Dual-Stack IPv6-Netzwerkkonfigurationen für Umbrella Roaming Client

Download-Optionen

  • PDF     (257.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:9. September 2025
Dokument-ID:224834

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird die Unterstützung für den Umbrella Roaming Client beschrieben, insbesondere für Dual-Stack-IPv6-Netzwerkkonfigurationen.

    Überblick

    Derzeit unterstützt der Umbrella-Roaming-Client standardmäßig IPv4- und Dual-Stack-Netzwerkkonfigurationen für MacOS (Roaming-Client 2.1.x+) und Windows (Client-Version 2.2.x+), indem er auf der Seite für Roaming-Clients im Dashboard auf die Umleitungsoption IPv6 umschaltet.

    Die Unterstützung von IPv6-Netzwerken (nur IPv6) für Mac- und Windows-Betriebssysteme ist derzeit nicht verfügbar.

    IPv6-Umleitungsunterstützung ist für das AnyConnect Roaming Security-Modul ab Version 4.8.02042 verfügbar.

    IPv4-Umleitung

    Die IPv4-DNS-Umleitungsfunktion des Roaming-Clients bleibt unverändert. DNS wird immer noch in 127.0.0.1 überschrieben, wodurch DNS in den DNS-Verschlüsselungsproxy des Roaming-Clients umgeleitet wird. 

    Fluss:

    127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

    IPv6-Umleitung 

    Neu in Version 2.2.x, ist die IPv6-Komponente eine Neuerung für den Roaming-Client. Diese Änderung wird sowohl auf der Rückseite des Clients als auch auf der aktualisierten Benutzeroberfläche angezeigt. 

    Neuerungen Suchen Sie nach dem IPv6-Status. Standardmäßig lautet die Antwort "Nicht aktiviert". Wenn die IPv6-Umleitung über das Dashboard aktiviert ist, wird die neue IPv6-Umleitung von Umbrella aktiviert. Wenn aktiv, wird DNS für IPv6 mit ::1 überschrieben

    Der IPv6-Schutz verfügt über einen eigenen unabhängigen Status: Geschützt und verschlüsselt, geschützt und unverschlüsselt, ungeschützt und andere Status. Dieser Zustand spiegelt sich in der aktualisierten Benutzeroberfläche wider.

    Die IPv6-Umleitung erfolgt unabhängig von der IPv4-Abdeckung. 

    Fluss:

    ::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

    Standardbetrieb

    Der Roaming-Client testet die Verfügbarkeit der Umbrella Resolver bei jeder Änderung des Netzwerkstatus und in einem regelmäßigen Intervall (derzeit 10 s). Wenn DNS über den DNS-Proxy verfügbar ist, wechselt der Client in den geschützten Modus für die Internetprotokollversion, die den Test besteht. Wenn IPv6 aktiviert ist, ist damit zu rechnen, dass alle 10 Sekunden für jedes Protokoll einmal eine Bestätigung der regulären DNS-Verbindung erfolgt.

    Wenn beide Protokolle aktiv sind, wird DNS wie folgt betrachtet:

    ::1
127.0.0.1

    Funktionsdiagramm

    Client/Funktion: DNS-Abdeckung

    IPv4 Intern zu IPv4 Extern

    IPv4 intern zu Dual Stack extern

    Dual-Stack intern zu IPv4 extern 

    Dual-Stack intern zu Dual-Stack extern

    Dual-Stack intern zu IPv6 extern

    IPv6 intern zu Dual Stack extern

    IPv6 intern zu IPv6 extern

    Filterung: Standalone-Roaming-Client (Win/macOS)

    		 ✔  ✔  ✔  ✔  ✘  ✘ 

    Filterung: AnyConnect Roaming Security-Modul 4.8 MR2+

    		 ✔  ✔  ✘  ✘ 
    note-icon

    Anmerkung: Der interne DNS wird von IPv6 nicht beeinträchtigt. Nicht unterstützte Szenarien ermöglichen die Umgehung von DNS und internem DNS. Die Szenarien basieren auf IPv4- und IPv6-DNS-Einstellungen. Interne Netzwerke können IPv6-Adressen ohne IPv6-DNS-Server haben und würden als IPv4-Netzwerke betrachtet werden, um dieser Tabelle zu entsprechen.

    Häufig gestellte Fragen

    Unterstützt Umbrella das Blockieren von AAAA-Anfragen (mit IPv4)?

    Ja, AAAA-Abfragen für blockierte Domänen, die über IPv4 empfangen werden, geben die IPv4-zugeordnete IPv6-Adresse einer Blockseite zurück.

    Unterstützt Umbrella eine IPv6-Sperrseite oder generell das Blockieren von IPv6-Anfragen?

    Es stimmt zwar, dass Blockseiten nicht über IPv6 erreichbar sind, es gibt jedoch eine gewisse Fehlbezeichnung für "blockierende IPv6-Anfragen". Umbrella erlaubt oder blockiert Domänen, bei denen es sich weder um IPv4- noch um IPv6-Adressen handelt. Der Umbrella DNS-Dienst löst Domänen in IPv4- oder IPv6-Adressen auf. Wenn Umbrella einen Vorgang blockiert, gibt es eine IPv4-Adresse für A-Abfragen oder eine IPv4-zugeordnete IPv6-Adresse für AAAA-Abfragen zurück. Die zurückgegebene IP-Adresse ist die Adresse für die Umbrella-Blockseite und nicht die der Domäne.

    In beiden Fällen ist die zurückgegebene IP-Adresse nur über IPv4 zugänglich, sodass der Client mindestens IPv4-fähig sein muss, um anschließend eine Verbindung mit ihm herzustellen.

    Wenn eine Anfrage über den intelligenten Umbrella-Proxy weitergeleitet wird, sind die Dinge im Großen und Ganzen identisch. AAAA-Anfragen für in der Grauliste aufgeführte Domänen - empfangen über IPv4 - geben die IPv4-zugeordnete IPv6-Adresse eines Proxys zurück. Der Client muss IPv4-fähig sein, um anschließend eine Verbindung zum Proxy herstellen zu können.

    Protokolliert Umbrella diese Anforderung, wenn eine IPv6-AAAA-Anfrage zulässig ist?

    Ja, Umbrella protokolliert die Anfrage, vorausgesetzt, die Anfrage stammt von einer registrierten Identität oder Identitäten. Netzwerke mit IPv6-Adressen müssen ebenfalls registriert werden, um in Berichten protokolliert zu werden. Dasselbe gilt für Roaming-Clients oder andere Identitätstypen.

    Moment, ich kann ein IPv6-Netzwerk bei Umbrella registrieren?

    Ja! Seien Sie unser Gast und registrieren Sie sich.

    Gibt es erwartete Szenarien, bei denen die Abdeckung in einem Dual-Stack-Netzwerk mit IPv6 DNS-Servern nicht wie erwartet zutrifft?

    Ja. Wenn die Umbrella IPv4 Resolver nicht erreichbar sind, ist der IPv4 gebundene DNS ungeschützt. Wenn die Umbrella IPv6 Resolver nicht erreichbar sind, ist der IPv6 gebundene DNS ungeschützt. Eine oder beide Umleitungen können aufgrund von Netzwerkeinschränkungen ungeschützt sein. Ein Beispielszenario finden Sie in der nächsten Frage.

    Was geschieht, wenn ich über einen IPv6-DNS-Server verfüge, auf den jedoch Umbrella IPv6 Resolver nicht zugreifen kann? Kann der Client den Schutz beibehalten?

    Windows: Der IPv6-Schutz bleibt offline, da Umbrella auf IPv6 nicht erreichbar ist. Der an den lokalen IPv6-Resolver gesendete DNS wird außerhalb des Clients normal aufgelöst. Da unsere öffentlichen IPv4-DNS-Resolver verfügbar waren, ist jeder DNS, der an den IPv4-DNS-Stack gesendet wird, durch Umbrella geschützt. Daher ist DNS, das über IPv6 gesendet wird, nicht geschützt, während DNS, das an IPv4 gesendet wird, geschützt ist. Ein Beispiel aus diesem Feld ist ein mobiler Hotspot mit einem IPv6 DNS-Server, aber ohne IPv6-Zugriff auf unsere Resolver.

    Was wäre, wenn meine Netzwerkschnittstelle einige lokale, nur IPv6 DNS-Server wie "fec0:......."

    Windows: Ab Version 2.2.109 kann dies zu inkonsistentem Verhalten führen. Dies wird in unserer nächsten Version behoben und wird vom Roaming-Client nicht verarbeitet.

    Interagiert der IPv4-Status des Clients überhaupt mit dem IPv6-Status?

    Windows: Nein. Es handelt sich um vollständig unabhängige Zustände, die von der Netzwerkverfügbarkeit und dem Vorhandensein eines DNS-Servers für jedes Protokoll abhängen.

    Kann IPv6 DNS zu IPv4 DNS-Servern umgeleitet werden, wenn Umbrella nur über IPv4 erreichbar ist, sich der Computer jedoch in einem IPv6-fähigen Netzwerk befindet?

    Windows: Nein. Der Client sendet DNS nur an IPv6-Auflöser für die IPv6-DNS-Umleitung, sofern verfügbar. IPv6-gebundener DNS wird nicht an unsere IPv4-Resolver gesendet und kann keine Richtlinie empfangen.

    Unterscheidet sich macOS von Windows?

    Ja. macOS hat einen zentralen Speicherort für IPv6 und IPv4 DNS, und wir bestellen unseren Speicher entsprechend für lokale DNS. Anders als bei Windows wird der DNS-Fluss unter macOS weiterhin bis 127.0.0.1 fortgesetzt.

    Wenn sich die IPv6-Komponente im Netzwerk hinter einer VA für IPv4 DNS befindet, kann sie diese auch hinter der virtuellen Appliance deaktivieren?

    Derzeit nicht, bis die VA IPv6-fähig ist. Die IPv6-Umleitungskomponente des Roaming-Clients bleibt aktiv, verschlüsselt und für IPv6-gebundene DNS-Anfragen geschützt.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    09-Sep-2025
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.