Configuración del acceso a la red sin confianza con la detección de redes de confianza

Opciones de descarga

  • PDF     (1.5 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.3 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (935.2 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de diciembre de 2025
ID del documento:225407

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe los pasos necesarios para configurar la Detección de redes de confianza de ZTNA.

    Prerequisites 

    • Secure Client versión mínima 5.1.10
    • Plataforma compatible: Windows y MacOS
    • Módulo de plataforma segura (TPM) para Windows
    • Coprocesador Secure Enclave para dispositivos Apple
    • Los 'servidores de confianza' configurados en cualquier perfil de red de confianza se excluyen implícitamente de la interceptación ZTA. Esos servidores tampoco pueden ser accesos como recursos privados ZTA.
    • La configuración de TND afecta a todos los clientes inscritos en la organización
    • Los administradores pueden seguir estos pasos para generar un 'Hash de clave pública de certificado' para servidores de confianza
      • Descargue el certificado público de servidores de confianza
      • Ejecute este comando shell para generate the hash:
    openssl x509 -in  -pubkey -noout | openssl pkey -pubin -outform DER | openssl dgst –sha256

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Acceso seguro de Cisco
    • Inscriba dispositivos en acceso de confianza cero mediante autenticación SAML o basada en certificados.

    Componentes Utilizados

    • Secure Client versión 5.1.13
    • TPM
    • Arrendatario de acceso seguro
    • Dispositivo Windows

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    • TND permite a los administradores configurar Secure Client para pausar temporalmente el direccionamiento y la aplicación del tráfico ZTA en redes de confianza.
    • Secure Client reanudará la aplicación de ZTA cuando el terminal abandone la red de confianza.
    • Esta función no requiere ninguna interacción por parte del usuario final.
    • Las configuraciones ZTA TND se pueden gestionar de forma independiente para destinos ZTA privados e Internet.

    amarora2_0-1766013611481

    Ventajas clave

    • Un rendimiento de red mejorado y una latencia reducida proporcionan una experiencia de usuario más fluida.
    • La aplicación de seguridad local en la red de confianza ofrece una utilización de recursos flexible y optimizada.
    • Los usuarios finales pueden aprovechar las ventajas sin ningún tipo de aviso o acción.
    • El control independiente de TND para el acceso privado y el acceso a Internet proporciona flexibilidad administrativa para gestionar diferentes preocupaciones operativas y de seguridad

    Configurar

    Paso 1: Crear perfil de red de confianza: servidor y dominio DNS

    Vaya al Panel de Acceso Seguro

    • Haga clic en ConnectEnd User ConnectivityManage Trusted Networks+Add

    Screenshot 2025-12-17 at 7.31.54 PM

    • Proporcione un nombre para el perfil de red de confianza y configure al menos uno de los siguientes criterios:
      • DNS Servers - Valores separados por comas de todas las direcciones de servidor DNS que debe tener una interfaz de red cuando el cliente está en una red de confianza. Cualquier servidor introducido se puede utilizar para coincidir con este perfil. Para que TND coincida, cualquier dirección del servidor DNS debe coincidir con la interfaz local.
      • DNS Domains - Valores separados por comas de sufijos DNS que debe tener una interfaz de red cuando el cliente está en una red de confianza.
      • Trusted Server- Agregue uno o más servidores en la red que presenten un certificado TLS con un hash que coincida con el hash proporcionado. Para especificar un puerto que no sea 443, añada el puerto utilizando la notación estándar. Puede agregar hasta 10 servidores de confianza, de los cuales sólo uno debe pasar la validación.

    Repita los pasos para agregar perfiles de red de confianza adicionales.

    note-icon

    Nota: Varias opciones dentro de los mismos criterios es un operador OR. Distintos criterios definidos es un operador AND.

    Screenshot 2025-12-17 at 8.51.16 PM

    Paso 2: Activar TND para acceso privado o a Internet

    • Vaya a Connect > End User Connectivity
    • Editar perfil ZTA
    • ParaSecure Private DestinationsSecure Internet Access

    Acceso privado seguro

    jmorenoc_0-1767017339328

    Acceso seguro a Internet

    jmorenoc_1-1767017375888

    • Haga clic en Options
      • Haga clic en Use trusted networks to secure private destinations o Use trusted networks to secure internet destinationsdepende de la opción elegida antes de
      • Haga clic en + Trusted Network

    jmorenoc_2-1767017976387

    • Elija los perfiles de redes de confianza que ha configurado en la página anterior y haga clic en Save

    Acceso privado seguro

    Screenshot 2025-12-17 at 7.36.41 PM

    Acceso seguro a Internet

    Screenshot 2025-12-17 at 7.37.09 PM

    • Asigne el Users/Groups a Perfil ZTA y haga clic en Close.

    Screenshot 2025-12-17 at 7.37.25 PM

    Paso 3: Configuración del lado del cliente

    1. Asegúrese de que tiene el servidor DNS correcto definido en Adaptador Ethernet, ya que hemos elegido Adaptador físico como criterio

    2. Asegúrese de que ha definido el sufijo DNS específico de la conexión.

    Screenshot 2025-12-17 at 9.00.35 PM

    Con la siguiente sincronización de configuración ZTA a Secure Client en unos minutos, el módulo ZTA se detiene automáticamente cuando detecta que está en una de las redes de confianza configuradas.

    Verificación

    • Desde Secure Client 

    Screenshot 2025-12-17 at 7.41.21 PM

    Screenshot 2025-12-17 at 7.41.28 PM

    Screenshot 2025-12-17 at 8.10.11 PM

    • Desde el paquete DART: registros ZTA

    No hay reglas TND configuradas.

    2025-12-17 17:53:40.711938 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:316 ActiveSteeringPolicy::collectProxyConfigPauseReasons() TND conectará ProxyConfig 'default_spa_config' (sin reglas) 

    2025-12-17 17:53:40.711938 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:316 ActiveSteeringPolicy::collectProxyConfigPauseReasons() TND conectará ProxyConfig 'default_tia_config' (sin reglas) 

    Regla TND configurada - Servidor DNS - Configuración recibida por el cliente 

    25-12-17 20:33:15.987956 csc_zta_agent[0x00000f80, 0x00000ed4] W/ CaptivePortalDetectionService.cpp:308 CaptivePortalDetectionService::getProbeUrl() ninguna última instantánea de red, utilizando la primera url de sondeo

    2025-12-17 20:33:15.992042 csc_zta_agent[0x00000f80, 0x00000ed4] I/ NetworkChangeService.cpp:144 NetworkChangeService::Start() Instantánea de red inicial:
    Ethernet0: subnets=192.168.52.213/24 dns_servers=192.168.52.2 dns_domain=amitlab.com dns_suffixes=amitlab.com isPhysical=true default_gateways=192.168.52.2
    captivePortalState=Desconocido

    acciones_condicionales":[{"action":"disconnect" indica que TND está configurado en el perfil ZTA.

    2025-12-17 17:55:36.430233 csc_zta_agent[0x00000c90/config_service, 0x0000343c] I/ ConfigSync.cpp:309 ConfigSync::HandleRequestComplete() recibió nueva configuración:

    {"ztnaConfig":{"global_settings":{"exclude_local_lan":true},"network_fingerprints":[{"id":"28f629ee-7618-44cd-852d-6ae1674e3cac","label":"TestDNServer","match_dns_dominios":["amitlab.com"],"match_dns_servers":

    ["192.168.52.2"],"retry_interval":300}],"proxy_configs":[{"condition_actions":[{"action":"disconnect","check_type":"on_network","match_network_fingerprints":["28f629ee-7618-44cd-852d-6ae1674e3cac"]} ,{"action":"connect"}],"id":"default_spa_config","label":"Secure Private Access","match_resource_configs":["spa_direction_config"],"proxy_server":"spa_proxy_server"},{"condition_actions":[{"action":"disconnect","check_type":"on_network","match_network_fingerprints":["28f629ee-7618-44cd-852d-6ae1674e3cac"]},{"action":"connect"}]

    2025-12-17 17:55:36.472435 csc_zta_agent[0x000039a8/main, 0x0000343c] I/ NetworkFingerprintService.cpp:196 NetworkFingerprintService::handleStatusUpdate() estado de la huella digital de la red de radiodifusión: Huella digital: 28f629ee-7618-44cd-852d-6ae1674e3cac Interfaces: Ethernet0

    Desconexión de TND en una condición DNS

    2025-12-17 17:55:36.729130 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:378 ActiveSteeringPolicy::UpdateActiveProxyConfigs() actualizar la configuración de proxy activo 

    2025-12-17 17:55:36.729130 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:287 ActiveSteeringPolicy::collectProxyConfigPauseReasons() TND desconectará ProxyConfig "Secure Internet Access" debido a la condición: on_network: 28f629ee-7618-44cd-852d-6ae1674e3cac action=Desconectar 
    2025-12-17 17:55:36.729130 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:366 ActiveSteeringPolicy::updateProxyConfigStatus() ProxyConfig 'Secure Private Access' se está desconectando debido a: InactiveTnd 
    2025-12-17 17:55:36.729130 csc_zta_agent[0x0000206c/config_enforcer, 0x0000343c] I/ ActiveSteeringPolicy.cpp:366 ActiveSteeringPolicy::updateProxyConfigStatus() ProxyConfig 'Secure Internet Access' se está desconectando debido a: InactiveTnd 
    Tipo de regla de coincidencia DNS

    2025-12-17 17:55:36.731286 csc_zta_agent[0x000039a8/main, 0x0000343c] I/ ZtnaTransportManager.cpp:1251 ZtnaTransportManager::closeObsoleteAppFlows() fuerza el cierre del flujo de la aplicación debido a una configuración ProxyConfig obsoleta enrollmentId=7b35249c-64e1-4f55-b12b-58875a806969 proxyConfigId=default_tia_config TCP destination [safebrowsing.googleapis.com]:443 srcPort=61049 realDestIpAddr=172.253.122.95 process=<chrome.exe|PID 11904|user amita\amita> parentProcess=<chromeID>|amita_user

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    29-Dec-2025
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Amit Arora
      Technical Consulting Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos