排除常见Cisco ISE访客访问问题

下载选项

  • PDF     (1.2 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.0 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (757.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 11 月 4 日
文档 ID:216191

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何排除部署中的常见访客问题。它简要讨论如何隔离问题、要执行的常见检查以及要尝试的简单解决方法。

    先决条件 

    要求

    Cisco 建议您了解以下主题:

    • ISE访客配置
    • 网络接入设备(NAD)上的CoA配置
    • 需要在工作站上捕获工具。

    使用的组件

    本文档中的信息基于 思科ISE版本2.6和:

    • WLC 5500
    • Catalyst交换机3850 15.x版本
    • Windows 10工作站

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    访客流

    访客流概述类似于有线或无线设置。流图的此图像可用于整个文档的参考。它有助于直观地显示故障排除步骤和实体。

    通过过滤终端ID,流也可以在ISE实时日志[Operations > RADIUS Live Logs]上跟踪:

    • MAB Authentication successful- username字段具有MAC地址 — URL被推送到NAD - User获取门户
    • Guest Authentication successful- username字段具有访客用户名,它已标识为GuestType_Daily(或访客用户的配置类型)
    • CoA initiated- username字段为空,详细报告显示动态授权成功
    • 提供的访客接入

    图像中事件的顺序(从下到上)

    通用部署指南

    以下是一些用于配置帮助的链接。对于任何特定用例故障排除,了解理想或预期配置有助于了解。

    常见问题

    本文档主要解决以下问题:

    重定向到访客门户不起作用

    从ISE推送重定向URL和ACL后,请检查以下项:

    1.交换机上的客户端状态(如果有线访客访问),使用命令show authentication session int <interface> details:

    2.无线LAN控制器上的客户端状态(如果无线访客访问):监控>客户端> MAC地址

    3.通过命令提示符的帮助,从终端到TCP端口8443上的ISE的可达性: C:\Users\sotumu>telnet <ISE-IP> 8443

    4.如果门户重定向URL具有FQDN,请检查客户端是否能从命令提示符下解析: C:\Users\sotumu>nslookup guest.ise.com

    5.在Flex Connect设置中,确保在ACL和Flex ACL下配置相同的ACL名称。此外,检验ACL是否映射到AP。有关详细信息,请参阅上一部分步骤7 b和c中的配置指南。

    6.从客户端捕获数据包,并检查重定向。数据包HTTP/1.1 302 Page Moved指示WLC/Switch将访问的站点(例如:google.com)重定向到ISE访客门户(重定向的URL):

    7.在网络访问设备上启用HTTP引擎:

    在交换机上:

    在WLC上:

     8.如果WLC处于外锚设置中,请检查以下项:   

        步骤1.两个WLC上的客户端状态必须相同。

        步骤2.应在两个WLC上看到重定向URL。

        步骤3.必须在锚点WLC上禁用RADIUS记帐。

    动态授权失败

    如果最终用户能够访问访客门户并成功登录,则下一步是更改授权,以向用户提供完全访客访问权限。如果这不起作用,您会看到ISE RADIUS实时日志上的动态授权失败。要修复问题,请检查以下项:

    1.授权更改(CoA)必须在NAD上启用/配置:

     2.防火墙上必须允许UDP端口1700。

    3. WLC上的NAC状态不正确。在WLC GUI > WLAN上的Advanced settings(高级设置)下 — 将NAC状态更改为ISE NAC。

    未发送SMS/EMAIL通知

    1.在Administration > System > Settings > SMTP下检查SMTP配置

    2.检查ISE外部SMS/邮件网关的API: 

    在API客户端或浏览器上测试供应商提供的URL,替换用户名、密码、移动号码等变量,并测试可达性。[管理>系统>设置> SMS网关]

    或者,如果从ISE保证人组[Workcentres > Guest Access > Portals and Components > Guest Types]进行测试,请在ISE和SMS/SMTP网关上捕获数据包,以检查

    1. 请求数据包到达服务器时未被篡改。
    2. ISE服务器具有供应商建议的权限/权限,网关可以处理此请求。

    无法访问“管理帐户”页

    1.在Workcentres > Guest Access > Manage accounts按钮下,ISE管理员可以重定向到端口9002上的ISE FQDN,以便访问发起人门户:

    2.使用命令nslookup <FQDN of ISE PAN>检查FQDN是否由访问发起人门户的工作站解析

    3.使用命令show ports从ISE的CLI检查ISE TCP端口9002是否打开 |包括9002

    门户证书最佳实践

    • 为实现无缝的用户体验,门户和管理员角色使用的证书必须由公共证书颁发机构签名(例如:GoDaddy、DigiCert、VeriSign等),通常由浏览器信任(例如:Google Chrome、Firefox等)。

    • 不建议将静态IP用于访客重定向,因为这会使ISE的专用IP对所有用户可见。大多数供应商不为私有IP提供第三方签名的证书。

    • 当您从ISE 2.4 p6移动到p8或p9时,存在已知错误: CSCvp75207,其中Trust for authentication within ISETrust for client authentication和Syslog框在补丁升级后必须手动选中。这可确保ISE在访问访客门户时发送TLS流的完整证书链。

    如果这些操作无法解决访客访问问题,请联系TAC,获取包含文档说明的支持捆绑包:要在ISE上启用的调试

    TAC Authored

    由思科工程师提供

    • Sowmya Bhargavi
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品