فهم تكوينات شبكة IPv6 مزدوجة المكدس ل Umbrella Roaming Client

المقدمة

يصف هذا المستند دعم Umbrella Roaming Client، ولا سيما تكوينات شبكة IPv6 المزدوجة للمكدس.

نظرة عامة

حاليا، يدعم عميل Umbrella المتجول تكوينات شبكة IPv4 فقط والمكدس المزدوج لنظام التشغيل MacOS بشكل افتراضي (العميل المتجول 2.1.x+) ولنظام التشغيل Windows (الإصدار العميل 2.2.x+) من خلال التبديل بين إعادة توجيه IPv6 في صفحة العملاء المتجولين بلوحة المعلومات.

لا يتوفر دعم شبكات IPv6 فقط لكل من نظامي التشغيل Mac و Windows في الوقت الحالي.

يتوفر دعم إعادة توجيه IPv6 لوحدة الأمان تجوال AnyConnect اعتبارا من الإصدار 4.8.02042.

إعادة توجيه IPv4

يبقى وظيفة إعادة توجيه DNS ل IPv4 دون تغيير للعميل المتجول. لا يزال DNS تتم الكتابة فوقه إلى 127.0.0.1، مما يؤدي إلى إعادة توجيه DNS إلى وكيل تشفير DNS الخاص بالعميل المتجول. 

التدفق:

127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

إعادة توجيه IPv6 

يعد مكون IPv6 الجديد في الإصدار 2.2.x بمثابة إضافة جديدة إلى العميل المتجول. هذا التغيير موجود على الطرف الخلفي من العميل وكذلك على درج واجهة المستخدم المحدث. 

ما الجديد؟ ابحث عن حالة IPv6. بشكل افتراضي، يكون هذا هو "غير ممكن". إذا تم تشغيل إعادة توجيه IPv6 من لوحة المعلومات، يتم تنشيط إعادة توجيه IPv6 الجديد ل Umbrella. عند التشغيل، تتم الكتابة فوق DNS ل IPv6 باستخدام ::1

تتميز حماية بروتوكول IPv6 بحالتها المستقلة الخاصة من الدول المحمية والمشفرة والمحمية وغير المشفرة وغير المحمية وغيرها. تنعكس هذه الحالة على واجهة المستخدم الرسومية (GUI) المحدثة.

تتم إعادة توجيه IPv6 بشكل مستقل عن تغطية IPv4. 

التدفق:

::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

عملية قياسية

يختبر العميل المتجول توفر محولات Umbrella على كل تغيير في حالة الشبكة، وعلى فاصل متكرر منتظم (حاليا 10s). إذا كان DNS متاحا عبر وكيل DNS، يدخل العميل الوضع المحمي لإصدار بروتوكول الإنترنت الذي يجتاز الاختبار. مع تمكين IPv6، توقع حدوث حزم تأكيد اتصال DNS العادية مرة واحدة لكل بروتوكول كل 10 ثوان.

عندما يكون كلا البروتوكولين نشطا، يظهر DNS على أنه:

::1
127.0.0.1

مخطط الوظائف

ملاحظة: لا يتأثر DNS الداخلي أبدا ب IPv6. تسمح السيناريوهات غير المدعومة بتجاوز DNS و DNS الداخلي. تستند السيناريوهات إلى وجود إعدادات DNS الخاصة ب IPv4 و IPv6. يمكن أن يكون للشبكات الداخلية عناوين IPv6 بدون خوادم DNS ل IPv6، وسيتم اعتبارها شبكات IPv4 للأساس الذي يستند إليه هذا المخطط.

الأسئلة المتكررة

هل تدعم Umbrella حظر طلبات AAA (باستخدام IPv4)؟

نعم، ترجع استعلامات AAA للمجالات المحظورة التي تم تلقيها عبر IPv4 عنوان IPv6 المعين من قبل IPv4 لصفحة الحظر.

هل تدعم Umbrella صفحة حظر خاصة ب IPv6، أو بشكل عام، لحظر طلبات IPv6؟

صحيح أنه لا يمكن الوصول إلى صفحات الحظر عبر IPv6، ومع ذلك، هناك القليل من تسمية خاطئة مع "حظر طلبات IPv6". تسمح Umbrella بالمجالات أو حظرها، والتي ليست عناوين IPv4 أو IPv6. تعمل خدمة Umbrella DNS على حل المجالات إلى عناوين IPv4 أو IPv6. عندما تقوم Umbrella بحظر شيء ما، فإنها ترجع عنوان IPv4 لاستعلامات A أو عنوان IPv6 معين بواسطة IPv4 لاستعلامات AAAA. عنوان IP الذي تم إرجاعه هو عنوان صفحة كتلة المظلة بدلا من المجال.

في كلتا الحالتين، يمكن الوصول إلى عنوان IP الذي تم إرجاعه فقط عبر IPv4، لذلك يجب أن يكون العميل قادرا على الأقل على IPv4 من أجل الاتصال به لاحقا.

عندما يتم توجيه طلب من خلال Umbrella Intelligent Proxy تكون الأمور متشابهة كثيرا. تقوم طلبات AAA للمجالات ذات القوائم الرمادية- التي تم تلقيها عبر IPv4- بإرجاع عنوان IPv6 الذي تم تعيينه بواسطة IPv4 للوكيل. يجب أن يكون العميل قادرا على الإصدار IPv4 للاتصال لاحقا بالوكيل.

إذا تم السماح بطلب IPv6 AAA، هل تقوم Umbrella بتسجيل ذلك؟

نعم، تقوم Umbrella بتسجيلها شريطة أن يأتي الطلب من هوية أو هويات مسجلة. كما يجب تسجيل الشبكات التي تحتوي على عناوين IPv6 لتسجيل الدخول إلى التقارير. ويصدق نفس الشيء على العملاء المتجولين أو أنواع الهوية الأخرى.

الانتظار، هل يمكنني تسجيل شبكة IPv6 إلى Umbrella؟

نعم ! خليك ضيفنا واسجلي عنا.

هل هناك أي سيناريوهات متوقعة لا تنطبق فيها التغطية كما هو متوقع عند تطبيقها على شبكة مكدس مزدوج باستخدام خوادم IPv6 DNS؟

نعم. إذا لم تكن محولات IPv4 المظلية قابلة للوصول إليها، يكون DNS المرتبطة ب IPv4 غير محمي. إذا لم تكن محولات IPv6 المظلة قابلة للوصول إليها، يكون DNS المرتبطة ب IPv6 غير محمي. من الممكن أن يكون هناك أي من عمليات إعادة التوجيه غير محمية أو كلا الاتجاهين بسبب قيود الشبكة. راجع السؤال التالي لسيناريو مثال.

ماذا لو كان لدي خادم DNS IPv6 يمكن الوصول إليه، ولكن لا يمكن الوصول إلى محولات IPv6 Umbrella؟ هل يستطيع العميل الاحتفاظ بالحماية؟

Windows: تظل حماية IPv6 غير متصلة بسبب عدم إمكانية الوصول إلى Umbrella على IPv6. يتم حل DNS الذي يتم إرساله إلى المحلل المحلي ل IPv6 بشكل طبيعي، خارج العميل. نظرا لتوافر محولات DNS العامة ل IPv4 - تتم حماية أي DNS يتم إرساله إلى مكدس IPv4 DNS بواسطة Umbrella. لذلك، لا يتم حماية DNS الذي تم إرساله عبر IPv6 في حين أن DNS الذي تم إرساله إلى IPv4 محمي. ومن الأمثلة التي تم رؤيتها في هذا المجال هي نقطة فعالة للهاتف المحمول مزودة بخادم IPv6 DNS، ولكن لا يوجد وصول IPv6 إلى المحللين التابعين لنا.

ماذا إذا كانت واجهة الشبكة الخاصة بي تحتوي على بعض خوادم IPv6 DNS المحلية فقط مثل "fec0:......"

Windows: واعتبارا من الإصدار 2.2.109، يمكن أن يتسبب ذلك في بعض السلوك غير المتناسق. تم حل هذا الأمر في إصدارنا التالي ولم تتم معالجته بواسطة العميل المتجول.

هل تتفاعل حالة IPv4 الخاصة بالعميل مع حالة IPv6 على الإطلاق؟

Windows: لا. هي حالات مستقلة تماما حسب توفر الشبكة ووجود خادم DNS لكل بروتوكول.

هل يمكن إعادة توجيه IPv6 DNS إلى خوادم IPv4 DNS إذا كانت Umbrella يمكن الوصول إليها فقط على IPv4، ولكن الكمبيوتر موجود على شبكة تم تمكين IPv6 لها؟

Windows: لا. يرسل العميل نظام أسماء المجالات (DNS) إلى محولات IPv6 لإعادة توجيه DNS ل IPv6 فقط، إذا كان متوفرا. لم يتم إرسال DNS المرتبط ب IPv6 إلى عوامل تحليل IPv4 الخاصة بنا ولا يمكن تلقي النهج.

هل يختلف MacOS عن Windows؟

نعم. يحتوي نظام التشغيل MacOS على موقع تخزين مركزي لكل من IPv6 و IPv4 DNS، كما نطلب وحدات التخزين وفقا لذلك ل DNS المحلية. يستمر DNS في التدفق من خلال إلى 127.0.0.1 على MacOS، بخلاف Windows.

إذا كنت على الشبكة خلف VA ل IPv4 DNS، هل يمكن أن يقوم مكون IPv6 أيضا بتعطيل الجهاز الظاهري؟

ليس في هذا الوقت حتى تصبح VA قادرة على IPv6. يظل مكون إعادة توجيه IPv6 الخاص بالعميل المتجول نشطا ومشفرا ومحميا لطلبات DNS المرتبطة ب IPv6.