在Cisco 5508 v7.2.103.0上,我配置了几个WLAN。为了这个问题,将它们称为ABC和XYZ。ABC使用802.1X,并获得一个初始页面重定向URL向下推。XYZ使用PSK并使用WebAuth外部配置来推送登录页面重定向URL。初始页面和登录页面均在相同的基础(外部Web服务器)URL下提供,例如http://webauth.example.com/splash.html和/login.html。
WLAN ABC - Splash-Page-Web-Redirect[WPA + WPA2][Auth(802.1X + CCKM)]
WLAN XYZ - Web-Passthrough[WPA2][Auth(PSK)]
我看到重定向URL在设备上显示时,webauth / NAC RUN状态以及实际获得Internet访问(或在我应有的时候不能获得)的能力时,似乎出现了不一致的行为。
我知道登录页面在允许流量通过之前需要接受(不需要用户名),并且WLC只需认为初始页面已被设备看到(不需要接受),流量就可以在此处流动。
我已经看到几乎所有情况都是可能的,但是交通流量并不总是很有意义。
- 当浏览到非安全的纯文本URL时,启动或登录页面重定向发生;webauth显示已通过NAC状态RUN进行身份验证,流量通过。这是预期发生的事情,但不会经常发生。
- 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;webauth显示已通过NAC状态RUN进行身份验证,流量通过(但在从WLC删除客户端以强制未显示的webauth重定向之后不应该)。
- 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;未通过NAC状态WEBAUTH对webauth进行身份验证,流量会(但不应)通过。
- 当浏览到非安全的纯文本URL时,启动或登录页面重定向发生;webauth显示NAC状态为WEBAUTH的未经身份验证,流量不会流动(但如果WEBAUTH显示为已通过,则不会)。
- 浏览到非安全的纯文本URL时,不会发生启动或登录页面重定向;webauth未通过NAC状态WEBAUTH进行身份验证,流量不流通(按预期)。
在所有情况下,客户端详细信息都会显示已设置重定向URL。
在重定向,webauth /运行状态和流量(允许或拒绝)一切正常的两种情况下,我认为ACL并不是问题。除了重定向URL,没有其他任何东西可以从ACS下推。这两个WLAN硬编码到不同的VLAN。
这是随机行为还是我的眼睛在骗我?我发现不同设备的行为略有不同-有些随机,有些更少。
缩小此问题的最佳方法是什么?
更新:DNS不是问题。常规IP可达性在浏览器中随机起作用。无论webauth状态(RUN与WEBAUTH-REQD)如何,有时浏览器都能通过,有时却无法通过。(初始请求始终是纯文本HTTP。)我什至看到非SMTP等非Web应用程序的正常流量都可以通过,因此我真的认为Webauth对此很不满意,但是我看不到任何明显错误的东西。 。我有一个相当宽松的预认证 ACL和一个来宾 ACL。我什至在两个ACL中都添加了允许任何/任何内容,但没有任何区别。