Este artigo descreve como a reorientação do tráfego de usuário trabalha e as circunstâncias que são necessárias a fim reorientar o pacote pelo interruptor.
Cisco recomenda que você tem a experiência com a configuração do Cisco Identity Services Engine (ISE) e o conhecimento básico destes assuntos:
As informações neste documento são baseadas nestas versões de software e hardware:
A reorientação do tráfego de usuário no interruptor é um componente crítico para a maioria das disposições com o ISE. Todos estes fluxos envolvem o uso da reorientação do tráfego pelo interruptor:
A reorientação incorretamente configurada é a causa de problemas múltiplos com o desenvolvimento. O resultado típico é um agente do Network Admission Control (NAC) que não estale acima corretamente ou uma incapacidade indicar o portal do convidado.
Para as encenações em que o interruptor não tem a mesma interface virtual do interruptor (SVI) que o cliente VLAN, refira os últimos três exemplos.
Os testes são executados no cliente, que deve ser reorientado ao ISE para o abastecimento (CPP). O usuário é autenticado através do desvio da autenticação de MAC (MAB) ou do 802.1x. O ISE retorna o perfil da autorização com o nome do Access Control List da reorientação (ACL) (REDIRECT_POSTURE) e reorienta a URL (reorienta ao ISE):
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
O ACL baixável (DACL) permite todo o tráfego nesta fase:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
A reorientação ACL permite este tráfego sem reorientação:
Todo tráfego restante deve ser reorientado:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
O interruptor tem um SVI no mesmo VLAN que o usuário:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
Nas próximas seções, isto é alterado a fim apresentar o impacto potencial.
Quando você tenta sibilar todo o host, você deve receber uma resposta porque esse tráfego não é reorientado. A fim confirmar, execute isto debugam:
debug epm redirect
Para cada pacote ICMP enviado pelo cliente, debuga deve apresentar:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
A fim confirmar, examine o ACL:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
Quando você inicia o tráfego ao IP address que é diretamente a camada 3 (L3) alcançável pelo interruptor (a rede para o interruptor tem uma relação SVI), é aqui o que acontece:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
Se o host de destino 192.168.1.20 está para baixo (não responde), o cliente não recebe uma resposta ARP (o interruptor não intercepta o ARP), e o cliente não envia um TCP SYN. A reorientação nunca ocorre.
Eis porque o agente NAC usa um gateway padrão para uma descoberta. Um gateway padrão deve sempre responder e o disparador reorienta.
É aqui o que acontece nesta encenação:
Esta encenação é exatamente a mesma que a encenação 3. Não importa se o host de destino em um VLAN remoto existe ou não.
Se o interruptor não tem o SVI ACIMA no mesmo VLAN que o cliente, pode ainda executar a reorientação mas somente quando as circunstâncias específicas são combinadas.
O problema para o interruptor é como retornar a resposta ao cliente de um SVI diferente. É difícil determinar que endereço MAC de origem deve ser usado.
O fluxo é diferente de quando o SVI está ACIMA:
Observe a assimetria aqui:
Esta encenação é exatamente a mesma que a encenação 5. Não importa que o host remoto exista. O roteamento correto é o que é importante.
Como apresentado na encenação 6, o processo HTTP no interruptor joga um papel importante. Se o serviço HTTP é desabilitado, o EPM mostra que o pacote alcança a reorientação ACL:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
Contudo, a reorientação nunca ocorre.
O serviço HTTPS no interruptor não é exigido para um HTTP reorienta, mas exige-se para HTTPS reorienta. O agente NAC pode usar ambos para a descoberta ISE. Consequentemente, recomenda-se para permitir ambos.
Observe que o interruptor pode somente interceptar o tráfego HTTP ou HTTPS que trabalha em portas padrão (TCP/80 e TCP/443). Se o HTTP/HTTPS trabalha em uma porta não padronizada, pode ser configurado com o comando HTTP do mapa de portas IP. Também, o interruptor deve mandar seu Server do HTTP escutar nessa porta (porta do HTTP de IP).