Problem
Der Benutzer versucht zu überprüfen, ob reservierte IP-Adressen ordnungsgemäß funktionieren, wenn Cisco Secure Access mit dem ZTA-TIA-Client mit Zero Trust Access verwendet wird. Die für die Validierung bereitgestellten reservierten IPs sind:
- Reston, Virginia, USA: 151 186 128 84
- San Jose, Kalifornien, USA: 151 186 131 49
Der Workflow beinhaltet das Routing des Internetdatenverkehrs durch den ZTA-TIA-Client, nicht das Umbrella-Roaming-Modul. Das Umbrella-SWG-Modul wird abgesichert, sobald TIA aktiv ist. Bei einer externen IP-Prüfung (z. B. mit "whatsmyip") und der Validierung des Aktivitätssuchberichts werden die erwarteten reservierten IP-Adressen nicht eingehalten.
Umwelt
- Technologie: Solution Support (SSPT - Vertrag erforderlich)
- Subtechnologie: Sicherer Zugriff
- Bereitgestellte reservierte IPs: 151.186.128.84 (Reston, VA), 151.186.131.49 (San Jose, CA)
- Internetdatenverkehr über ZTA TIA-Client geroutet (kein Umbrella Roaming-Modul)
- Keine spezielle Softwareversion oder Hardwareplattform genannt
Auflösung
Diese Schritte beschreiben den aktuellen Workflow zur Validierung reservierter IP-Funktionen mit Secure Access und dem ZTA-Client sowie die auf Basis der Falldaten getroffenen Maßnahmen.
Schritt 1: Versuch der IP-Validierung über einen externen Service
- Initiieren Sie eine externe IP-Prüfung mithilfe eines öffentlichen Dienstes (z. B. "whatsmyip") und einen Aktivitätssuchbericht mit dem erweiterten Filter "Egress IP (Reserved)", um zu überprüfen, ob der durch den ZTA-Client geleitete Internetdatenverkehr von der zugewiesenen reservierten IP-Adresse zu stammen scheint.
Beschreibung der erwarteten Ausgabe:
- Erwartet: Die Ausgabe muss je nach aktueller Standortbestimmung und Secure Access-Konfiguration entweder X.X.X.X.X oder X.X.X.X anzeigen.
- Actual: Die reservierten IPs werden nicht in der Ausgabe angezeigt.
Schritt 2: Prüfung und Aktualisierung der Backend-Bereitstellung
Arbeiten Sie mit TSE3 zusammen, um diese Aufgabe auszuführen.
Die Backend-Konfiguration muss aktualisiert werden, um sicherzustellen, dass reservierte IPs für ZTA TIA-Datenverkehr (Traffic Internet Access) angewendet werden. Dieser Prozess kann die Koordination mit dem Produktmanagement-Team und die Korrektur der Systembereitstellung umfassen. Wenn Ihre Organisation für RIP in DCv2 bereitgestellt wird, verwenden Sie ZTA TIA.
case wird NICHT unterstützt. Dies ist die Ursache des Problems. Wenden Sie sich an PM, um die Bereitstellung für den AWS-Rechenzentrum zu korrigieren und RIP für ZTA-TIA-Datenverkehr anzuwenden.
Es wurde kein CLI-Befehl gefunden, der die Änderung gegenüber einer nicht funktionierenden CLI anzeigt.
Schritt 3: Überwachen der Änderungen am Backend
Warten Sie auf die Bestätigung, dass die Backend-Änderung implementiert wurde, damit die reservierte IP-Zuweisung für den ZTA-TIA-Datenverkehr aktiv ist.
Es ist kein CLI-Befehl oder -Ausgabe verfügbar, der die Änderung am Backend oder die erfolgreiche Validierung anzeigt. Platzhalter für zukünftige Verifizierungsschritte.
Ursache
Ursache des Problems ist, dass die reservierten IP-Adressen derzeit aufgrund einer erforderlichen Änderung der Backend-Konfiguration nicht auf den ZTA-TIA-Datenverkehr angewendet werden. Daher zeigt die externe IP-Validierung nicht die erwarteten reservierten IPs an. Die Bereitstellung für die reservierte IP-Zuweisung steht je nach dem in diesem Fall beschriebenen Workflow noch aus.
Verwandte Inhalte
Feedback