Aktivieren oder Deaktivieren von Protected Networks für Roaming-Clients in Enterprise Networks

Download-Optionen

PDF (240.6 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (87.1 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (74.3 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:3. September 2025

Dokument-ID:224741

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Hintergrundinformationen

Was ist die Funktion der vertrauenswürdigen Netzwerkdomäne?

IPv6-Verhalten, Windows und MacOS

Wie aktiviere ich die Funktion?

Wie kann ich die Funktion für einen Computer testen?

Einleitung

In diesem Dokument wird beschrieben, wie die eigenständigen Umbrella- und AnyConnect-Roaming-Clients in einem Unternehmensnetzwerk deaktiviert werden.

Hintergrundinformationen

Dieser Artikel richtet sich an Administratoren. Wenn Sie den Roaming-Client im Netzwerk nicht abschalten möchten, beenden Sie hier.

Die Funktion Umbrella Protected Networks ist für ein zentrales Egress-Netzwerk vorgesehen. Für Netzwerke mit mehr als einem Ausgang ist eine alternative Funktion erforderlich.

Diese Funktion ist heute in der Produktion als vertrauenswürdige Netzwerkdomäne vorhanden. Im Folgenden erfahren Sie, wie Sie diese Funktion anfordern und welche Anforderungen an Ihr Netzwerk gestellt werden.

Was ist die Funktion der vertrauenswürdigen Netzwerkdomäne?

Die Funktion für vertrauenswürdige Netzwerke nach Domänen ist eine Möglichkeit, den Roaming-Client in Ihrem Unternehmensnetzwerk zu deaktivieren, ihn jedoch vom Netzwerk fernzuhalten. Bei Aktivierung dieser Funktion:

Deaktiviert den vom Roaming-Client bereitgestellten DNS-Schutz
- Passt Richtlinien an die Netzwerkrichtlinien an
Stoppt alle Netzwerktests mit Ausnahme der Prüfung der vertrauenswürdigen Netzwerkdomäne.
- Ideal für stark ausgelastete Netzwerke
- Gute Alternative zum VA-Backoff
  - Verwendung in Verbindung mit VAs für weniger Netzwerk-Talk

IPv6-Verhalten, Windows und MacOS

Unter Windows wird die Domäne unter IPv4 und IPv6 abgefragt. Das Abschaltverhalten wird auf jedem Netzwerk-Stack separat behandelt. Wenn die Domäne beispielsweise unter IPv4, aber nicht unter IPv6 aufgelöst wird, wird der Roaming-Client nur unter IPv4 heruntergefahren und bleibt unter IPv6 betriebsbereit. Wenn der Client vollständig heruntergefahren werden soll, müssen IPv4- und IPv6-Abfragen aufgelöst werden.
Unter MacOS wird die Domäne unter IPv4 und IPv6 abgefragt. Wenn die Domäne im Gegensatz zu Windows auf einem Netzwerk-Stack aufgelöst wird, wird der Roaming-Client sowohl für IPv4 als auch für IPv6 heruntergefahren.

Wie aktiviere ich die Funktion?

Diese Funktion wird nun im Dashboard gesteuert. Siehe Einstellungen für Roaming-Computer.

Die gewünschte Subdomäne für Umbrella Disable. Diese Domäne muss:
- über einen A-Datensatz verfügen, der zu einer internen RFC-1918-IP-Adresse aufgelöst wird (für IPv4)
- AAAA-Einträge, die zu einer RFC-4193-IP auf IPv6 aufgelöst werden (wenn IPv6 verwendet wird)
  - RFC-1918-IPs sehen in der Regel aus wie 10.x.x.x, 172.x.x.x oder 192.168.x.x
  - RFC-4193 IPv6-Adressen beginnen mit "FD"
  - Die IP-Adressen müssen nicht erreichbar sein
  - Muss eine Subdomäne sein.
    - sub.domain.com - gut!
    - subdomain.com - nicht gut.
- Auflösung des Netzwerks in NXDOMAIN, NODATA oder eine öffentliche IP-Adresse (damit der Client in diesem Szenario aktiviert bleibt)
  - Kein SERVFAIL, bitte
- Befinden Sie sich in einer Zone, die Sie kontrollieren, um sicherzustellen, dass Sie den öffentlichen und lokalen Raum kontrollieren.
Unterstützt:
- Umbrella-Roaming-Client
- Nur AnyConnect Umbrella Roaming Security Module 4.5 MR4+

Wie kann ich die Funktion für einen Computer testen?

Um die Einstellung lokal zu testen, bevor das Umbrella-Team sie global anwendet, wenden Sie diese Überschreibung an.

Erstellen Sie die Datei "customer_network_probe.flag".
1. Stellen Sie sicher, dass die Datei nicht die Datei .flag.txt enthält.
Legen Sie die gewünschte Domain in den Inhalt der Datei
Speichern Sie die Datei in:
1. Roaming-Client
  1. Windows: %ProgramData\OpenDNS\ERC\
2. AnyConnect
  1. Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
3. Cisco Secure Client
  1. Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
  2. MacOS: /opt/cisco/secureclient/umbrella/data/
Neustart des Roaming-Clients
1. Roaming-Client: Deaktivieren oder starten Sie den Umbrella Roaming Client neu.
2. AnyConnect Starten Sie den übergeordneten vpnagent AnyConnect-Dienst neu.