    ISE가 WLC의 모든 MAC 인증을 수락하고 사용자를 찾을 수 없는 경우에도 인증을 계속 진행하는지 확인합니다.

    Policy(정책) > Policy Sets(정책 집합) > Default Policy Set(기본 정책 집합)에서 Authentication(인증)을 클릭합니다.

    다음 이미지는 인증 정책 규칙을 구성하는 방법의 예를 보여줍니다.이 예에서는 MAB가 탐지될 때 트리거되는 규칙이 구성됩니다.

    1. 인증 규칙의 이름을 입력합니다.이 예에서는 MAB를 사용합니다. ISE는 기본적으로 존재합니다.

    2. 조건 필드에서 더하기(+) 아이콘을 선택합니다.

    3. Conditions Studio에서 편집기 창에서 Wireless_MAB를 끌어서

    4. 내부 엔드포인트 사용합니다.

    5. Options(옵션)를 클릭하고 If user not found a 드롭다운 목록에서 Continue(계속)를 선택합니다.

    참고:MAB 인증 규칙은 기본적으로 ISE에서 이미 생성됩니다.

    권한 부여 정책 생성

    권한 부여 정책을 구성합니다.한 가지 중요한 사항은 두 가지 인증/권한 부여가 있다는 것입니다.

    • 첫 번째는 사용자가 SSID("CWA")에 연결되고 CWA 프로파일이 반환되는 경우입니다.
      이 예에서 Airespace-Wlan-Id는 조건으로 사용됩니다. 클라이언트가 SSID에 연결되면 ISE에 대한 RADIUS 액세스 요청에 Airespace-WLAN-ID 특성이 포함됩니다.이 속성은 ISE에서 정책 결정을 내리는 데 사용됩니다.따라서 알 수 없는 클라이언트가 SSID CWA에 연결되면 ISE는 리디렉션 URL(웹 포털) 및 ACL을 사용하여 액세스 수락을 보냅니다.Airespace-Wlan-Id 규칙을 사용하면 포털 페이지가 CWA SSID에만 연결된 사용자에게 표시됩니다. 
    • 두 번째는 사용자가 웹 포털에서 인증하는 것입니다.이 규칙은 이 컨피그레이션의 기본 규칙(내부 사용자)과 일치합니다(요구 사항을 충족하도록 구성할 수 있음). 인증 부품이 다시 CWA 프로파일과 일치하지 않는 것이 중요합니다.그렇지 않으면 리디렉션 루프가 있습니다.Network Access:UseCase Equals Guest Flow 특성을 사용하여 이 두 번째 인증을 일치시킬 수 있습니다.결과는 다음과 같습니다.

    이전 이미지에 표시된 대로 권한 부여 규칙을 생성하려면 다음 단계를 완료합니다.

    1. 새 규칙을 생성하고 이름을 입력합니다.이 예에서는 게스트 리디렉션을 사용합니다.

    2. 조건 필드에서 연필 아이콘을 클릭하고 새 조건을 만듭니다.

    3. 편집기에서 특성을 추가하려면 을 클릭합니다.

    4. Radius 선택하고 확장합니다.

    5. Radius·Called-Station-ID를 클릭하고 CONTAINS 연산자를 선택합니다.

    6. 오른쪽 필드에 CWA를 입력합니다(예 1). 

    7. General Authorization(일반 권한 부여) 페이지의 Results(결과)에서 WLC_CWA(Authorization Profile)를 선택합니다.

      이 단계에서는 사용자(또는 MAC 주소)가 CWA SSID에 연결되어 로그인 포털에 표시되는 경우 알려지지 않은 경우에도 ISE를 계속할 수 있습니다.

    8. Guest Redirection 규칙의 끝에 있는 Actions(작업) 버튼을 클릭하고 그 위에 새 규칙을 삽입하도록 선택합니다.

      참고:이 새 규칙이 게스트 리디렉션 규칙보다 우선한다는 것은 매우 중요합니다.



    9. 새 규칙의 이름을 입력합니다.이 예에서는 게스트 포털 인증을 사용합니다.

    10. 조건 필드에서 연필 아이콘을 클릭하고 새 조건을 생성하도록 선택합니다.

    11. Network Access(네트워크 액세스)를 선택하고 UseCase를 클릭합니다.

    12. 연산자로 Equals를 선택합니다.

    13. GuestFlow 오른쪽 피연산자로 선택합니다.

    14. Authorization(권한 부여) 페이지의 Results(결과)에서 드롭다운 옵션을 클릭합니다.

      PermitAccess 기본 권한 부여 프로파일 옵션 선택하거나 원하는 VLAN 또는 특성을 반환하기 위해 사용자 지정 프로필을 생성할 수 있습니다.If GuestFlow의 맨 위 사용자 그룹을 기반으로 다양한 인증 프로파일을 반환하기 위해 조건을 추가할 수 있습니다.7단계에서 언급한 대로, 이 게스트 포털 인증 규칙은 성공적인 포털 로그인 후 및 ISE가 클라이언트를 재인증하기 위해 CoA를 전송한 후 시작된 두 번째 MAC 주소 인증에 매칭합니다.이 두 번째 인증의 차이점은 ISE에 단순히 MAC 주소를 사용하는 대신 ISE는 포털에 지정된 사용자 이름을 기억한다는 것입니다.이 권한 부여 규칙은 게스트 포털에 몇 밀리초 전에 입력한 자격 증명을 고려하도록 할 수 있습니다.

    참고:다중 컨트롤러 환경에서는 WLAN-ID가 WLC 전체에서 동일해야 합니다.Airespace-Wlan-Id 특성을 조건으로 사용하지 않으려는 경우 Wireless_MAB(기본 제공 조건) 요청을 확인하는 것이 좋습니다. 


    IP 갱신 활성화(선택 사항 - 권장되지 않음)

    VLAN을 할당하는 경우 마지막 단계는 클라이언트 PC가 IP 주소를 갱신하는 것입니다.이 단계는 Windows 클라이언트용 게스트 포털에서 수행합니다.앞서 두 번째 AUTH 규칙에 대해 VLAN을 설정하지 않은 경우 이 단계를 건너뛸 수 있습니다.이미 IP 주소를 받은 후 클라이언트 VLAN을 변경하면 연결이 중단되고, 일부 클라이언트가 이에 잘못 대응하고 향상된 Windows 권한이 제대로 작동하기 위해 필요하므로 이 설계는 권장되지 않습니다.

    VLAN을 할당한 경우 IP 갱신을 활성화하려면 다음 단계를 완료하십시오.

    1. Work Centers(작업 센터) > Guest Access(게스트 액세스)를 클릭한 다음 Portals & Components(포털 및 구성 요소)를 클릭합니다.

    2. Guest Portals를 클릭합니다.

    3. Sponsored Guest Portal(이 예에서 사용됨)을 클릭한 다음 VLAN DHCP Release Page Settings를 확장합니다.

    4. VLAN DHCP Release 확인란 클릭합니다.

      참고:VLAN DHCP 릴리스 지원은 Windows 디바이스에만 사용할 수 있습니다.모바일 장치에는 사용할 수 없습니다.등록 중인 디바이스가 모바일이고 VLAN DHCP Release 옵션이 활성화된 경우 게스트는 IP 주소를 수동으로 갱신하도록 요청됩니다.모바일 장치 사용자의 경우 VLAN을 사용하는 대신 WLC에서 ACL(Access Control List)을 사용하는 것이 좋습니다.

    앵커-외부 시나리오

    이 설정은 WLC의 자동 앵커 기능에서도 사용할 수 있습니다.유일한 catch는 이 웹 인증 방법이 레이어 2이므로 모든 RADIUS가 작동하는 외부 WLC가 된다는 것을 알아야 합니다.외부 WLC만 ISE에 연결하고 리디렉션 ACL도 외부 WLC에 있어야 합니다.외국에는 ACL 이름이 있어야 합니다(ACL 항목이 필요 없음). 외부 WLC는 ACL 이름을 앵커에게 전송하고 리디렉션을 적용하는 앵커로 지정되며 따라서 올바른 ALC 콘텐츠가 필요합니다.

    다른 시나리오와 마찬가지로 외부 WLC는 클라이언트가 RUN 상태에 있음을 신속하게 보여주는데, 이는 완전히 사실이 아닙니다.즉, 트래픽이 앵커에게 전송됨을 의미합니다.실제 클라이언트 상태는 CENTRAL_WEBAUTH_REQD를 표시해야 하는 앵커에서 확인할 수 있습니다.

    앵커-외부 설정의 플로우는 다음과 같습니다.

    1. 클라이언트는 외부 WLC의 SSID에 연결합니다.외부 WLC는 MAB용 ISE 서버에 연결합니다.ISE는 리디렉션 URL로 access-accept를 전송하고 ACL을 외주로 리디렉션합니다.
    2. 이제 클라이언트가 IP 주소를 가져오고 CENTRAL_WEBAUTH_REQD에 있는 앵커 WLC에 고정됩니다.
    3. 클라이언트가 웹 사이트에 액세스하려고 하면 앵커 WLC는 클라이언트를 ISE 포털 페이지로 리디렉션합니다.클라이언트에 로그인 페이지가 표시됩니다.
    4. 성공적으로 로그인하면 ISE는 외부 WLC에 CoA를 보냅니다.
    5. 외부 WLC가 앵커 WLC에 연결하여 클라이언트를 RUN 상태로 전환하도록 알립니다.
    6. 모든 클라이언트 트래픽은 해외로부터 앵커로 전달되고 앵커 WLC에서 나갑니다.

    WLC와 ISE 간의 통신을 허용하는 데 필요한 방화벽 포트는 다음과 같습니다.

    • UDP:1645, 1812(RADIUS 인증)
    • UDP:1646, 1813(RADIUS 계정 관리)
    • UDP:1700(RADIUS CoA)
    • TCP:8443 Guest Portal 또는 Posting이 있는 경우 8905. 

    참고:CWA(Central Web Authentication)를 사용하는 anchor-foreign 설정은 릴리스 7.3 이상에서만 작동합니다.

    참고:Cisco 버그 ID CSCul83594로 인해 앵커 및 외부 모두에서 어카운팅을 실행할 수 없습니다. IP-MAC 바인딩이 없는 잠재적인 이유로 프로파일링이 부정확해집니다.또한 게스트 포털의 세션 ID에 대한 많은 문제를 생성합니다.어카운팅을 구성하려면 외부 컨트롤러에서 구성합니다.더 이상 8.6 WLC 소프트웨어를 시작할 때는 이러한 문제가 발생하지 않아야 합니다. 그러면 앵커 컨트롤러와 외부 컨트롤러 간에 세션 ID가 공유되며 두 가지 모두에서 계정 관리를 활성화할 수 있습니다.

    다음을 확인합니다.

    이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

    1. 사용자가 SSID에 연결되면 WLC는 ISE에 연결합니다(MAC 필터링이 구성됨).ISE는 리디렉션 URL 및 ACL을 사용하여 액세스 수락을 반환하도록 구성되었습니다.이것이 첫 번째 인증입니다.

      WLC의 클라이언트 세부 정보는 리디렉션 URL 및 ACL이 적용되었음을 보여줍니다.


      WLC 클라이언트 및 AAA all debug에서 ISE에서 전송된 리디렉션 URL 및 ACL로 액세스 수락을 볼 수 있습니다.

      *radiusTransportThread: d0:37:45:89:ef:64 Access-Accept received from RADIUS server 10.106.32.25 (qid:4) with port:1812, pktId:24 for mobile d0:37:45:89:ef:64 receiveId = 0
      *radiusTransportThread: AuthorizationResponse: 0x166ab570


      *radiusTransportThread:  structureSize................................425

      *radiusTransportThread:  resultCode...................................0

      *radiusTransportThread:  protocolUsed.................................0x00000001

      *radiusTransportThread:  proxyState...................................D0:37:45:89:EF:64-00:00

      *radiusTransportThread:  Packet contains 4 AVPs:

      *radiusTransportThread:  AVP[01] User-Name................................D0-37-45-89-EF-64 (17 bytes)

      *radiusTransportThread:  AVP[02] Class....................................CACS:0a6a207a0000000a5fe8f217:ISE3-1/397801666/90 (49 bytes)

      *radiusTransportThread:  AVP[03] Cisco / Url-Redirect-Acl.................CWA_Redirect (12 bytes)

      *radiusTransportThread:  AVP[04] Cisco / Url-Redirect.....................DATA (175 bytes)

      *radiusTransportThread:  d0:37:45:89:ef:64 processing avps[0]: attribute 1
      *radiusTransportThread:  d0:37:45:89:ef:64 username = D0-37-45-89-EF-64

      !
      *apfReceiveTask: d0:37:45:89:ef:64 Redirect URL received for client from RADIUS. Client will be moved to WebAuth_Reqd state to facilitate redirection. Skip web-auth Flag = 0

      ISE에서도 동일한 내용을 확인할 수 있습니다.Operations(작업) > Radius livelogs이동합니다.해당 MAC에 대한 세부 정보를 클릭합니다.

      첫 번째 인증(MAC 필터링) ISE는 인증 규칙 MAB 및 authz 정책 게스트 리디렉션에 도달할 때 AuthZ 프로파일 WLC_CWA를 반환한다는 것을 확인할 수 있습니다. 


    2. 이때 클라이언트는 IP 주소를 가져옵니다.이제 클라이언트가 CENTRAL_WEB_AUTH 상태입니다.클라이언트에서 주소를 열면 브라우저가 ISE로 리디렉션됩니다.DNS가 올바르게 설정되었는지 확인합니다.


    3. 올바른 자격 증명을 입력하면 네트워크 액세스가 부여됩니다.두 번째 인증입니다.


      자격 증명이 입력되면 ISE는 클라이언트를 인증하고 CoA를 전송합니다. 



      WLC에서는 모든 디버그를 AAA에서 볼 수 있습니다.

      *radiusCoASupportTransportThread: audit session ID recieved in CoA = 0a6a207a0000000b5fe90410
      *radiusCoASupportTransportThread: Received a 'CoA-Request' from 10.106.32.25 port 23974

      *radiusCoASupportTransportThread: CoA - Received IP Address : 10.106.32.122, Vlan ID: (received 0)
      *radiusCoASupportTransportThread: d0:37:45:89:ef:64 Calling-Station-Id ---> d0:37:45:89:ef:64
      *radiusCoASupportTransportThread: Handling a valid 'CoA-Request' regarding station d0:37:45:89:ef:64
      *radiusCoASupportTransportThread: Sending Radius CoA Response packet on srcPort: 1700, dpPort: 2, tx Port: 23974
      *radiusCoASupportTransportThread: Sent a 'CoA-Ack' to 10.106.32.25 (port:23974)

      이렇게 하면 클라이언트가 재인증되고 네트워크에 대한 액세스 권한이 부여됩니다. 

    4. 컨트롤러에서 정책 관리자 상태 및 RADIUS NAC 상태가 CENTRAL_WEB_AUTH에서 RUN으로 변경됩니다.

      참고:릴리스 7.2 이하에서 상태 CENTRAL_WEB_AUTH를 POSTURE_REQD라고 합니다.

    ISE에서 반환한 CoA의 유형은 버전 간에 진화했습니다.ISE 3.0은 마지막 방법(이 경우 MAB)을 사용하여 재인증을 시작하도록 WLC에 요청합니다.WLC는 Authorize-Only 특성을 사용하여 RADIUS Access-Request를 전송할 때 사용자를 다시 인증합니다.

    ISE 3.0 CoA 요청의 예:

    그런 다음 WLC는 연결 해제 프레임을 클라이언트로 전송하지 않으며 radius 인증을 다시 실행하고 새 결과를 클라이언트에 투명하게 적용합니다. 8.3 이후 WLC는 CWA SSID에 WPA 사전 공유 키 설정을 지원합니다.사용자 환경은 기존의 비 PSK 시나리오와 동일하게 유지되며, WLC는 연결 해제 프레임을 클라이언트로 전송하지 않으며 단순히 새 인증 결과를 적용합니다.그러나 클라이언트로부터 "연계 요청"을 받은 적이 없지만 "연계 응답"은 여전히 클라이언트에 전송되며, 이는 스니퍼 추적을 분석할 때 호기심 있게 보일 수 있습니다.

    문제 해결

    CWA 문제를 트러블슈팅하거나 격리하려면 다음 단계를 완료하십시오.

    1. 클라이언트가 CENTRAL_WEBAUTH_REQD 상태에 도달하는지 여부를 확인하려면 컨트롤러 및 모니터에서 debug client <mac address of client> 명령을 입력합니다.ISE가 WLC에 없거나 올바르게 입력되지 않은 리디렉션 ACL을 반환할 때 일반적인 문제가 발생합니다.이 경우 CENTRAL_WEBAUTH_REQD 상태에 도달하면 클라이언트가 인증되지 않으므로 프로세스가 다시 시작됩니다.

    2. 올바른 클라이언트 상태에 연결할 수 있는 경우 WLC 웹 GUI에서 monitor(모니터링) > clients(클라이언트)로 이동하여 클라이언트에 올바른 리디렉션 ACL 및 URL이 적용되었는지 확인합니다.

    3. 올바른 DNS가 사용되는지 확인합니다.클라이언트는 인터넷 웹 사이트 및 ISE 호스트 이름을 확인할 수 있어야 합니다.nslookup을 통해 이를 확인할 수 있습니다.

    4. 모든 인증 단계가 ISE에서 발생하는지 확인합니다.

      • CWA 특성이 반환되는 MAC 인증이 먼저 이루어져야 합니다.

      • 포털 로그인 인증이 발생합니다.

      • 동적 권한 부여가 발생합니다.

      • 최종 인증은 ISE의 포털 사용자 이름을 표시하는 MAC 인증이며, 최종 권한 부여 결과가 반환됩니다(예: 최종 VLAN 및 ACL).

    고정 시나리오에 대한 특별 고려 사항

    모빌리티 시나리오에서 CWA 프로세스의 효율성을 제한하는 다음 Cisco 버그 ID를 고려하십시오(특히 어카운팅이 구성된 경우).

    • CSCuo56780 - ISE RADIUS 서비스 거부 취약성

    • CSCul83594 - 네트워크가 열려 있는 경우 Session-id가 모빌리티 간에 동기화되지 않습니다.
    TAC Authored

    Cisco 엔지니어가 작성

    • Nicolas Darchis
      Cisco TAC 엔지니어
    • Ritin Mahajan
      Cisco TAC 엔지니어
    • Poonam Garg
      Cisco TAC 엔지니어

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품