تعطيل الشبكات المحمية للعملاء المتجولين تحت مظلة على شبكات المؤسسات

المقدمة

يوضح هذا المستند كيفية تعطيل عملاء Umbrella المتجولين (المستقلين و AnyConnect) على شبكات الشركة وتمكينها من خارج شبكة الشركة.

معلومات أساسية

هذه المقالة موجهة إلى المسؤولين. إذا لم تكن ترغب في التراجع عن العميل المتجول على الشبكة، توقف هنا.

تهدف ميزة الشبكات المحمية بالمظلة إلى شبكة مخرج واحد. بالنسبة لأي شبكات ذات أكثر من مخرج واحد، يلزم وجود ميزة بديلة.

اليوم، توجد هذه الميزة في الإنتاج كميزة مجال الشبكة الموثوق بها. قم بالقراءة للتعرف على كيفية طلب الميزة وما هو المطلوب على الشبكة.

ما هي ميزة مجال الشبكة الموثوق به؟

تعد ميزة الشبكة الموثوق بها حسب المجال طريقة لتعطيل العميل المتجول على شبكة الشركة، مع تمكينها خارج الشبكة. عند تنشيط الميزة:

• تعطيل حماية DNS التي يوفرها العميل المتجول
  • يؤجل النهج إلى نهج الشبكة
• إيقاف كافة إختبارات الشبكة باستثناء التحقق من مجال الشبكة الموثوق به
  • مثالي للشبكات المشغولة!
  • بديل عظيم لثغرة VA
    • الاستخدام بالاقتران مع وحدات VA لمحادثات الشبكة الأقل

سلوك IPv6، Windows مقابل MacOS

• على Windows، يتم الاستعلام عن المجال على IPv4 و IPv6. ويتم التعامل مع سلوك الإيقاف بشكل منفصل على كل مكدس شبكة. على سبيل المثال، إذا تم حل المجال على IPv4 وليس IPv6، فسيتم إيقاف تشغيل العميل المتجول على IPv4 فقط، ومواصلة التشغيل على IPv6. إذا كنت ترغب في إيقاف تشغيل العميل بالكامل، فيجب حل استعلامات IPv4 و IPv6.
• على MacOS، يتم الاستعلام عن المجال على IPv4 و IPv6. على عكس Windows، إذا كان المجال يحل على مكدس الشبكة، فيتوقف العميل المتجول عن العمل لكل من IPv4 و IPv6.

كيف يمكنني تمكين الميزة؟

يتم الآن التحكم في هذه الميزة في لوحة المعلومات. الرجاء مراجعة إعدادات أجهزة الكمبيوتر المتجولة.

• يعجز المظلة المرغوب مجال فرعي. يجب أن يكون هذا المجال:
  • امتلاك سجل يتم حله إلى عنوان IP داخلي RFC-1918 (ل IPv4)
  • امتلاك سجل المصادقة والتفويض والمحاسبة (AAA) الذي يتم الحل إليه على IP على IPv6 وفقا لمعيار RFC-4193 (في حالة إستخدام IPv6)
    • يشبه RFC-1918 IPs بشكل نموذجي 10.x.x.x أو 172.x.x أو 192.168.x.x
    • يبدأ عنوان بروتوكول الإنترنت (IPv6) المتوافق مع المعيار RFC-4193 ب 'FD'
    • لا يجب الوصول إلى عناوين IP
    • يجب أن يكون مجال فرعي
      • sub.domain.com - جيد!
      • subdomain.com لا خير.
  • حل الشبكة إلى NXdomain أو NODATA أو عنوان IP العام (بحيث يظل العميل ممكنا في هذه السيناريوهات)
    • لا خدمة من فضلك
  • كن مجال في منطقة تتحكم فيها للتأكد من أنك تتحكم في المساحة العامة والمحلية
• دعم:
  • Umbrella Roaming Client
  • وحدة أمان AnyConnect Umbrella Roaming Security Module 4.5 MR4+ فقط

كيف يمكنني إختبار الميزة لجهاز واحد؟

للاختبار محليا قبل أن يقوم فريق المظلة بتطبيق الإعداد بشكل عام، قم بتطبيق هذا التجاوز.

1. إنشاء ملف "customer_network_probe.flag"
   1. تأكد من أن الملف ليس .flag.txt
2. ضع المجال المرغوب في محتويات الملف
3. وضع الملف في:
   1. العميل المتجول
      1. Windows: ٪ProgramData\OpenDNS\ERC\
   2. AnyConnect
      1. Windows: ٪ProgramData٪\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
   3. Cisco Secure Client
      1. Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
      2. ماك أو إس: /opt/cisco/secureclient/umbrella/data/
4. إعادة تشغيل العميل المتجول
   1. العميل المتجول: Umbrella Roaming Client: تعطيل أو إعادة تشغيل يدويا.
   2. AnyConnect: إعادة تشغيل خدمة AnyConnect للوكيل الأصلي

ملاحظة: عميل التجوال في MacOS، لا تدعم إصدارات AnyConnect هذه العلامة.