Устранение неисправностей web-аутентификации на контроллере беспроводных LAN (WLC) - Часть 2

Часть 1

·         Вы открываете web-браузер и вводите URL, например, http://www.google.com. Клиент отсылает DNS, запрашивают на этот URL получить IP для назначения. Обходы WLC, которые DNS запрашивает к серверу DNS и серверу DNS, отвечают назад ответом DNS, который содержит IP-адрес назначения www.google.com, который поочередно отправлен беспроводным клиентам

·         Клиент тогда пытается открыть TCP - подключение с IP - адресом назначения. Это отсылает Пакет TCP SYN, предназначенный в IP-адрес www.google.com.

·         WLC имеет правила, настроенные для клиента, и следовательно может действовать как прокси для www.google.com. Это отсылает пакет SYN-ACK TCP назад к клиенту с источником как IP-адрес www.google.com. Клиент отсылает пакет ACK TCP назад, чтобы завершить три способа, которыми полностью установлены квитирование TCP - подключения и TCP - подключение. По вопросам обслуживания компьютеров вы сможете обратиться к нам.

·         Клиент передает пакет GET HTTP, предназначенный www.google.com. WLC перехватывает этот пакет, передает его за обработкой перенаправления. Шлюз приложений HTTP готовит "тело" HTML и отсылает его назад как ответ на GET HTTP, который запрашивает клиент. Этот HTML делает клиент, чтобы перейти к URL веб-страницы по умолчанию WLC, например, http://<Virtual-Server-IP>/login.html.

·         Клиент закрывает TCP - подключение с IP-адресом, например www.google.com.

·         Теперь клиент хочет перейти к http://1.1.1.1/login.htmlи таким образом, он пытается открыть TCP - подключение с виртуальным IP - адресом WLC. Это передает Пакет TCP SYN за 1.1.1.1 к WLC.

·         WLC отвечает назад SYN-ACK TCP, и клиент отсылает ACK TCP назад к WLC, чтобы завершить квитирование.

·         Клиент передает GET HTTP за/login.html, предназначенным к 1.1.1.1, чтобы запросить на страницу входа.

·         Этот запрос позволен до Web-сервера WLC, и сервер отвечает назад страницей входа по умолчанию. Клиент получает страницу входа на окне браузера, где пользователь может идти вперед и войти.

Например: В данном примере IP-адрес клиента 10.50.0.130. Клиент решил URL на Web-сервер, к которому он обращался 10.1.0.13. Как вы можете видеть клиент сделал три этапных установления связи для запуска TCP - подключения и затем передал пакет GET HTTP, запускающийся с пакета 30. Контроллер перехватывает пакеты и отвечает с кодом 200. Пакет кода 200 имеет URL перенаправления в нем:

<HTML><HEAD><TITLE>Cisco Systems Inc. Web Authentication Redirect</TITLE><META 
http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" 
content="no-cache"><META http-equiv="Expires" content="-1"><META http-equiv="refresh" 
content="1; URL=https://1.1.1.1/login.html?redirect=cisco-lwapp-controller.qqq.qqqqq.
cube.net/"></HEAD></HTML>

Это тогда закрывает TCP - подключение через три этапных установления связи. 

Клиент тогда запускает соединение HTTPS с URL перенаправления, который передает его этим 1.1.1.1, который является виртуальным IP - адресом контроллера. Клиент должен проверить серверного сертификата или проигнорировать его, чтобы перевести туннель SSL в рабочее состояние. В этом случае это - подписанный сертификат, таким образом, клиент проигнорировал его. Веб-страница входа в систему передается через этот туннель SSL. Пакет 42 начинает транзакции.

У вас есть опция для настройки доменного имени для виртуального IP - адреса контроллера беспроводных LAN. При настройке доменного имени для виртуального IP - адреса это доменное имя возвращено в HTTP ОК пакет от контроллера в ответ на пакет GET HTTP от клиента. Тогда необходимо выполнить Разрешение DNS для этого доменного имени и как только это получает IP-адрес из Разрешения DNS, это пытается открыть сеанс TCP с тем IP-адресом, который является IP, настроенным на виртуальном интерфейсе контроллера.

В конечном счете веб-страницу передают через туннель клиенту, и пользователь отсылает имя пользователя/пароль назад через туннель SSL.

Web-аутентификация выполнена одним из этих трех методов:

·         Web-аутентификация использует страницу Внутренней сети (по умолчанию).. Обратитесь к Выбору Страницу Регистрационного имени для проверки подлинности Веб-страницы по умолчанию для получения дополнительной информации об использовании страницы веб-страницы по умолчанию.

·         Web-аутентификация использует Специализированную страницу входа. Обратитесь к Созданию Специализированной Страницы входа Web-аутентификации для получения дополнительной информации о том, как использовать Специализированную страницу входа.

·         Web-аутентификация использует страницу входа от сервера внешней web - страницы. Обратитесь к Использованию Специализированной Страницы входа Web-аутентификации от Сервера Внешней web - страницы для получения дополнительной информации о том, как использовать страницу входа от сервера внешней web - страницы.  Если вы не можете решить проблему, обратитесь в компанию занимающуюся ит аутсорсингом.

Примечание. Специализированная веб-связка (bundle) аутентификации имеет предел до 30 символов для имен файлов. Гарантируйте, что никакие имена файлов в связке (bundle) не больше, чем 30 символов.

Примечание. От выпуска 7.0 WLC и далее, если Web-аутентификация включена на WLAN и у вас также есть правила списка прав доступа (ACL) ЦПУ, клиент базировался, правила Web-аутентификации всегда берут более высокий приоритет, пока клиент является не прошедшим поверку подлинности в состоянии WebAuth_Reqd. Как только клиент переходит к состоянию RUN, правила списка прав доступа (ACL) ЦПУ применены.

Примечание. Поэтому, Если ACL ЦПУ включены в WLC, позволять правило для IP виртуального интерфейса требуется (В ЛЮБОМ направлении) в этих условиях:

·         Когда ACL ЦПУ не имеет позволять правила ALL для обоих направлений.

·         Когда там существует позволять правило ALL, но там также существует ЗАПРЕЩАТЬ правило для порта 443 или 80 из более высокого приоритета.

Примечание. Позволять правило для виртуального IP должно быть для протокола TCP и порта 80, если secureweb отключен, или порт 443, если включен secureweb. Это необходимо, чтобы предоставить доступ клиента к успешной аутентификации поста IP-адреса виртуального интерфейса, когда существуют ACL ЦПУ. 

 

Часть 3

Заказать звонок

Пожалуйста, оставьте свои контакты