Comprendre les configurations réseau IPv6 à double pile pour le client d'itinérance Umbrella

Options de téléchargement

  • PDF     (256.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:9 septembre 2025
ID du document:224834

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit la prise en charge du client d'itinérance Umbrella, en particulier pour les configurations réseau IPv6 à double pile.

    Aperçu

    Actuellement, le client d'itinérance Umbrella prend en charge les configurations réseau à pile double et IPv4 uniquement pour macOS par défaut (client d'itinérance 2.1.x+) et pour Windows (client version 2.2.x+) en activant le basculement de redirection IPv6 sur la page des clients d'itinérance du tableau de bord.

    La prise en charge des réseaux IPv6 uniquement pour les systèmes d'exploitation Mac et Windows n'est pas disponible pour le moment.

    La prise en charge de la redirection IPv6 est disponible pour le module de sécurité d'itinérance AnyConnect depuis la version 4.8.02042.

    Redirection IPv4

    La fonctionnalité de redirection DNS IPv4 du client itinérant reste inchangée. DNS est toujours remplacé par 127.0.0.1, redirigeant DNS vers le proxy de cryptage DNS du client d'itinérance. 

    Flux :

    127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

    Redirection IPv6 

    Nouveau dans la version 2.2.x, le composant IPv6 est un nouvel ajout au client d'itinérance. Cette modification est présente sur l'arrière-plan du client ainsi que sur la barre d'état de l'interface utilisateur mise à jour. 

    Quelles sont les nouveautés ? Recherchez l'état IPv6. Par défaut, il s'agit de « Non activé ». Si la redirection IPv6 est activée à partir du tableau de bord, la nouvelle redirection IPv6 d'Umbrella est activée. Lorsqu'il est actif, le DNS pour IPv6 est remplacé par ::1

    La protection IPv6 possède son propre état indépendant : protégé et chiffré, protégé et non chiffré, non protégé et autres états. Cet état est reflété sur la GUI mise à jour.

    La redirection IPv6 se produit indépendamment de la couverture IPv4. 

    Flux :

    ::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

    Fonctionnement standard

    Le client itinérant teste la disponibilité des résolveurs Umbrella à chaque changement d’état du réseau et à intervalles réguliers (actuellement 10 s). Si DNS est disponible via le proxy DNS, le client passe en mode protégé pour la version de protocole Internet qui a réussi le test. Avec IPv6 activé, attendez-vous à ce que les paquets de confirmation de connectivité DNS régulière se produisent une fois par protocole toutes les 10 secondes.

    Lorsque les deux protocoles sont actifs, DNS est considéré comme :

    ::1
127.0.0.1

    Graphique De Fonctionnalités

    Client/Fonction : Couverture DNS

    IPv4 interne vers IPv4 externe

    IPv4 interne à double pile externe

    Double pile interne vers IPv4 externe 

    Double pile interne vers double pile externe

    Double pile interne vers IPv6 externe

    IPv6 interne à double pile externe

    IPv6 interne à IPv6 externe

    Filtrage : Client d'itinérance autonome (Win/macOS)

    		 ✔  ✔  ✔  ✔  ✘  ✘ 

    Filtrage : Module de sécurité d'itinérance AnyConnect 4.8 MR2+

    		 ✔  ✔  ✘  ✘ 
    note-icon

    Remarque : Le DNS interne n'est jamais affecté par IPv6. Les scénarios non pris en charge permettent de contourner le DNS et le DNS interne. Les scénarios reposent sur la présence de paramètres DNS IPv4 et IPv6. Les réseaux internes peuvent avoir des adresses IPv6 sans serveurs DNS IPv6 et sont considérés comme des réseaux IPv4 pour la base de ce tableau.

    Forum aux questions

    Umbrella prend-il en charge le blocage des requêtes AAAA (avec IPv4) ?

    Oui, les requêtes AAAA pour les domaines bloqués reçus sur IPv4 renvoient l'adresse IPv6 mappée IPv4 d'une page de blocage.

    Umbrella prend-il en charge une page de blocage IPv6 ou, plus généralement, bloque-t-il les requêtes IPv6 ?

    Il est vrai que les pages de blocage ne sont pas accessibles sur IPv6, cependant, il y a un peu d'une erreur d'appellation avec "blocage des requêtes IPv6". Umbrella autorise ou bloque les domaines qui ne sont ni des adresses IPv4 ni des adresses IPv6. Le service DNS Umbrella résout les domaines en adresses IPv4 ou IPv6. Lorsque Umbrella bloque quelque chose, il renvoie une adresse IPv4 pour les requêtes A ou une adresse IPv6 mappée IPv4 pour les requêtes AAAA. L'adresse IP renvoyée est celle de la page de blocage Umbrella et non celle du domaine.

    Dans les deux cas, l'adresse IP retournée n'est accessible que sur IPv4, de sorte que le client doit être au moins capable d'IPv4 pour pouvoir s'y connecter ultérieurement.

    Lorsqu'une requête est transmise par proxy via le proxy intelligent Umbrella, les choses sont sensiblement les mêmes. Les requêtes AAAA pour les domaines en liste grise (reçus sur IPv4) renvoient l'adresse IPv6 mappée IPv4 d'un proxy. Le client doit être compatible IPv4 pour pouvoir se connecter ultérieurement au proxy.

    Si une requête AAAA IPv6 est autorisée, Umbrella l'enregistre-t-il ?

    Oui, Umbrella l'enregistre si la demande provient d'une ou plusieurs identités enregistrées. Les réseaux dotés d'adresses IPv6 doivent également être enregistrés pour être consignés dans des rapports. Il en va de même pour les clients itinérants ou d’autres types d’identité.

    Attendez, je peux enregistrer un réseau IPv6 sur Umbrella ?

    Oui! Soyez notre invité et inscrivez-vous.

    Existe-t-il des scénarios dans lesquels la couverture ne s'applique pas comme prévu sur un réseau à double pile avec des serveurs DNS IPv6 ?

    Oui. Si les résolveurs Umbrella IPv4 ne sont pas accessibles, le DNS lié à IPv4 n'est pas protégé. Si les résolveurs Umbrella IPv6 ne sont pas accessibles, le DNS lié à IPv6 n'est pas protégé. Il est possible que l'une ou les deux redirections ne soient pas protégées en raison des limitations du réseau. Reportez-vous à la question suivante pour un exemple de scénario.

    Que faire si j'ai un serveur DNS IPv6 accessible, mais que les résolveurs Umbrella IPv6 ne sont pas accessibles ? Le client peut-il conserver sa protection ?

    Fenêtres: La protection IPv6 reste hors ligne, car Umbrella n'est pas accessible sur IPv6. Le DNS envoyé au résolveur local IPv6 est résolu normalement, en dehors du client. Comme nos résolveurs DNS publics IPv4 étaient disponibles, tous les DNS envoyés à la pile DNS IPv4 sont protégés par Umbrella. Par conséquent, le DNS envoyé sur IPv6 n'est pas protégé alors que le DNS envoyé sur IPv4 l'est. Par exemple, sur le terrain, un point d'accès mobile avec un serveur DNS IPv6 n'offre pas d'accès IPv6 à nos résolveurs.

    Que faire si mon interface réseau comporte des serveurs DNS IPv6 locaux uniquement comme « fec0:......"

    Fenêtres: À partir de la version 2.2.109, cela peut entraîner un comportement incohérent. Ceci est résolu dans notre prochaine version et n'est pas traité par le client itinérant.

    L'état IPv4 du client interagit-il avec l'état IPv6 ?

    Fenêtres: Non. Il s’agit d’états totalement indépendants, qui dépendent de la disponibilité du réseau et de la présence d’un serveur DNS pour chaque protocole.

    Le service DNS IPv6 peut-il être redirigé vers les serveurs DNS IPv4 si Umbrella est uniquement accessible sur IPv4, mais que l'ordinateur se trouve sur un réseau IPv6 ?

    Fenêtres: Non. Le client envoie uniquement DNS aux résolveurs IPv6 pour la redirection DNS IPv6, si disponible. Le DNS lié à IPv6 n'est pas envoyé à nos résolveurs IPv4 et ne peut pas recevoir de stratégie.

    MacOS diffère-t-il de Windows ?

    Oui. macOS dispose d'un emplacement de stockage central pour les DNS IPv6 et IPv4, et nous commandons notre stockage en conséquence pour le DNS local. Le DNS continue à circuler jusqu'à 127.0.0.1 sur macOS, contrairement à Windows.

    Si le composant IPv6 se trouve sur un réseau derrière un serveur virtuel pour DNS IPv4, peut-il également être désactivé derrière l'appliance virtuelle ?

    Pour l'instant, il faut attendre que l'appliance virtuelle soit compatible IPv6. Le composant de redirection IPv6 du client d'itinérance reste actif, chiffré et protégé pour les requêtes DNS liées à IPv6.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    09-Sep-2025
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits