Abilitare o disabilitare le reti protette per i client in roaming sulle reti aziendali

Opzioni per il download

  • PDF     (239.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (84.0 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (70.4 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:3 settembre 2025
ID documento:224741

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come disabilitare i client mobili Umbrella standalone e AnyConnect su una rete aziendale.

    Premesse

    Questo articolo è destinato agli amministratori. Se non si desidera interrompere il collegamento del client in roaming in rete, arrestarsi qui.

    La funzionalità Reti protette Umbrella è destinata a una singola rete in uscita. Per le reti con più uscite, è necessaria una funzione alternativa.

    Attualmente questa funzionalità è disponibile in produzione come funzionalità di dominio di rete trusted. Di seguito vengono fornite informazioni su come richiedere la funzionalità e sui requisiti della rete.

    Che Cos'È La Funzionalità Dominio Di Rete Trusted?

    La funzionalità Rete attendibile per dominio consente di disabilitare il client mobile nella rete aziendale, ma di tenerlo abilitato fuori rete. Una volta attivata, la funzione:

    • Disabilita la protezione DNS fornita dal client mobile
      • Rimanda il criterio al criterio di rete
    • Arresta tutte le richieste di rete ad eccezione del controllo del dominio di rete trusted
      • Ideale per reti occupate.
      • Grande alternativa al backoff VA
        • Utilizzare in combinazione con i VA per ridurre le conversazioni in rete

    Comportamento IPv6, Windows rispetto a MacOS

    • In Windows, il dominio viene interrogato su IPv4 e IPv6. Il comportamento di arresto viene gestito separatamente su ogni stack di rete. Ad esempio, se il dominio viene risolto su IPv4 ma non su IPv6, il client mobile si arresta solo su IPv4 e rimane operativo su IPv6. Se si desidera che il client venga arrestato completamente, le query IPv4 e IPv6 devono essere risolte.
    • In MacOS, il dominio viene interrogato su IPv4 e IPv6. A differenza di Windows, se il dominio viene risolto su uno stack di rete, il client mobile viene arrestato sia per IPv4 che per IPv6.

    Come Si Abilita La Funzionalità?

    Questa feature è ora controllata nel quadro comandi. Vedere Impostazioni dei computer mobili.

    • Il sottodominio Umbrella disabilitato desiderato. Questo dominio deve:
      • Hanno un record A che si risolve in un indirizzo IP interno RFC-1918 (per IPv4)
      • Dispongono di un record AAAA che viene risolto in un indirizzo IP RFC-4193 su IPv6 (se viene utilizzato IPv6)
        • RFC-1918 - Gli indirizzi IP sono in genere simili a 10.x.x.x, 172.x.x.x o 192.168.x.x
        • Gli indirizzi IPv6 della RFC-4193 iniziano con 'FD'
        • Non è necessario che gli indirizzi IP siano raggiungibili
        • Deve essere un sottodominio
          • sub.domain.com - bene!
          • subdomain.com - non va bene.
      • Risolvere i problemi relativi alla rete in NXDOMAIN, NODATA o all'indirizzo IP pubblico (in modo che il client rimanga abilitato in questi scenari)
        • Nessun SERVFAIL
      • Essere un dominio in una zona controllata per assicurarsi di controllare lo spazio pubblico e locale
    • Supporta:
      • Umbrella Roaming Client
      • Solo AnyConnect Umbrella Roaming Security Module 4.5 MR4+

    Come si esegue il test della funzionalità per un computer?

    Per eseguire il test localmente prima che il team Umbrella applichi l'impostazione globalmente, applicare questa sostituzione.

    1. Creare un file "customer_network_probe.flag"
      1. Assicurarsi che il file non sia .flag.txt
    2. Inserire il dominio desiderato nel contenuto del file
    3. Posizionare il file in:
      1. Client roaming
        1. Windows: %ProgramData\OpenDNS\ERC\
      2. AnyConnect
        1. Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
      3. Cisco Secure Client
        1. Windows: C:\ProgramData\Cisco\Cisco Secure Client\Umbrella\data\
        2. macOS: /opt/cisco/secureclient/umbrella/data/
    4. Riavvia il client mobile
      1. Client roaming: Disabilitare o riavviare il client di roaming Umbrella.
      2. AnyConnect: Riavviare il servizio AnyConnect vpnagent padre
    note-icon

    Nota: MacOS Roaming client, versioni AnyConnect non supportano questo flag.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    03-Sep-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti