本文介紹使用者流量重新導向如何運作,以及交換器重新導向封包所需的條件。
思科建議您具有思科身份服務引擎(ISE)配置經驗,並瞭解以下主題的基本知識:
本文中的資訊係根據以下軟體和硬體版本:
對於大多數使用ISE的部署而言,交換機上的使用者流量重定向是一個關鍵元件。所有這些流量都涉及交換機使用流量重定向:
錯誤配置的重定向是部署存在多個問題的原因。典型的結果是網路准入控制(NAC)代理無法正確彈出或無法顯示訪客門戶。
如果交換器沒有與使用者端VLAN相同的交換器虛擬介面(SVI),請參閱前三個範例。
在客戶端上執行測試,應將客戶端重定向到ISE進行調配(CPP)。 使用者是透過MAC驗證略過(MAB)或802.1x進行驗證。ISE使用重定向訪問控制清單(ACL)名稱(REDIRECT_POSTURE)和重定向URL(重定向到ISE)返回授權配置檔案:
bsns-3750-5#show authentication sessions interface g1/0/2
Interface: GigabitEthernet1/0/2
MAC Address: 0050.5699.36ce
IP Address: 192.168.1.201
User-Name: cisco
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
ACS ACL: xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
URL Redirect ACL: REDIRECT_POSTURE
URL Redirect: https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp
Session timeout: N/A
Idle timeout: N/A
Common Session ID: C0A8000100000D5D015F1B47
Acct Session ID: 0x00011D90
Handle: 0xBB000D5E
Runnable methods list:
Method State
dot1x Authc Success
可下載ACL(DACL)會允許此階段的所有流量:
bsns-3750-5#show ip access-lists xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1
Extended IP access list xACSACLx-IP-PERMIT_ALL_TRAFFIC-51ef7db1 (per-user)
10 permit ip any any
重新導向ACL允許此流量而不進行重新導向:
所有其他流量都應重新導向:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (10 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
交換器與使用者位於同一VLAN中的SVI:
interface Vlan10
ip address 192.168.1.10 255.255.255.0
在接下來的部分中,將對此進行修改以顯示潛在的影響。
當您嘗試ping任何主機時,應該會收到回應,因為該流量沒有重新導向。若要確認,請運行以下調試:
debug epm redirect
對於客戶端傳送的每個ICMP資料包,調試應顯示:
Jan 9 09:13:07.861: epm-redirect:IDB=GigabitEthernet1/0/2: In
epm_host_ingress_traffic_qualify ...
Jan 9 09:13:07.861: epm-redirect:epm_redirect_cache_gen_hash:
IP=192.168.1.201 Hash=562
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: CacheEntryGet Success
Jan 9 09:13:07.861: epm-redirect:IP=192.168.1.201: Ingress packet on
[idb= GigabitEthernet1/0/2] didn't match with [acl=REDIRECT_POSTURE]
若要確認,請檢查ACL:
bsns-3750-5#show ip access-lists REDIRECT_POSTURE
Extended IP access list REDIRECT_POSTURE
10 deny ip any host 10.48.66.74 (153 matches)
20 deny udp any any eq domain
30 deny icmp any any (4 matches)
40 permit tcp any any eq www (78 matches)
50 permit tcp any any eq 443
當您向交換機直接到達第3層(L3)的IP地址(交換機的網路具有SVI介面)發起流量時,會發生以下情況:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2]
matched with [acl=REDIRECT_POSTURE]
epm-redirect:Fill in URL=https://10.48.66.74:8443/guestportal/gateway?sessionId=
C0A8000100000D5D015F1B47&action=cpp for redirection
epm-redirect:IP=192.168.1.201: Redirect http request to https:
//10.48.66.74:8443/guestportal/gateway?sessionId=C0A8000100000D5D015F1B47&action=cpp
epm-redirect:EPM HTTP Redirect Daemon successfully created
debug ip http all
http_epm_http_redirect_daemon: got redirect request
HTTP: token len 3: 'GET'
http_proxy_send_page: Sending http proxy page
http_epm_send_redirect_page: Sending the Redirect page to ...
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] didn't
match with [acl=REDIRECT_POSTURE]
如果目的主機192.168.1.20關閉(沒有響應),客戶端不會收到ARP應答(交換機不會攔截ARP),客戶端也不會傳送TCP SYN。永遠不會發生重新導向。
這就是為什麼NAC代理使用預設網關進行發現。預設網關應始終響應並觸發重定向。
以下是在此情境中發生的情況:
此案例與案例3完全相同。無論遠端VLAN中的目的地主機是否存在,此案例均無關。
如果交換器與使用者端不在同一VLAN中設有SVI UP,則它仍可執行重新導向,但只有在符合特定條件時才能執行。
交換機的問題是如何從不同的SVI將響應返回給客戶端。很難確定應使用哪個源MAC地址。
此流程與SVI為UP時的流程不同:
注意這裡的不對稱性:
此案例與案例5完全相同。無論遠端主機是否存在。正確的路由非常重要。
如案例6所示,交換器上的HTTP程式非常重要。如果已停用HTTP服務,EPM會顯示封包到達重新導向ACL:
epm-redirect:IP=192.168.1.201: Ingress packet on [idb= GigabitEthernet1/0/2] matched
with [acl=REDIRECT_POSTURE]
但是,重新導向永遠不會發生。
HTTP重新導向不要求交換器上的HTTPS服務,但HTTPS重新導向需要該服務。NAC代理可以將兩者用於ISE發現。因此,建議同時啟用兩者。
請注意,交換器只能攔截在標準連線埠上運作的HTTP或HTTPS流量(TCP/80和TCP/443)。 如果HTTP/HTTPS在非標準埠上工作,則可使用ip port-map http命令進行配置。此外,交換機的HTTP伺服器必須偵聽該埠(ip http埠)。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
13-Feb-2014
|
初始版本 |