キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.3

 AMATopBanner2021.4.23.JPG

 2021Apr.TopBanner.JPG

 

ISE で GuestPortal の Retry URL を設定する方法

465
閲覧回数
20
いいね!
0
コメント

ISEとWLCを連携してWeb認証を行っている環境で、無線クライアントがWLANに接続すると最初に ISE GuestPortal にリダイレクトされ、認証画面が表示されます。その状態で暫く認証をせずに放置していると認証画面で "セッションがタイムアウトになっています。[再試行]をクリックしてもう一度試してください" と表示されます。

 

Timeout.png

 

Webブラウザに Chrome(バージョン67)を使用している場合[再試行]をクリックしますと、 https://1.1.1.1 にリダイレクトされ、認証ができない事象が発生します。

 

1-1-1-1-timeout.png

 

ここで "1.1.1.1" ISE GuestPortal retryURL でデフォルトで設定されているアドレスです。無線端末から ISE GuestPortalにアクセス、もしくは ISE "Portal test URL" Webブラウザで開き"View Page Source" で HTML のソースを表示しますと以下のように retryUrl 1.1.1.1に設定されているのが確認できます。

 

Retry-URL-default.png

 

 

IP アドレス 1.1.1.1 2009 年まではどの組織にも割り当てられていませんでしたが、IPv4枯渇対策として 2010 年に IANA 1.0.0.0/8 APNIC に割り当てております。またAPNIC では 2018 年より 1.1.1.1 Public DNS サービスおよびそのウェブサイトの IP アドレスとして運用開始されており、これに伴い Google Chrome バージョン 67 では 1.1.1.1 Pre-loaded HSTS ドメインとして登録されました。HSTS (HTTP Strict Transport Security) はブラウザに HTTPS 接続を強制する機能で、クライアントによる証明書検証が必須となるため上記のような事象が発生します(※1)

 

この事象はISE GuestPortal retryURL 1.1.1.1 以外に変更することで回避できます。ISE GuestPortal retryURL を変更したいときにはAdministration > Device Portal Management > Settings > Retry URL > Retry URL for onboarding からご要望のIP アドレスに設定できます。

 

Config-Retry-URL.png

 

 

※1  WLC/ME での virtual interface IP アドレスについて

       <https://supportforums.cisco.com/t5/-/-/ta-p/3409686/>