ISEとWLCを連携してWeb認証を行っている環境で、無線クライアントがWLANに接続すると最初に ISE の GuestPortal にリダイレクトされ、認証画面が表示されます。その状態で暫く認証をせずに放置していると認証画面で "セッションがタイムアウトになっています。[再試行]をクリックしてもう一度試してください" と表示されます。

Webブラウザに Chrome(バージョン67)を使用している場合[再試行]をクリックしますと、 https://1.1.1.1 にリダイレクトされ、認証ができない事象が発生します。

ここで "1.1.1.1" は ISE の GuestPortal の retryURL でデフォルトで設定されているアドレスです。無線端末から ISE の GuestPortalにアクセス、もしくは ISE の "Portal test URL" を Webブラウザで開き"View Page Source" で HTML のソースを表示しますと以下のように retryUrl が 1.1.1.1に設定されているのが確認できます。

IP アドレス 1.1.1.1 は 2009 年まではどの組織にも割り当てられていませんでしたが、IPv4枯渇対策として 2010 年に IANA が 1.0.0.0/8 を APNIC に割り当てております。またAPNIC では 2018 年より 1.1.1.1 を Public DNS サービスおよびそのウェブサイトの IP アドレスとして運用開始されており、これに伴い Google Chrome バージョン 67 では 1.1.1.1が Pre-loaded HSTS ドメインとして登録されました。HSTS (HTTP Strict Transport Security) はブラウザに HTTPS 接続を強制する機能で、クライアントによる証明書検証が必須となるため上記のような事象が発生します(※１)。

この事象はISE の GuestPortal の retryURLを 1.1.1.1 以外に変更することで回避できます。ISE の GuestPortal の retryURL を変更したいときにはAdministration > Device Portal Management > Settings > Retry URL > Retry URL for onboarding からご要望のIP アドレスに設定できます。

※１  WLC/ME での virtual interface IP アドレスについて

       <https://supportforums.cisco.com/t5/-/-/ta-p/3409686/>