에 시스코 5508 v7.2.103.0, 나는 구성된 무선 랜의 몇 가지있다. 이 질문을 위해 ABC와 XYZ를 호출하십시오. ABC는 802.1X를 사용하며 스플래시 페이지 리디렉션 URL을 푸시 다운합니다. XYZ는 PSK를 사용하고 WebAuth 외부 구성을 사용하여 로그인 페이지 리디렉션 URL을 푸시합니다. 스플래시 및 로그인 페이지는 모두 http://webauth.example.com/splash.html 및 /login.html과 같은 동일한 기본 (외부 웹 서버) URL로 제공됩니다 .
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
리디렉션 URL이 장치, webauth / NAC RUN 상태 및 실제로 인터넷에 액세스 할 수있는 기능 (또는 필요할 때 얻지 못함)에 표시 될 때 일관성이없는 것으로 보입니다.
트래픽을 전달하기 전에 로그인 페이지에 동의 (사용자 이름 필요 없음)가 필요하며 WLC는 트래픽이 흐르기 위해 장치가 스플래시 페이지를 볼 수 있다고 생각하면된다는 것을 이해합니다.
나는 본 적이 거의 가능한 모든 조건 하지만, 트래픽 흐름은 항상 이해가되지 않는 경우입니다.
- 비보안 일반 텍스트 URL을 탐색 할 때 스플래시 또는 로그인 페이지 리디렉션이 발생합니다. webauth는 NAC 상태 RUN으로 인증 됨, 트래픽 흐름을 보여줍니다. 이것이 일어날 것으로 예상되지만 자주 발생하지는 않습니다.
- 비보안 일반 텍스트 URL을 탐색 할 때 스플래시 또는 로그인 페이지 리디렉션이 발생하지 않습니다. webauth는 NAC 상태 RUN으로 인증 된 트래픽 흐름을 보여줍니다 (하지만 WLC에서 클라이언트를 제거한 후에는 표시되지 않는 webauth 리디렉션을 강제 실행해서는 안 됨).
- 비보안 일반 텍스트 URL을 탐색 할 때 스플래시 또는 로그인 페이지 리디렉션이 발생하지 않습니다. webauth가 NAC 상태 WEBAUTH로 인증되지 않았으며 트래픽이 흐르지 만 그렇지 않아야합니다.
- 비보안 일반 텍스트 URL을 탐색 할 때 스플래시 또는 로그인 페이지 리디렉션이 발생합니다. webauth는 NAC 상태 WEBAUTH로 인증되지 않음을 표시하고 트래픽은 흐르지 않습니다 (하지만 WEBAUTH가 통과 된 것으로 표시되는 경우).
- 비보안 일반 텍스트 URL을 탐색 할 때 스플래시 또는 로그인 페이지 리디렉션이 발생하지 않습니다. webauth가 NAC 상태 WEBAUTH로 인증되지 않았으며 트래픽이 예상대로 흐르지 않습니다.
모든 경우에 클라이언트 세부 사항은 경로 재 지정 URL이 설정되었음을 표시합니다.
리디렉션, webauth / run 상태 및 트래픽 흐름 (허용 또는 거부)으로 모든 것이 예상대로 작동하는 두 가지 경우에 ACL이 문제라고 생각하지 않습니다. 리디렉션 URL 이외의 ACS에서 다른 내용을 푸시 다운하지 않습니다. 두 WLAN은 서로 다른 VLAN으로 하드 코딩됩니다.
이것이 임의의 행동 일 수 있습니까? 아니면 내 눈이 단지 나를 속이는 것일까 요? 다른 장치에서는 약간 다른 동작을 보았습니다.
이 문제를 좁히는 가장 좋은 방법은 무엇입니까?
업데이트 : DNS는 문제가되지 않습니다. 일반적인 IP 도달 가능성은 브라우저에서 임의로 작동합니다. webauth 상태에 관계없이 (RUN vs WEBAUTH-REQD) 때때로 브라우저가 통과하고 때로는 작동하지 않습니다. (초기 요청은 항상 일반 텍스트 HTTP입니다.) SMTP와 같은 웹 이외의 앱에서 정기적 인 트래픽이 발생하는 것을 보았으므로 Webauth가 이것과 관련이 있다고 생각하지만 분명히 잘못된 것은 없습니다. . 나는이 preauth 상당히 자유의 ACL과 손님 ACL을. 나는 차이를 만들지 않은 두 ACL 모두에 허용을 추가했습니다.