본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 Identity Services Engine에서 Cisco AireOS 및 Next Generation Wireless LAN Controller를 사용하여 게스트 케이스 3개를 구성하는 방법에 대해 설명합니다.
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 문서에서 설명하는 단계는 ISE를 통한 모든 게스트 플로우를 지원하기 위한 Unified Access WLC 및 Converged Access WLC의 일반적인 컨피그레이션에 대해 설명합니다.
ISE에 구성된 활용 사례에 관계없이 WLC 관점에서는 모두 ISE를 인증 및 계정 관리 서버로 가리키는 MAC 필터링이 활성화된 Open SSID(AAA 재정의 및 RADIUS NAC 포함)에 연결하는 무선 엔드포인트로 시작합니다. 이렇게 하면 ISE가 ISE의 게스트 포털에 리디렉션을 성공적으로 시행하기 위해 필요한 특성을 WLC에 동적으로 푸시할 수 있습니다.
1. 인증 및 계정 관리 서버로 ISE를 전체적으로 추가합니다.
참고: 이 특정 컨피그레이션 예에는 2개의 ISE 인스턴스가 포함됩니다
2. 폴백 구성
통합 환경에서 서버 시간 초과가 트리거되면 WLC는 구성된 다음 서버로 이동합니다. WLAN에서 다음 줄을 클릭합니다. 사용 가능한 다른 서버가 없으면 WLC는 전역 서버 목록에서 다음 서버를 선택합니다. 페일오버가 발생한 후 SSID(기본, 보조)에 여러 서버가 구성된 경우, 기본 서버가 다시 온라인 상태가 된 경우에도 WLC는 기본적으로 인증 및(또는) 어카운팅 트래픽을 보조 인스턴스로 영구적으로 계속 전송합니다.
이 동작을 완화하려면 대안을 활성화합니다. Security(보안) > AAA > RADIUS > Fallback(대체)으로 이동합니다. 기본 동작은 off입니다. 서버 다운 이벤트에서 복구할 수 있는 유일한 방법은 관리자 작업(서버의 관리자 상태를 전역적으로 반송)이 필요합니다.
폴백을 활성화하려면 두 가지 옵션이 있습니다.
이 모드에서는 WLC에서 사용자 이름 및 프로브 간격(초)을 입력해야 합니다(180~3600).
참고: WLC 프로브에는 성공적인 인증이 필요하지 않습니다. 어떤 방식으로든 성공 또는 실패한 인증은 서버를 활성 대기열로 승격하기에 충분한 서버 응답으로 간주됩니다.
Disabled(비활성화됨): 기능이 완전히 비활성화되었습니다.
0 간격으로 사용: 클라이언트의 MSCB(Mobile Station Control Block) 항목이 변경될 때마다 WLC가 ISE에 어카운팅 업데이트를 전송합니다(예: IPv4 또는 IPv6 주소 할당 또는 변경, 클라이언트 로밍 이벤트) 추가적인 정기 업데이트는 전송되지 않습니다.
구성된 Interim Interval(중간 간격)으로 활성화됨: 이 모드에서 WLC는 클라이언트의 MSCB 항목이 변경되면 ISE에 알림을 전송하고, 구성된 간격에 추가 정기 어카운팅 알림을 보냅니다(변경 사항과 무관).
이 ACL은 ISE에서 참조되며 리디렉션되는 트래픽과 허용되는 트래픽을 결정합니다.
이 ACL은 TCP 포트 8443을 통한 DNS 서비스 및 ISE 노드 간 액세스를 허용해야 합니다. 하단에 암시적 거부가 있습니다. 즉 나머지 트래픽이 ISE의 게스트 포털 URL로 리디렉션됩니다.
이 기능은 AireOS 버전 8.0.x 이상에서 지원되지만 기본적으로 꺼져 있습니다. HTTPS 지원을 활성화하려면 WLC Management(WLC 관리) > HTTP-HTTPS > HTTPS Redirection(HTTPS 리디렉션)으로 이동하여 Enabled(활성화됨)로 설정하거나 CLI에서 다음 명령을 적용합니다.
(Cisco Controller) >config network web-auth https-redirect enable
HTTPS 리디렉션이 활성화된 후 인증서 경고
https-redirect가 활성화된 후 사용자는 리디렉션 중에 인증서 신뢰 문제를 경험할 수 있습니다. 이는 컨트롤러에 유효한 체인 인증서가 있고 이 인증서가 서드파티 신뢰할 수 있는 인증 기관에서 서명한 경우에도 나타납니다. 그 이유는 WLC에 설치된 인증서가 가상 인터페이스 호스트 이름 또는 IP 주소로 발급되기 때문입니다. 클라이언트가 https://cisco.com를 시도할 때, 브라우저는 인증서가 cisco.com에 발급되기를 기대합니다. 그러나 WLC가 클라이언트에서 발급한 GET을 가로챌 수 있으려면 먼저 SSL 핸드셰이크 단계 중에 WLC가 가상 인터페이스 인증서를 제시하는 HTTPS 세션을 설정해야 합니다. 이렇게 하면 클라이언트가 액세스하려는 원래 웹 사이트(예: WLC의 가상 인터페이스 호스트 이름이 아닌 cisco.com)에 SSL 핸드셰이크 중에 제공된 인증서가 발행되지 않았으므로 브라우저에서 경고가 표시됩니다. 브라우저마다 다른 인증서 오류 메시지를 볼 수 있지만 모두 동일한 문제와 관련이 있습니다.
이 기능은 AireOS WLC에서 기본적으로 활성화되어 있습니다. 적극적인 장애 조치가 활성화된 경우 WLC는 AAA 서버를 응답하지 않는 것으로 표시하고 RADIUS 시간 초과 이벤트가 한 클라이언트에 영향을 준 다음 구성된 AAA 서버로 이동합니다.
이 기능이 비활성화되면 RADIUS 시간 초과 이벤트가 최소 3개의 클라이언트 세션에서 발생한 경우에만 WLC가 다음 서버로 장애 조치됩니다. 이 기능은 이 명령으로 비활성화할 수 있습니다(이 명령에 대한 재부팅 필요 없음).
(Cisco Controller) >config radius aggressive-failover disable
기능의 현재 상태를 확인하려면
(Cisco Controller) >show radius summary Vendor Id Backward Compatibility................. Disabled Call Station Id Case............................. lower Acct Call Station Id Type........................ Mac Address Auth Call Station Id Type........................ AP's Radio MAC Address:SSID Extended Source Ports Support.................... Enabled Aggressive Failover.............................. Disabled
종속 포털을 검색하고 로그온 페이지를 자동 시작하는 CNA(Captive Network Assistant) 메커니즘을 지원하는 엔드포인트는 대개 제어된 창에서 의사 브라우저를 통해 이 작업을 수행하는 반면 다른 엔드포인트는 완전히 작동하는 브라우저를 실행하여 이 작업을 트리거합니다. CNA가 의사(pseudo) 브라우저를 실행하는 엔드포인트의 경우 흐름이 끊어질 수 있습니다 ISE 종속 포털로 리디렉션되는 경우 이는 일반적으로 Apple IOS 디바이스에 영향을 미치며, 특히 디바이스 등록, VLAN DHCP-Release, 규정 준수 확인이 필요한 플로우에 부정적인 영향을 미칩니다.
사용 중인 흐름의 복잡성에 따라 종속 우회를 활성화하는 것이 좋습니다. 이러한 시나리오에서 WLC는 CNA 포털 검색 메커니즘을 무시하며 클라이언트는 브라우저를 열어 리디렉션 프로세스를 시작해야 합니다.
기능의 상태를 확인합니다.
(Cisco Controller) >show network summary Web Auth CMCC Support ...................... Disabled Web Auth Redirect Ports .................... 80,3128 Web Auth Proxy Redirect ................... Disable Web Auth Captive-Bypass .................. Disabled Web Auth Secure Web ....................... Enable Web Auth Secure Redirection ............... Enable
이 기능을 활성화하려면 다음 명령을 입력합니다.
(Cisco Controller) >config network web-auth captive-bypass enable Web-auth support for Captive-Bypass will be enabled. You must reset system for this setting to take effect.
WLC는 사용자에게 변경 사항을 적용하려면 재설정 시스템(재시작)이 필요함을 알립니다.
이 시점에서 show network 요약은 기능이 활성화된 것으로 표시되지만, 변경 사항을 적용하려면 WLC를 다시 시작해야 합니다.
1. 인증 및 계정 관리 서버로 ISE를 전체적으로 추가
2. ISE의 서버 그룹 생성
3. Dot1x를 전역적으로 사용하도록 설정합니다.
4. 방법 목록 구성
5. 권한 부여 MAC 필터 방법을 생성합니다.
이는 나중에 SSID 설정에서 호출됩니다.
1. 게스트 SSID 생성
이 ACL은 초기 MAB 요청에 대한 응답으로 나중에 access-accept에서 ISE에 의해 참조됩니다. NGWC는 이를 사용하여 리디렉션할 트래픽과 허용해야 할 트래픽을 결정합니다.
참고: 행 10은 선택 사항입니다. 이는 일반적으로 문제 해결 제안을 위해 추가됩니다. 이 ACL은 DHCP, DNS 서비스 및 ISE 서버 포트 TCP 8443(ACE 거부)에 대한 액세스를 허용해야 합니다. HTTP 및 HTTPS 트래픽이 리디렉션됩니다(ACE 허용).
이전 단계에서 설명한 모든 컨피그레이션은 CLI를 통해서도 적용할 수 있습니다.
802.1x 전역적으로 활성화됨
dot1x system-auth-control
전역 AAA 컨피그레이션
aaa new-model ! aaa authentication dot1x ISE_Method group ISE_Group aaa authorization network ISE_Method group ISE_Group aaa authorization network MacFilterMethod group ISE_Group aaa accounting Identity ISE_Method start-stop group ISE_Group ! aaa server radius dynamic-author client 172.16.157.210 server-key ***** client 172.16.157.21 server-key ***** auth-type any ! radius server ISE1 address ipv4 172.16.157.210 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key ***** ! radius server ISE2 address ipv4 172.16.157.21 auth-port 1812 acct-port 1813 timeout 5 retransmit 2 key ***** ! ! aaa group server radius ISE_Group server name ISE2 server name ISE1 deadtime 10 mac-delimiter colon !
WLAN 구성
wlan Guest 1 Guest aaa-override accounting-list ISE_Method client vlan VLAN0301 mac-filtering MacFilterMethod nac no security wpa no security wpa akm dot1x no security wpa wpa2 no security wpa wpa2 ciphers aes security dot1x authentication-list ISE_Method no security ft over-the-ds session-timeout 28800 no shutdown
리디렉션 ACL 예
3850#show ip access-lists Guest_Redirect Extended IP access list Guest_Redirect 10 deny icmp any any 20 deny udp any any eq bootps 30 deny udp any any eq bootpc 40 deny udp any any eq domain 50 deny tcp any host 172.16.157.210 eq 8443 60 deny tcp any host 172.16.157.21 eq 8443 70 permit tcp any any eq www 80 permit tcp any any eq 443
HTTP 및 HTTPS 지원
3850#show run | inc http ip http server ip http secure-server
참고: HTTP를 통한 WLC에 대한 액세스를 제한하기 위해 ACL을 적용할 경우 리디렉션에 영향을 줍니다.
이 섹션에서는 이 문서에서 설명하는 모든 사용 사례를 지원하는 데 필요한 ISE의 컨피그레이션에 대해 설명합니다.
4. Policy(정책) > Authentication(인증)으로 이동하고 MAB에서 Edit(편집)를 클릭하고 Use(사용): Internal Endpoints(내부 엔드포인트) 아래에서 If user is not found(사용자를 찾을 수 없는 경우) 옵션이 Continue(계속)로 설정되었는지 확인합니다(기본적으로 있어야 함).
플로우 개요
이 프로세스는 사용자가 SSID에 연결할 때마다 반복됩니다.
설정
3. 정책 > 정책 요소 > 결과 > 권한 부여 > 권한 부여 프로파일로 이동합니다. Add(추가)를 클릭합니다.
4. 이 프로파일은 초기 MAB(Mac authentication bypass) 요청에 대한 응답으로 Redirect-URL 및 Redirect-URL-ACL의 WLC로 푸시됩니다.
프로필은 이 그림과 비슷해야 합니다. 그런 다음 Save를 클릭합니다.
페이지 하단의 특성 세부사항: VAP(Attribute Value Pairs)가 WLC로 푸시될 때 이를 설정합니다.
5. Policy(정책) > Authorization(권한 부여)으로 이동하여 새 규칙을 삽입합니다. 이 규칙은 WLC의 초기 MAC 인증 요청에 대한 응답으로 리디렉션 프로세스를 트리거하는 규칙입니다(이 경우 Wireless_Guest_Redirect라고 함).
6. 조건 아래에서 라이브러리에서 기존 조건 선택을 선택한 다음 조건 이름 아래에서 복합 조건을 선택합니다. Wireless_MAB라는 미리 정의된 복합 조건을 선택합니다.
참고: 이 조건은 WLC에서 시작되는 액세스 요청에 필요한 2개의 Radius 특성으로 구성됩니다(NAS-Port-Type= IEEE 802.11 <모든 무선 요청에 존재> 및 Service-Type = Call Check< mac 인증 우회에 대한 특정 요청을 참조> ).
7. 결과에서 Standard > CWA_Redirect(이전 단계에서 생성한 권한 부여 프로파일)를 선택합니다. 그런 다음 Done(완료)을 클릭하고 Save(저장)를 클릭합니다
8. CWA_Redirect 규칙 끝으로 이동하고 Edit 옆의 화살표를 클릭합니다. 그런 다음 위에서 중복을 선택합니다.
9. 세션이 ISE의 CoA(이 경우 Wireless_Guest_Access)에서 재인증되면 엔드포인트가 매칭하는 정책이므로 이름을 수정합니다.
10. Wireless_MAB 복합 조건 옆에서 + 기호를 클릭하여 조건을 확장하고 Wireless_MAB 조건 끝까지 Add Attribute/Value를 클릭합니다.
11. "Select Attribute(특성 선택)"에서 Network Access(네트워크 액세스) > UseCase Equals Guest flow(UseCase Equals 게스트 플로우)를 선택합니다.
12. Permissions(권한)에서 PermitAccess(액세스 허용)를 선택합니다. 그런 다음 Done(완료)을 클릭하고 Save(저장)를 클릭합니다
두 정책은 다음과 유사해야 합니다.
플로우 개요
이 Lab 시나리오에서는 하루에 한 번 인증이 시행됩니다. 재인증 트리거는 엔드 포인트 ID 그룹의 모든 엔드 포인트를 매일 제거 하는 엔드 포인트 비우기 정책 입니다.
참고: 마지막 AUP 수락 이후 경과 시간을 기준으로 게스트 인증 이벤트를 적용할 수 있습니다. 게스트 로그온을 하루에 한 번 더 자주 적용해야 하는 경우(예: 4시간마다) 이 옵션을 선택할 수 있습니다.
설정
3. Work center(작업 센터) > Guest Access(게스트 액세스) > Configure(구성) > Guest Types(게스트 유형)로 이동하거나 포털의 Guest Device Registration Settings(게스트 디바이스 등록 설정)에서 지정된 바로 가기를 클릭합니다.
4. 스폰서 사용자가 게스트 계정을 생성할 때 게스트 유형을 할당합니다. 각 개별 게스트 유형에는 다른 엔드포인트 ID 그룹에 속하는 등록된 엔드포인트가 있을 수 있습니다.디바이스를 추가해야 하는 엔드포인트 ID 그룹을 할당하려면 스폰서가 이러한 게스트 사용자에 대해 사용하는 게스트 유형을 선택합니다(이 활용 사례는 매주(기본값) 기준).
5. 게스트 유형에서 로그인 옵션 아래의 드롭다운 메뉴에서 게스트 디바이스 등록을 위한 엔드포인트 ID 그룹을 선택합니다
6. Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)로 이동합니다. Add(추가)를 클릭합니다.
7. 이 프로파일은 초기 MAB(Mac authentication bypass) 요청에 대한 응답으로 Redirect-URL 및 Redirect-URL-ACL의 WLC로 푸시됩니다.
8. Policy(정책) > Authorization(권한 부여)으로 이동하여 새 규칙을 삽입합니다. 이 규칙은 WLC의 초기 MAC 인증 요청에 대한 응답으로 리디렉션 프로세스를 트리거하는 규칙입니다(이 경우 Wireless_Guest_Redirect라고 함).
9. 조건에서 라이브러리에서 기존 조건 선택을 선택한 다음 조건 이름에서 복합 조건을 선택합니다. Wireless_MAB라는 미리 정의된 복합 조건을 선택합니다.
10. 결과 아래에서 Standard > CWA_DeviceRegistration(이전 단계에서 생성한 권한 부여 프로파일)을 선택합니다. 그런 다음 Done(완료)을 클릭하고 Save(저장)를 클릭합니다
11. 위의 정책을 복제하고, 엔드포인트가 재인증 이벤트(Wireless_Guest_Access라고 함)에서 반환된 후 발견한 정책이므로 이름을 수정합니다.
12. Identity Group Details(ID 그룹 세부 정보) 상자에서 Endpoint Identity Group(엔드포인트 ID 그룹)을 선택하고 Guest Type(GuestEndpoints) 아래에서 참조하는 그룹을 선택합니다.
13. Results(결과)에서 PermitAccess(액세스 허용)를 선택합니다. Done(완료)을 클릭하고 변경 사항을 저장합니다.
14. 매일 GuestEndpoint 그룹을 지우는 엔드포인트 비우기 정책을 생성하고 생성합니다.
이 경우 조건은 GuestEndpoints의 Members with Elapsed Days less than 1 day(경과된 일이 1일 미만인 게스트 엔드포인트의 멤버)입니다
플로우 개요
설정
2. Work Centers(작업 센터) > Guest Access(게스트 액세스) > Configure(구성) > Guest Portals(게스트 포털)로 이동하고 Hotspot Portal(핫스팟 포털)을 선택합니다(기본값).
3. Portal Settings(포털 설정)를 확장하고 Endpoint Identity Group(엔드포인트 ID 그룹)에서 Endpoint Identity Group(엔드포인트 ID 그룹) 아래의 HostSpot_Endpoints group(호스트 스팟_엔드포인트 그룹)을 선택합니다. 이렇게 하면 등록된 디바이스가 지정된 그룹에 전송됩니다.
4. 변경사항을 저장합니다.
5. WLC에서 시작한 MAB 인증 시 HotSpot 포털을 호출하는 권한 부여 프로파일을 생성합니다.
6. WLC의 초기 MAB 요청 시 HotSpotRedirect 결과를 트리거하는 권한 부여 정책을 생성합니다.
7. 두 번째 권한 부여 정책을 생성합니다.
8. 5일보다 긴 경과 시간으로 끝점을 지우는 비우기 정책을 구성합니다.
ISE RADIUS 라이브 로그에서 플로우:
ISE RADIUS 라이브 로그에서 플로우:
FlexConnect 로컬 스위칭이 구성된 경우 네트워크 관리자는 다음을 확인해야 합니다.
또는 FlexConnect 그룹에 정책 ACL을 추가하여(Wireless > FlexConnect Groups > Select the correct group > ACL Mapping > Policies Redirect ACL을 선택하고 Add를 클릭합니다)
정책 ACL을 추가하면 구성된 ACL을 FlexConnect 그룹의 AP 멤버로 푸시하도록 WLC가 트리거됩니다. 이 작업을 수행하지 않으면 웹 리디렉션 문제가 발생합니다.
자동 앵커(외부 앵커) 시나리오에서는 다음 사실을 강조하는 것이 중요합니다.
"show client detailed xx:xx:xx:xx:xx"를 입력하면 클라이언트가 START에 머물러 있음을 알 수 있습니다. 일반적으로 이는 WLC가 AAA 서버가 반환하는 특성을 적용할 수 없음을 나타냅니다.
ISE에서 푸시한 리디렉션 ACL 이름이 WLC에 사전 정의된 ACL의 이름과 정확히 일치하는지 확인합니다.
ISE가 WLC(VLAN ID, 인터페이스 이름, Airespace-ACL)로 푸시다운하도록 구성한 다른 특성에도 동일한 원칙이 적용됩니다. 그런 다음 클라이언트는 DHCP로 전환한 다음 CENTRAL_WEB_AUTH로 전환해야 합니다.
클라이언트의 정책 관리자 상태가 SSID에 대해 구성된 동적 인터페이스에 정렬된 유효한 IP 주소를 사용하는 CENTRAL_WEB_AUTH인지 확인하고 Redirect ACL 및 URL-Redirect 특성이 클라이언트의 세션에 적용되는지 확인합니다.
리디렉션 ACL
AIreOS WLC에서 리디렉션 ACL은 양방향으로 TCP 포트 8443의 DNS 및 ISE와 같이 리디렉션하지 않아야 하는 트래픽을 명시적으로 허용해야 하며 암시적 거부 ip any는 나머지 트래픽을 리디렉션하도록 트리거합니다.
컨버지드 액세스에서는 논리가 정반대입니다. Deny ACE는 ACE가 리디렉션을 트리거하는 동안 리디렉션을 우회합니다. 따라서 TCP 포트 80 및 443을 명시적으로 허용하는 것이 좋습니다.
게스트 VLAN에서 포트 8443을 통해 ISE에 대한 액세스를 확인합니다. 컨피그레이션 측면에서 모든 것이 잘 보이는 경우 가장 쉽게 진행할 수 있는 방법은 클라이언트의 무선 어댑터 뒤에 있는 캡처를 수집하고 리디렉션이 중단된 위치를 확인하는 것입니다.
클라이언트가 흐름의 시작 부분에서 IP 주소를 움켜쥔 후(Pre Redirect 상태), 게스트 인증이 발생한 후(CoA 재인증 이후) VLAN 변경이 푸시다운되면(상태 에이전트 없이) 게스트 흐름에서 DHCP 릴리스/갱신을 강제하는 유일한 방법은 모바일 디바이스에서 작동하지 않는 Java 애플릿을 사용하는 것입니다.
그러면 클라이언트가 VLAN X에서 IP 주소가 VLAN Y인 블랙홀링됩니다. 이는 솔루션을 계획할 때 고려해야 합니다.
일반적으로 ISE의 세션 손실(세션이 종료됨)을 나타냅니다. 가장 일반적인 이유는 Foreign-Anchor가 구축된 경우 Anchor WLC에 구성된 어카운팅입니다. 이 문제를 해결하려면 앵커에서 어카운팅을 비활성화하고 외래 핸들 인증 및 어카운팅을 유지합니다.
5. 클라이언트는 ISE의 HotSpot 포털에서 AUP를 수락한 후 연결을 끊고 연결이 끊긴 상태로 유지되거나 다른 SSID에 연결됩니다.
이 흐름과 관련된 CoA(Dynamic Change of Authorization)로 인해(CoA Admin Reset) WLC에서 무선 스테이션에 대한 인증 해제를 실행하는 경우 핫스팟에서 이 문제가 발생할 수 있습니다. 대부분의 무선 엔드포인트는 인증 해제가 발생한 후 SSID로 돌아갈 때 문제가 발생하지 않지만, 경우에 따라 클라이언트는 인증 해제가 발생한 이벤트에 대한 응답으로 다른 기본 설정 SSID에 연결됩니다. ISE 또는 WLC에서는 원래 SSID에 고정하거나 사용 가능한 다른(기본 설정) SSID에 연결하는 무선 클라이언트에 따라 이를 방지하기 위해 아무것도 수행할 수 없습니다.
이 경우 무선 사용자는 HotSpot SSID에 수동으로 다시 연결해야 합니다.
(Cisco Controller) >debug client
Debug client sets to DEBUG CLIENT STATE MACHINE(클라이언트 상태 머신 변경과 관련된 구성 요소 집합 디버그)를 설정합니다.
(Cisco Controller) >show debug MAC Addr 1.................................. AA:AA:AA:AA:AA:AA Debug Flags Enabled: dhcp packet enabled. dot11 mobile enabled. dot11 state enabled dot1x events enabled. dot1x states enabled. mobility client handoff enabled. pem events enabled. pem state enabled. 802.11r event debug enabled. 802.11w event debug enabled. CCKM client debug enabled.
AAA 구성 요소 디버그
(Cisco Controller) >debug aaa {events, detail and packets} enable
이는 MAB 또는 Dot1X SSID를 통해 연결하는 사용자의 양에 따라 리소스에 영향을 줄 수 있습니다. DEBUG 레벨의 이러한 구성 요소는 WLC와 ISE 간의 AAA 트랜잭션을 기록하고 화면에 RADIUS 패킷을 인쇄합니다.
이는 ISE가 예상 특성을 제공할 수 없거나 WLC가 해당 특성을 올바르게 처리하지 못하는 경우에 중요합니다.
웹 인증 리디렉션
(Cisco Controller) >debug web-auth redirect enable mac aa:aa:aa:aa:aa:aa
이는 WLC가 리디렉션을 성공적으로 트리거하는지 확인하는 데 사용할 수 있습니다. 다음은 리디렉션이 디버그에서 어떻게 표시되는지 보여주는 예입니다.
*webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- parser host is 10.10.10.10 *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- parser path is / *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- added redirect=, URL is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&to *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- str1 is now https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-005056a15f11&action=cwa&token=c455b075d20c *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- clen string is Content-Length: 430 *webauthRedirect: Jul 07 19:18:08.035: 68:7f:74:72:18:2e- Message to be sent is HTTP/1.1 200 OK Location: https://TORISE21A.RTPAAA.NET:8443/portal/gateway?sessionId=0e249a0500000682577ee2a2&portal=9fc44212-2da2-11e6-a5e2-0050
Debug client sets to DEBUG CLIENT STATE MACHINE(클라이언트 상태 머신 변경과 관련된 구성 요소 집합 디버그)를 설정합니다.
3850#debug client mac-address <client MAC>
이 구성 요소는 화면에 RADIUS 패킷 (인증 및 계정 관리) 를 인쇄 합니다. 이는 ISE가 올바른 AVP를 제공하는지 확인하고 CoA가 올바르게 전송 및 처리되는지 확인해야 할 때 유용합니다.
3850#debug radius
그러면 무선 클라이언트가 관련된 모든 AAA 전환(인증, 권한 부여 및 계정 관리)이 수행됩니다. 이는 WLC가 AVP를 올바르게 구문 분석하고 이를 클라이언트 세션에 적용하는지 확인하는 데 중요합니다.
3850#debug aaa wireless all
이는 NGWC에서 리디렉션 문제가 의심되는 경우 활성화할 수 있습니다.
3850#debug epm plugin redirect all 3850#debug ip http transactions 3850#debug ip http url
RADIUS 라이브 로그
초기 MAB 요청이 ISE에서 올바르게 처리되었으며 ISE가 예상 특성을 푸시하는지 확인합니다. Operations(운영) > RADIUS > Live logs(라이브 로그)로 이동하고 Endpoint ID(엔드포인트 ID) 아래의 클라이언트 MAC을 사용하여 출력을 필터링합니다. 인증 이벤트가 발견되면 세부 정보를 클릭한 다음 수락의 일부로 푸시된 결과를 확인합니다.
TCPDump
이 기능은 ISE와 WLC 간의 RADIUS 패킷 교환을 자세히 살펴봐야 할 때 사용할 수 있습니다. 이렇게 하면 ISE가 WLC 측에서 디버그를 활성화할 필요 없이 access-accept에서 올바른 특성을 전송함을 증명할 수 있습니다. TCDDump를 사용하여 캡처를 시작하려면 Operations(운영) > Troubleshoot(문제 해결) > Diagnostic Tools(진단 도구) > General Tools(일반 도구) > TCPDump로 이동합니다.
다음은 TCPDump를 통해 캡처한 올바른 흐름의 예입니다
여기에 초기 MAB 요청에 대한 응답으로 전송된 AVP가 있습니다(위의 스크린샷에서 두 번째 패킷).
RADIUS Protocol Code: Access-Accept (2) Packet identifier: 0x0 (0) Length: 401 Authenticator: f1eaaffcfaa240270b885a9ba8ccd06d [This is a response to a request in frame 1] [Time from request: 0.214509000 seconds] Attribute Value Pairs AVP: l=19 t=User-Name(1): 00-05-4E-41-19-FC AVP: l=40 t=State(24): 52656175746853657373696f6e3a30653234396130353030... AVP: l=55 t=Class(25): 434143533a30653234396130353030303030616130353536... AVP: l=37 t=Vendor-Specific(26) v=ciscoSystems(9) VSA: l=31 t=Cisco-AVPair(1): url-redirect-acl=Gues_Redirect AVP: l=195 t=Vendor-Specific(26) v=ciscoSystems(9) VSA: l=189 t=Cisco-AVPair(1): url-redirect=https://ise21a.rtpaaa.net:8443/portal/gateway?sessionId=0e249a0500000aa05565e1c9&portal=194a5780-5e4e-11e4-b905-005056bf2f0a&action=cwa&token=c6c8a6b0d683ea0c650282b4372a7622 AVP: l=35 t=Vendor-Specific(26) v=ciscoSystems(9)
엔드포인트 디버깅:
정책 결정, 포털 선택, 게스트 인증과 관련된 ISE 프로세스에 대해 자세히 살펴보아야 하는 경우, CoA는 완전한 구성 요소를 디버그 레벨로 설정하는 대신 엔드포인트 디버그를 활성화하는 것이 가장 쉬운 접근 방법입니다.
이를 활성화하려면 Operations(운영) > Troubleshooting(문제 해결) > DiagnosticTools(진단 도구) > General Tools(일반 도구) > EndPoint Debug(엔드포인트 디버그)로 이동합니다.
엔드포인트 디버그 페이지에서 엔드포인트 MAC 주소를 입력하고 문제를 다시 생성할 준비가 되면 시작 을 클릭합니다.
디버그가 중지되면 디버그 출력을 다운로드할 엔드포인트 ID를 식별하는 링크를 클릭합니다.
Cisco Wireless Controller 컨피그레이션 가이드, 릴리스 8.0.
개정 | 게시 날짜 | 의견 |
---|---|---|
2.0 |
19-Oct-2022 |
RFC 1918, 5737 및 6761에 맞게 조정된 문서 |
1.0 |
12-Jul-2016 |
최초 릴리스 |