Problema
L'utente sta tentando di verificare il corretto funzionamento degli indirizzi IP riservati quando utilizza Cisco Secure Access con il client ZTA TIA di accesso con trust zero. Gli indirizzi IP riservati forniti per la convalida sono:
- Reston, Virginia, Stati Uniti: 151.186.128.84
- San Jose, California, USA: 151.186.131.49
Il flusso di lavoro comporta il routing del traffico Internet attraverso il client ZTA TIA, non il modulo Umbrella Roaming. Il modulo Umbrella SWG è stato annullato non appena TIA è attivo. Quando si esegue un controllo IP esterno (ad esempio utilizzando "whatsmyip") e si convalida dal report di ricerca attività, gli indirizzi IP riservati previsti non vengono rispettati.
Ambiente
- Tecnologia: supporto per la soluzione (SPPT - contratto obbligatorio)
- Sottotecnologia: Secure Access
- IP riservati forniti: 151.186.128.84 (Reston, VA), 151.186.131.49 (San Jose, CA)
- Traffico Internet instradato tramite client ZTA TIA (non il modulo Umbrella Roaming)
- Nessuna versione software o piattaforma hardware specifica menzionata
Risoluzione
In questa procedura viene descritto in dettaglio il flusso di lavoro corrente per la convalida della funzionalità IP riservata con Secure Access e il client ZTA, nonché le azioni intraprese in base ai dati della richiesta.
Passaggio 1: tentare la convalida IP tramite un servizio esterno
- Avviare un controllo IP esterno utilizzando un servizio pubblico (ad esempio "whatsmyip") e un rapporto di ricerca delle attività utilizzando il filer avanzato "Egress IP (Reserved)" per verificare che il traffico Internet instradato attraverso il client ZTA sembri provenire dall'indirizzo IP riservato assegnato.
Descrizione dell'output previsto:
- Previsto: l'output deve visualizzare X.X.X.X o X.X.X.X, a seconda della geolocalizzazione corrente e della configurazione di Accesso protetto.
- Effettivo: gli indirizzi IP riservati non vengono visualizzati nell'output.
Passo 2: Controllo e aggiornamento del provisioning back-end
Collaborare con TSE3 per eseguire questa attività.
È necessario aggiornare la configurazione back-end per garantire l'applicazione di IP riservati per il traffico ZTA TIA (Traffic Internet Access). Questo processo può richiedere il coordinamento con il team di gestione dei prodotti e la correzione del provisioning del sistema. Se all'organizzazione è stato assegnato il ruolo RIP in DCv2, utilizzare ZTA TIA.
Il case NON è supportato. Questa è la causa principale del problema. Per risolvere il problema, contattare PM per correggere il provisioning al controller di dominio AWS per applicare RIP per il traffico TIA ZTA.
Nessun comando CLI trovato che mostra la modifica rispetto alla CLI non funzionante.
Passaggio 3: Monitorare le modifiche back-end
Attendere la conferma che la modifica back-end è stata implementata in modo che l'assegnazione IP riservata sia attiva per il traffico ZTA TIA.
Nessun comando o output CLI disponibile per indicare la modifica back-end o la convalida riuscita. Segnaposto per le fasi di verifica future.
Causa
La causa del problema è che gli indirizzi IP riservati non sono attualmente applicati al traffico ZTA TIA a causa di una modifica della configurazione back-end richiesta. Di conseguenza, la convalida degli IP esterni non visualizza gli IP riservati previsti. Il provisioning per l'assegnazione IP riservato è in attesa di correzione, in base al flusso di lavoro annotato nel caso.
Contenuto correlato
Feedback