排除常见Cisco ISE访客访问问题

简介

本文档介绍如何排除部署中的常见访客问题。它简要讨论了如何隔离问题、要执行的常见检查以及要尝试的简单解决方法。

先决条件 

要求

Cisco 建议您了解以下主题：

• ISE访客配置
• 网络接入设备(NAD)上的CoA配置
• 需要在工作站上捕获工具。

使用的组件

本文档中的信息基于 思科ISE版本2.6和：

• WLC 5500
• Catalyst交换机3850 15.x版
• Windows 10工作站

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

访客流

访客流概述类似于有线或无线设置。流图的此图像可在整个文档中供参考。它有助于直观地显示故障排除步骤和实体。

通过过滤终端ID，还可以在ISE实时日志[Operations > RADIUS Live Logs]上跟踪流：

• MAB Authentication successful- username字段具有MAC地址 — URL被推送到NAD - User获取门户
• 访客身份验证成功 — 用户名字段具有访客用户名，它已标识为GuestType_Daily（或访客用户的配置类型）
• CoA initiated- username字段为空，详细报告显示动态授权成功
• 提供的访客接入

图像中事件的顺序（从下到上）

通用部署指南

以下是一些用于配置帮助的链接。对于任何特定用例故障排除，它有助于了解理想或预期配置。

• 有线访客配置
• 无线访客配置
• 无线访客CWA，带FlexAuth AP

常见问题

本文档主要讨论以下问题：

重定向到访客门户不起作用

从ISE推送重定向URL和ACL后，请检查以下项：

1.交换机上的客户端状态（如果有线访客访问），使用命令show authentication session int <interface> details:

2.无线LAN控制器上的客户端状态（如果是无线访客接入）:监控>客户端> MAC地址

3.通过命令提示符的帮助，从终端到TCP端口8443上的ISE的可达性： C:\Users\sotumu>telnet <ISE-IP> 8443

4.如果门户重定向URL具有FQDN，请检查客户端是否能够从命令提示符下解析： C:\Users\sotumu>nslookup guest.ise.com

5.在Flex Connect设置中，确保在ACL和Flex ACL下配置相同的ACL名称。此外，检验ACL是否映射到AP。有关详细信息，请参阅上一部分步骤7 b和c中的配置指南。

6.从客户端捕获数据包，并检查重定向。数据包HTTP/1.1 302 Page Moved指示WLC/Switch将访问的站点（例如：google.com）重定向到ISE访客门户（重定向的URL）:

7.在网络访问设备上启用HTTP引擎：

在交换机上：

在WLC上：

 8.如果WLC处于外锚设置中，请检查以下项：   

    步骤1.两个WLC上的客户端状态必须相同。

    步骤2.应在两个WLC上看到重定向URL。

    步骤3.必须在锚点WLC上禁用RADIUS记帐。

动态授权失败

如果最终用户能够访问访客门户并成功登录，则下一步是更改授权，以向用户提供完全访客访问权限。如果这不起作用，您会在ISE Radius实时日志上看到动态授权失败。要修复问题，请检查以下项：

1.授权更改(CoA)必须在NAD上启用/配置：

 2.防火墙上必须允许UDP端口1700。

3. WLC上的NAC状态不正确。在WLC GUI > WLAN的Advanced settings（高级设置）下 — 将NAC状态更改为ISE NAC(ISE NAC)。

未发送SMS/电子邮件通知

1.在Administration > System > Settings > SMTP下检查SMTP配置。

2.检查ISE外部SMS/邮件网关的API: 

测试供应商在API客户端或浏览器上提供的URL，替换用户名、密码、移动号码等变量，并测试连通性。[管理>系统>设置> SMS网关]

或者，如果从ISE保证人组[Workcentres > Guest Access > Portals and Components > Guest Types]进行测试，请在ISE和SMS/SMTP网关上捕获数据包，以检查

1. 请求数据包未被篡改即可到达服务器。
2. ISE服务器具有供应商建议的权限/权限，网关可处理此请求。

无法访问“管理帐户”页

1.在Workcentres > Guest Access > Manage accounts 按钮下，ISE管理员可重定向到端口9002上的ISE FQDN，以便访问保证人门户：

2.使用命令nslookup <FQDN of ISE PAN>检查FQDN是否由访问发起人门户的工作站解析。

3.使用命令show ports从ISE的CLI检查ISE TCP端口9002是否打开 |包括9002。

门户证书最佳实践

• 为实现无缝用户体验，门户和管理员角色使用的证书必须由公共证书颁发机构签名(例如：GoDaddy、DigiCert、VeriSign等)，通常受浏览器信任(例如：Google Chrome、Firefox等)。
  
  
• 不建议将静态IP用于访客重定向，因为这样所有用户都可看到ISE的专用IP。大多数供应商不为私有IP提供第三方签名的证书。
  
  
• 当您从ISE 2.4 p6迁移到p8或p9时，存在已知错误： CSCvp75207，其中Trust for authentication within ISE和Trust for client authentication和Syslog框必须在补丁升级后手动选中。这可确保ISE在访问访客门户时发出TLS流的完整证书链。

如果这些操作无法解决访客访问问题，请联系TAC，获取包含文档说明的支持捆绑包：要在ISE上启用的调试。