إستخدام دعم CSC لحماية DNS Umbrella في IPv6 أحادي المكدس

المقدمة

يوضح هذا المستند كيفية تمكين Cisco Secure Client (CSC) لدعم حماية DNS Umbrella في شبكات IPv6 أحادية المكدس.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Secure Client في Umbrella Roaming Security.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

في الماضي، كان العميل الآمن من Cisco يدعم تكوينات شبكة الإصدار الرابع من بروتوكول الإنترنت (IPv4) والمكدس المزدوج فقط. يصف هذا المقال دعم الشبكات التي تعتمد على بروتوكول IPv6 فقط بدءا من العميل الآمن من Cisco 5.1.4.74 (MR4). يجب تمكين الميزة باستخدام ملف علامة.

الخلفية

مع الانتشار الواسع النطاق للإصدار السادس من بروتوكول الإنترنت (IPv6)، يقوم موفرو خدمة الإنترنت (ISPs) في جميع أنحاء العالم بتعيين عناوين الإصدار السادس من بروتوكول الإنترنت (IPv6) فقط بشكل متزايد. ومع ذلك، لا يزال العديد من موارد الخادم موجودا على شبكات IPv4 فقط. إن DNS64، بالإضافة إلى NAT64، هي قدرات انتقالية تتيح الاتصال السلس بين عملاء IPv6 فقط والخوادم التي تستخدم IPv4 فقط دون مطالبة العملاء بتوعية البنية الأساسية ل IPv4. 

يتم إستخدام سجلات المصادقة والتفويض والمحاسبة (AAA) بشكل حصري مع IPv6، بينما يتم إستخدام السجلات A بشكل حصري مع IPv4. يعمل DNS64 من خلال توليف سجلات المصادقة والتفويض والمحاسبة (IPv6) للخوادم التي تحتوي على سجلات فقط في DNS الخاص بها، مما يسمح للعملاء الذين يستخدمون IPv6 فقط بالوصول إلى خوادم IPv4 فقط. يقوم DNS64 بإنشاء سجلات AAA هذه من خلال دمج بادئة IPv6 قابلة للتكوين مع عنوان IPv4 من بحث عن سجل A. يتم تضمين عنوان IPv4 في آخر 32 وحدة بت من عنوان IPv6.

يدعم Cisco Secure Client 5.1.4.74 (MR4) الآن حماية Umbrella للشبكات الخاصة ب IPv6 فقط. تقوم الوحدة النمطية Umbrella باكتشاف بادئة NAT64 التي يتم إستخدامها من قبل بوابة الشبكة عن طريق الاستعلام عن تحليلات DNS لشبكة LAN. ثم يقوم بعمل تجميع عناوين DNS64 IPv6 باستخدام بادئة NAT64 التي تم اكتشافها عندما يكون محلل DNS الخاص بالمظلة مشاركا في حل الأسماء لإنفاذ السياسة. 

تمكين الميزة

Windows

قم بإنشاء ملف يسمى single_stack_ipv6.ووضعه في هذا الدليل:

C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data

بمجرد وضع ملف العلامة في الدليل، يرجى إعادة تشغيل "عميل Cisco الآمن" لكي تصبح الميزة نافذة المفعول.

ماك أو إس

قم بإنشاء ملف يسمى single_stack_ipv6.ووضعه في هذا الدليل:

/opt/cisco/secureclient/umbrella/data

بمجرد وضع ملف العلامة في الدليل، يرجى إعادة تشغيل "عميل Cisco الآمن" لكي تصبح الميزة نافذة المفعول.

القيود

في CSC، يتم دعم الإصدار 5.1.4 DNS64 فقط لحركة مرور DNS المشفرة التي تذهب إلى تحليلات DNS في Umbrella. لا يتم دعمه لحركة مرور DNS غير المشفرة، حتى إذا تم تطبيق الحماية.

الأسئلة الشائعة

كيف أعرف ما إذا كان DNS64/NAT64 مدعوما على شبكتي (MacOS)؟

يمكنك إستخدام إختبار الحفر ل DNS64/NAT64.

تم تصميم هذه الاختبارات لتأهيل شبكة يتم من خلالها تكوين المضيف فقط باستخدام عنوان IPv6. من أجل الوصول إلى خدمات IPv4 الموجودة على الإنترنت، يجب على المضيف إستخدام DNS64 من المحل الذي تم تكوينه لتلقي عنوان IPv6 الذي تم تكوينه لعنوان IPv4. بمجرد أن تحتوي Umbrella على العنوان الذي تم توليفه، فإنها تضمن إمكانية الوصول إليه. هو يستطيع فقط كنت يمكن الوصول إن NAT64 يكون مكنت على البوابة. تستخدم Umbrella مجال "api-ipv4.opendns.com" نظرا لوجود عناوين V4 فقط التي تم تكوينها. لذلك، إذا حصلت Umbrella على عنوان v6 في سجل الإجابات، تعرف Umbrella أنها قد تم توليفها. عندما تقوم ping6 العنوان المرتجع من الأمر dig، فأنت تعلم أن العنوان الذي تم تخليقه يتم ترجمته بنجاح إلى عنوان v4 على الإنترنت والرد مترجم إلى المضيف.

DNS64

أول شي بدك تجربه:

➜ osx dig AAAA api-ipv4.opendns.com

; <<>> DiG 9.10.6 <<>> AAAA api-ipv4.opendns.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 31228
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;api-ipv4.opendns.com. IN AAAA

;; ANSWER SECTION:
api-ipv4.opendns.com. 60 IN AAAA 64:ff9b::9270:ff9b <—synthesized address

;; Query time: 921 msec
;; SERVER: 2001:4860:4860::6464#53(2001:4860:4860::6464)
;; WHEN: Thu Jun 20 17:28:12 PDT 2024
;; MSG SIZE rcvd: 77

NAT64

الآن، يمكنك إختبار الاتصال بالعنوان الذي تم تخليقه:

➜ osx ping6 64:ff9b::9270:ff9b
PING6(56=40+8+8 bytes) 2001:db8:1:0:785e:e00f:f8fe:9f7b --> 64:ff9b::9270:ff9b
16 bytes from 64:ff9b::9270:ff9b, icmp_seq=0 hlim=54 time=103.653 ms
16 bytes from 64:ff9b::9270:ff9b, icmp_seq=1 hlim=54 time=51.491 ms
16 bytes from 64:ff9b::9270:ff9b, icmp_seq=2 hlim=54 time=54.278 ms
16 bytes from 64:ff9b::9270:ff9b, icmp_seq=3 hlim=54 time=78.153 ms

كيف أعرف ما إذا كان DNS64/NAT64 مدعوما على شبكتي (في Windows)؟

DNS64

أول شي بدك تجربه:

C:\>nslookup -type=AAAA api-ipv4.opendns.com.
Server: UnKnown
Address: 2600:1f14:1799:7000:d2b9:d714:e957:6d4

إجابة غير موثوقة:

Name: api-ipv4.opendns.com
Address: 64:ff9b::9270:ff9b <—synthesized address

NAT64

الآن، يمكنك إختبار الاتصال بالعنوان الذي تم تخليقه:

C:\>ping 64:ff9b::9270:ff9b

Pinging 64:ff9b::9270:ff9b with 32 bytes of data:
Reply from 64:ff9b::9270:ff9b: time=18ms
Reply from 64:ff9b::9270:ff9b: time=22ms
Reply from 64:ff9b::9270:ff9b: time=21ms
Reply from 64:ff9b::9270:ff9b: time=19ms

Ping statistics for 64:ff9b::9270:ff9b:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 18ms, Maximum = 22ms, Average = 20ms