Problème
L'utilisateur tente de valider le bon fonctionnement des adresses IP réservées lors de l'utilisation de Cisco Secure Access avec le client ZTA TIA Zero Trust Access. Les adresses IP réservées fournies pour validation sont les suivantes :
- Reston, Virginie, USA : 151.186.128.84
- San Jose, Californie, États-Unis : 151.186.131.49
Le flux de travail implique le routage du trafic Internet via le client TIA ZTA, et non via le module Umbrella Roaming. Le module SWG Umbrella est désactivé dès que TIA est actif. Lors d'une vérification d'adresse IP externe (telle que l'utilisation de « whatsmyip ») et de la validation à partir du rapport de recherche d'activité, les adresses IP réservées attendues ne sont pas observées.
Environnement
- Technologie : Assistance pour les solutions (SSPT - contrat requis)
- Sous-technologie : accès sécurisé
- Adresses IP réservées fournies : 151.186.128.84 (Reston, VA), 151.186.131.49 (San Jose, CA)
- Trafic Internet routé via le client ZTA TIA (pas le module Umbrella Roaming)
- Aucune version logicielle ou plate-forme matérielle spécifique mentionnée
Résolution
Ces étapes détaillent le workflow actuel de validation de la fonctionnalité IP réservée avec Secure Access et le client ZTA, ainsi que les actions entreprises sur la base des données de cas.
Étape 1 : Tentative de validation IP via le service externe
- Lancez une vérification IP externe à l'aide d'un service public (tel que whatsmyip) et un rapport de recherche d'activité à l'aide d'un filtre avancé appelé Egress IP (Réservé) pour vérifier que le trafic Internet routé via le client ZTA semble provenir de l'adresse IP réservée attribuée.
Description du résultat attendu :
- Attendu : le résultat doit afficher X.X.X.X ou X.X.X.X, selon votre géolocalisation actuelle et votre configuration d'accès sécurisé.
- Actual : les adresses IP réservées n'apparaissent pas dans le résultat.
Étape 2 : vérification et mise à jour du provisionnement principal
Collaborez avec TSE3 pour effectuer cette tâche.
La configuration principale doit être mise à jour pour garantir que les adresses IP réservées sont appliquées au trafic ZTA TIA (Traffic Internet Access). Ce processus peut impliquer une coordination avec l'équipe de gestion du produit et la correction de la mise en service du système. Si votre organisation est mise en service pour RIP dans DCv2, utilisez ZTA TIA.
Le cas n'est PAS pris en charge. Il s'agit de la cause principale du problème. Pour y remédier, demandez à PM de corriger la mise en service au contrôleur de domaine AWS afin d'appliquer le protocole RIP pour le trafic ZTA TIA.
Aucune commande CLI n'a été trouvée qui montre le changement de CLI non fonctionnel.
Étape 3 : Surveillez les modifications du back-end
Attendez la confirmation que la modification du back-end a été implémentée afin que l'affectation IP réservée soit active pour le trafic ZTA TIA.
Aucune commande ou sortie CLI n'est disponible pour indiquer la modification du serveur principal ou la validation réussie. Espace réservé pour les étapes de vérification futures.
Motif
La cause du problème est que les adresses IP réservées ne sont pas actuellement appliquées au trafic ZTA TIA en raison d'une modification de configuration du back-end requise. Par conséquent, la validation IP externe n'affiche pas les adresses IP réservées attendues. La mise en service de l'affectation d'IP réservée est en attente de correction, selon le workflow indiqué dans le cas.
Autres informations utiles
Commentaires