Introduction
Ce document décrit comment désactiver les clients d'itinérance Umbrella (autonomes et AnyConnect) sur un réseau d'entreprise et l'activer hors du réseau d'entreprise.
Informations générales
Cet article s'adresse aux administrateurs. Si vous ne souhaitez pas vous déconnecter du client d'itinérance sur le réseau, arrêtez-vous ici.
La fonctionnalité de réseau protégé par un parapluie est destinée à un réseau de sortie unique. Pour les réseaux comportant plusieurs sorties, une autre fonctionnalité est requise.
Aujourd'hui, cette fonctionnalité existe en production sous le nom de fonctionnalité de domaine de réseau approuvé. Lisez la suite pour savoir comment demander la fonctionnalité et ce qui est requis sur votre réseau.
Quelle Est La Fonctionnalité De Domaine Réseau De Confiance ?
La fonctionnalité de réseau approuvé par domaine permet de désactiver le client d'itinérance sur votre réseau d'entreprise, tout en le maintenant activé hors du réseau. Lorsqu'elle est activée, la fonction :
- Désactive la protection DNS fournie par le client itinérant
- Diffère la stratégie de la stratégie réseau
- Arrête toutes les sondes de réseau sauf la vérification du domaine de réseau approuvé
- Idéal pour les réseaux chargés !
- Excellente alternative à la rétroactivité VA
- Utilisation en association avec les VA pour réduire les échanges sur le réseau
Comportement IPv6, Windows et MacOS
- Sous Windows, le domaine est interrogé sur IPv4 et IPv6. Le comportement d'arrêt est traité séparément sur chaque pile réseau. Par exemple, si le domaine est résolu sur IPv4 mais pas sur IPv6, le client itinérant s'arrête sur IPv4 uniquement, et reste opérationnel sur IPv6. Si vous souhaitez que le client s'arrête complètement, les requêtes IPv4 et IPv6 doivent être résolues.
- Sur MacOS, le domaine est interrogé sur IPv4 et IPv6. Contrairement à Windows, si le domaine est résolu sur l'une ou l'autre des piles réseau, le client d'itinérance s'arrête pour IPv4 et IPv6.
Comment Puis-Je Activer Cette Fonctionnalité ?
Cette fonction est désormais contrôlée dans le tableau de bord. Consultez Paramètres des ordinateurs en itinérance.
- Le sous-domaine Umbrella disable souhaité. Ce domaine doit :
- Avoir un enregistrement A qui se résout en une adresse IP interne RFC-1918 (pour IPv4)
- Avoir un enregistrement AAAA qui se résout en RFC-4193 IP sur IPv6 (si IPv6 est utilisé)
- Les adresses IP RFC-1918 ressemblent généralement à 10.x.x.x, 172.x.x.x ou 192.168.x.x
- Les adresses IPv6 RFC-4193 commencent par « FD »
- Les adresses IP ne doivent pas nécessairement être accessibles
- Doit être un sous-domaine
- sub.domain.com - bien !
- subdomain.com - pas bon.
- Résoudre le réseau en NXDOMAIN, NODATA ou adresse IP publique (afin que le client reste activé dans ces scénarios)
- Être un domaine dans une zone que vous contrôlez pour vous assurer de contrôler l'espace public et local
- Pris en charge:
- Client d'itinérance Umbrella
- Module de sécurité d'itinérance AnyConnect Umbrella 4.5 MR4+ uniquement
Comment puis-je tester la fonctionnalité pour une machine ?
Pour effectuer un test local avant que l'équipe Umbrella n'applique le paramètre globalement, appliquez ce remplacement.
- Créez un fichier "customer_network_probe.flag"
- Vérifiez que le fichier n'est pas .flag.txt
- Placez le domaine souhaité dans le contenu du fichier
- Placez le fichier dans :
- Client itinérant
- Fenêtres: %ProgramData\OpenDNS\ERC\
- AnyConnect
- Fenêtres: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
- Client sécurisé Cisco
- Fenêtres: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
- macOS : /opt/cisco/secureclient/umbrella/data/
- Redémarrer le client d'itinérance
- Client d'itinérance : Umbrella Roaming Client : Désactivation ou redémarrage manuel.
- AnyConnect : Redémarrez le service parent vpnagent AnyConnect
Remarque : Client d'itinérance MacOS, les versions AnyConnect ne prennent pas en charge cet indicateur.