此条款描述用户数据流重定向如何工作和是必要为了由交换机重定向信息包的条件。
Cisco建议您有与这些题目思科身份服务引擎(ISE)配置和基础知识的经验:
本文档中的信息基于以下软件和硬件版本:
在交换机的用户数据流重定向是大多的一个重要组件与ISE的配置。所有这些流由交换机介入数据流重定向使用方法:
不正确地被配置的重定向是多个问题的原因配置的。典型的结果是不正确地冒出或显示客户门户的无法的网络准入控制(NAC)代理程序。
关于交换机没有Switch Virtual Interface (SVI)和客户端VLAN一样的方案,请参见前三个示例。
测试在客户端被执行,应该重定向到设置的ISE (CPP)。用户通过MAC验证旁路(MAB)或802.1x验证。ISE返回与重定向访问控制表(ACL)名字(REDIRECT_POSTURE)和重定向URL (对ISE的重定向的授权配置文件) :
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
可下载的ACLS (DACL)在此阶段允许所有数据流:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
重定向ACL允许此数据流,不用重定向:
应该重定向其他数据流:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
交换机有一SVI在VLAN和用户一样:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
在以下部分,修改这为了提交潜在影响。
当您设法ping所有主机时,您应该收到答复,因为该数据流没有重定向。为了确认,请运行此调试:
debug epm redirect
对于客户端发送的每个ICMP信息包,调试应该提交:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
为了确认,请检查ACL :
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
当您初始化数据流对直接地是第3层的IP地址(L3)时可及的由交换机(有SVI接口)的交换机的网络,这是发生了什么:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
如果目的地主机192.168.1.20发生故障(不回应),客户端不收到ARP应答(交换机不拦截ARP),并且客户端不发送TCP SYN。重定向从未发生。
这就是为什么NAC代理程序使用默认网关发现。默认网关应该总是回应和触发重定向。
这是什么在此方案发生:
此方案正确地是相同的象方案3。如果在远程VLAN的目的地主机存在,不重要。
如果交换机没有SVI在VLAN和客户端一样,可仍然执行重定向,但是,只有当特定情况被匹配时。
交换机的问题是如何从一不同的SVI返回对客户端的回应。确定是难的应该使用哪源MAC地址。
当SVI是UP时,流是与不同:
注意非对称这里:
此方案正确地是相同的象方案5。不重要远端主机存在。正确的路由是什么是重要的。
如被提交在方案6,在交换机的HTTP进程播放重要的角色。如果HTTP服务是失效的, EPM表示,信息包到达重定向ACL :
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
然而,重定向从未发生。
在交换机的HTTPS服务没有对于HTTP重定向是必需的,但是对于HTTPS重定向是必需的。NAC代理程序能使用两个ISE发现。所以,建议对enable (event)两个。
注意交换机能只拦截在标准端口作动的HTTP或HTTPS流量(TCP/80和TCP/443)。如果HTTP/HTTPS在一个非标准端口工作,可以用ip port-map http命令配置。并且,交换机在该端口(IP HTTP端口)必须安排其HTTP服务器监听。