Disabilita reti protette per client Umbrella Roaming su reti aziendali

Introduzione

Questo documento descrive come disabilitare i client di roaming Umbrella (standalone e AnyConnect) su una rete aziendale e abilitarli fuori dalla rete aziendale.

Premesse

Questo articolo è destinato agli amministratori. Se non si desidera interrompere il collegamento del client in roaming in rete, arrestarsi qui.

La funzionalità Reti protette Umbrella è destinata a una singola rete in uscita. Per le reti con più uscite, è necessaria una funzione alternativa.

Attualmente questa funzionalità è disponibile in produzione come funzionalità di dominio di rete trusted. Di seguito vengono fornite informazioni su come richiedere la funzionalità e sui requisiti della rete.

Che Cos'È La Funzionalità Dominio Di Rete Trusted?

La funzionalità Rete attendibile per dominio consente di disabilitare il client mobile nella rete aziendale, ma di tenerlo abilitato fuori rete. Una volta attivata, la funzione:

• Disabilita la protezione DNS fornita dal client mobile
  • Rimanda il criterio al criterio di rete
• Arresta tutte le richieste di rete ad eccezione del controllo del dominio di rete trusted
  • Ideale per reti occupate.
  • Grande alternativa al backoff VA
    • Utilizzare in combinazione con i VA per ridurre le conversazioni in rete

Comportamento IPv6, Windows rispetto a MacOS

• In Windows, il dominio viene interrogato su IPv4 e IPv6. Il comportamento di arresto viene gestito separatamente su ogni stack di rete. Ad esempio, se il dominio viene risolto su IPv4 ma non su IPv6, il client mobile si arresta solo su IPv4 e rimane operativo su IPv6. Se si desidera che il client venga arrestato completamente, le query IPv4 e IPv6 devono essere risolte.
• In MacOS, il dominio viene interrogato su IPv4 e IPv6. A differenza di Windows, se il dominio viene risolto su uno stack di rete, il client mobile viene arrestato sia per IPv4 che per IPv6.

Come Si Abilita La Funzionalità?

Questa feature è ora controllata nel quadro comandi. Vedere Impostazioni dei computer mobili.

• Il sottodominio Umbrella disabilitato desiderato. Questo dominio deve:
  • Hanno un record A che si risolve in un indirizzo IP interno RFC-1918 (per IPv4)
  • Dispongono di un record AAAA che viene risolto in un indirizzo IP RFC-4193 su IPv6 (se viene utilizzato IPv6)
    • RFC-1918 - Gli indirizzi IP sono in genere simili a 10.x.x.x, 172.x.x.x o 192.168.x.x
    • Gli indirizzi IPv6 della RFC-4193 iniziano con 'FD'
    • Non è necessario che gli indirizzi IP siano raggiungibili
    • Deve essere un sottodominio
      • sub.domain.com - bene!
      • subdomain.com - non va bene.
  • Risolvere i problemi relativi alla rete in NXDOMAIN, NODATA o all'indirizzo IP pubblico (in modo che il client rimanga abilitato in questi scenari)
    • Nessun SERVFAIL
  • Essere un dominio in una zona controllata per assicurarsi di controllare lo spazio pubblico e locale
• Supporta:
  • Umbrella Roaming Client
  • Solo AnyConnect Umbrella Roaming Security Module 4.5 MR4+

Come si esegue il test della funzionalità per un computer?

Per eseguire il test localmente prima che il team Umbrella applichi l'impostazione globalmente, applicare questa sostituzione.

1. Creare un file "customer_network_probe.flag"
   1. Assicurarsi che il file non sia .flag.txt
2. Inserire il dominio desiderato nel contenuto del file
3. Posizionare il file in:
   1. Client roaming
      1. Windows: %ProgramData\OpenDNS\ERC\
   2. AnyConnect
      1. Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
   3. Cisco Secure Client
      1. Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
      2. macOS: /opt/cisco/secureclient/umbrella/data/
4. Riavvia il client mobile
   1. Client roaming: Umbrella Client roaming: Disattivazione o riavvio manuale.
   2. AnyConnect: Riavviare il servizio AnyConnect vpnagent padre

Nota: MacOS Roaming client, versioni AnyConnect non supportano questo flag.