مشاكل رؤية هوية العميل الآمنة مع نفق شبكة MX75 في الوصول الآمن
المحتويات
مسألة
عند نشر نقاط النهاية مع "العميل الآمن" خلف نفق شبكة MX75 يتصل ب "الوصول الآمن"، لا تكون هويات العملاء والمستخدمين المتجولين مرئية بشكل صحيح في النظام. يتم ملاحظة السلوكيات المحددة التالية:
- لا تعمل إعدادات التراجع التي تم تكوينها لترتيب أولويات "العميل الآمن" عبر إتصالات نفق الشبكة كما هو متوقع عندما تكون نقاط النهاية خلف MX75
- لا تنطبق قواعد توجيه حركة المرور المستندة إلى المجالات لأن حركة المرور تعزى فقط إلى هوية نفق الشبكة بدلا من العميل المتجول
- يعرض البحث في النشاط معلومات غير كاملة حول موقع المصدر، مع إظهار هوية نفق الشبكة فقط أثناء حذف هويات المستخدم والعميل المتجول
- لا يتم تطبيق قواعد توجيه حركة المرور المستندة إلى الهوية (مثل تلك المستندة إلى مستخدمي Active Directory أو معرف العميل المتجول) على حركة مرور البيانات التي تجتاز نفق MX75
يمنع هذا السلوك الفصل الصحيح للهوية وتطبيق السياسة لنقاط النهاية المتصلة من خلال البنية الأساسية لنفق الشبكة.
البيئة
- نشر الوصول الآمن من Cisco
- جهاز MX75 بتكوين نفق الشبكة لتأمين الوصول
- عملاء Secure Client Agents المثبت على جميع نقاط النهاية
- تم تعطيل إعدادات الإيقاف الاحتياطي على عملاء التجوال لترتيب اتصال "العميل الآمن" عبر نفق الشبكة حسب الأولوية
- قواعد توجيه حركة المرور التي تم تكوينها للتوجيه المستند إلى المجال
- تم تكوين السياسات المستندة إلى الهوية لمستخدمي Active Directory والعملاء المتجولين
قرار
تم حل المشكلة بتطبيق تكوين حل بديل باستخدام نهج الشبكة المسجلة بدلا من الاعتماد على إمكانية رؤية الهوية الجوالة من خلال نفق شبكة MX75.
تنفيذ الحل البديل
الخطوة 1: تكوين RSM (وحدة أمان التجوال) مع شبكة مسجلة
استبدل تكوين نفق الشبكة الحالي بنشر RSM مقترن بإعداد شبكة مسجل. يتيح هذا التكوين تخصيص الهوية المناسبة وتطبيق السياسة.
الخطوة 2: التحقق من إمكانية رؤية الهوية
بعد تنفيذ تكوين الشبكة المسجلة، تحقق من:
يتم عرض هويات المستخدم بشكل صحيح في البحث عن النشاط
يمكن رؤية هويات العملاء المتجولة وإسنادها بشكل صحيح
قواعد توجيه حركة المرور المستندة إلى وظيفة هوية المستخدم والعميل كما هو متوقع
الخطوة 3: إختبار وظيفة توجيه حركة المرور
تأكد من تطبيق قواعد توجيه حركة المرور المستندة إلى المجال والسياسات المستندة إلى الهوية بشكل صحيح مع التكوين الجديد.
نهج بديل
للبيئات التي لا يكون فيها الفصل بين الهوية عبر الشبكات الخاصة مطلوبا، فكر في تنفيذ تكوين RSM - الإنترنت. يرسل هذا النهج حركة مرور RSM مباشرة إلى الإنترنت وليس من خلال نفق الشبكة الخاصة، والذي يمكن أن يوفر إمكانية رؤية الهوية المناسبة مع الحفاظ على عناصر التحكم في الأمان.
تحليل فني
أثناء أستكشاف الأخطاء وإصلاحها، تم تجميع الإخراج التشخيصي باستخدام policy.test.sse.cisco.com لإظهار سلوك نسب الهوية عندما تكون نقاط النهاية وراء نفق MX75. أكد التحليل أنه بينما يكون توجيه الهويات المتجولة عبر نفق الشبكة ممكنا من الناحية التقنية، إلا أنه ليس تدفقا عملياتيا موصى به أو مدعوما لسيناريو النشر المحدد هذا.
السبب
ويرتبط السبب الجذري بكيفية معالجة Secure Access لإسناد الهوية عندما تجتاز حركة المرور عبر البنية الأساسية لنفق الشبكة. عند توصيل نقاط النهاية من خلال نفق شبكة MX75، يعزو النظام حركة مرور البيانات إلى هوية النفق بدلا من الحفاظ على هويات العميل والمستخدم المتجولة الفردية. يتم هذا السلوك عن طريق التصميم لاتصالات نفق الشبكة، ولكنه يتعارض مع متطلبات رؤية الهوية الفردية وتطبيق السياسة.
على الرغم من أنه من الممكن من الناحية التقنية توجيه الهويات المتجولة من خلال أنفاق الشبكة، إلا أنه لا يوصى بهذا التكوين أو يدعمه كتدفق عملياتي قياسي بسبب قيود نسبة الهوية الموضحة أعلاه.
المحتوى ذي الصلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-May-2026
|
الإصدار الأولي |
التعليقات