在Cisco 5508 v7.2.103.0 上,我配置了几个 WLAN。为了这个问题,称他们为 ABC 和 XYZ。ABC 使用 802.1X 并获取下推的启动页面重定向 URL。XYZ 使用 PSK 并使用 WebAuth 外部配置推送登录页面重定向 URL。启动页面和登录页面都在相同的基本(外部 Web 服务器)URL 下提供,例如http://webauth.example.com/splash.html和 /login.html。
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
当重定向 URL 显示在设备上、webauth/NAC RUN 状态以及实际访问 Internet 的能力(或在我应该访问时无法访问)时,我看到了似乎不一致的行为。
我知道登录页面在允许流量通过之前需要接受(不需要用户名),并且 WLC 只需认为设备看到了启动页面(不需要接受),流量就可以在这里流动。
我已经看到了几乎所有可能的情况,但交通流量并不总是有意义的情况。
- 浏览到不安全的纯文本 URL 时会发生启动页面或登录页面重定向;webauth 显示已通过 NAC 状态 RUN 进行身份验证,流量。这是预期会发生的事情,但并不经常发生。
- 浏览到不安全的纯文本 URL 时,不会发生初始页面或登录页面重定向;webauth 显示 Authenticated with NAC state RUN、流量(但不应该在从 WLC 中删除客户端以强制未显示的 webauth 重定向)。
- 浏览到不安全的纯文本 URL 时不会发生启动或登录页面重定向;webauth 未通过 NAC 状态 WEBAUTH 进行身份验证,流量(但不应该)。
- 浏览到不安全的纯文本 URL 时会发生启动页面或登录页面重定向;webauth 显示未经身份验证的 NAC 状态 WEBAUTH,流量不流动(但如果 WEBAUTH 显示为通过,则应该)。
- 浏览到不安全的纯文本 URL 时不会发生启动或登录页面重定向;webauth 未通过 NAC 状态 WEBAUTH 进行身份验证,流量不流动(如预期)。
在所有情况下,客户端详细信息都显示设置了重定向 URL。
在重定向、webauth/运行状态和流量(被允许或拒绝)一切都按预期工作的两种情况下,我认为 ACL 不是问题。除了重定向 URL 之外,没有其他任何东西从 ACS 下推。这两个 WLAN 被硬编码到不同的 VLAN。
这可能是随机行为还是我的眼睛只是在捉弄我?我看到不同设备的行为略有不同——一些更随机,一些更少。
缩小这个问题的最佳方法是什么?
更新:DNS 不是问题。一般 IP 可达性在浏览器中随机工作。无论 webauth 状态如何(RUN 与 WEBAUTH-REQD),浏览器有时通过,有时不通过。(初始请求始终是纯文本 HTTP。)我什至看到非网络应用程序(例如 SMTP)的常规流量通过,所以我真的认为 Webauth 正在处理这个问题,但我没有看到任何明显的错误. 我有一个相当自由的preauth ACL 和一个来宾ACL。我什至在两个 ACL 中都添加了 permit any/any,但没有任何区别。