Configurazione di Umbrella e BlueCoat Webfilter/K9

Opzioni per il download

  • PDF     (236.5 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (81.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (66.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:8 ottobre 2025
ID documento:225187

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come configurare la compatibilità tra il client di roaming Umbrella e BlueCoat Webfilter/K9.

    Panoramica

    Questo articolo si riferisce ai computer in cui sono installati il client di roaming Umbrella e BlueCoat. Questo articolo si riferisce all'uso di un agente filtrante BlueCoat installato sul computer. Questa condizione può coincidere con una configurazione PAC o proxy

    Il client di roaming Umbrella e il modulo di sicurezza per il roaming Umbrella in AnyConnect non sono attualmente compatibili con il filtro basato sul software BlueCoat che tenta di controllare il DNS. 

    Software interessato: 

    • Cisco AnyConnect Umbrella Roaming Security Module
    • Umbrella Roaming Client

    Sintomi

    AnyConnect Roaming Module e il client in roaming precedenti alla 2.2.150

    Quando il client o il modulo mobile è attivo, tutti i DNS sembrano avere esito negativo. Questo causa una perdita apparente di usabilità sul computer e una perdita della capacità di accedere alle risorse web. In particolare, qualsiasi richiesta DNS a un record A ha esito negativo; tuttavia, altri tipi di record, ad esempio AAAA o TXT, hanno esito positivo. 

    Quando il client mobile viene disinstallato o temporaneamente arrestato, viene ripristinato il normale comportamento di rete. 

    Il client mobile non riconosce l'errore DNS poiché solo i record A hanno esito negativo e pertanto il client rimane attivo e crittografato.  

    Client roaming 2.2.150 e versioni successive

    Quando il client mobile è attivo, il client esegue il failover in uno stato aperto con il messaggio

    "abbiamo rilevato una potenziale interferenza con le query DNS A e/o AAAA; è possibile che nel sistema sia presente software che causa problemi"

    Si tratta di un nuovo metodo di rilevamento per il software che sostituisce i record A-Records ma non modifica i record TXT. Questo comportamento viene contrassegnato e disabilitato per impedire la perdita di DNS.

    Risoluzione dei problemi

    Per verificare se si sta osservando questo problema, verificare che siano vere le seguenti condizioni:

    • In questi scenari si verifica un errore nel DNS o la disattivazione della modalità record A
      • BlueCoat attivo e:
        • Client o modulo in roaming protetto e crittografato
        • Client o modulo in roaming protetto e non crittografato
      • Processo BlueCoat terminato manualmente (non disinstallato). Il reindirizzamento è attivo, ma il proxy sottostante è offline. 
        • Client o modulo in roaming protetto 
        • Client mobile disinstallato o arrestato 
    • In questo modo non si verifica alcun problema
      • Il client o il modulo mobile attivo con BlueCoat disinstallato (dopo un riavvio)
      • Il filtro Web BlueCoat è installato e nessun client mobile è in esecuzione

    Quando si verifica un errore nel DNS, tutti i record A hanno esito negativo, ma i record TXT continuano a non essere reindirizzati da BlueCoat e dalla funzione. 

    Root cause e soluzione

    La causa principale di questo problema di compatibilità è duplice. 

    1. Il software BlueCoat reindirizza le query dei record A (i record DNS più comuni per la visualizzazione delle pagine Web) in modo che solo il software stesso possa rispondere a tali query. Questo DNS può uscire dalla rete, ma non può rispondere al sistema. Il client mobile non ha modo di ignorare questa impostazione.
    2. Il client mobile determina la disponibilità del DNS verificando le risposte ai record TXT univoche per i resolver Umbrella. Poiché BlueCoat non applica i record TXT, i test del client in roaming continuano ad avere successo anche dopo che tutti i record A hanno iniziato a fallire. In questo caso, un errore del record e il successo del record TXT fanno sì che il client in roaming rimanga crittografato, perpetuando in modo efficace uno stato interrotto con il software BlueCoat.

    L'imposizione selettiva del proxy DNS di BlueCoat a un livello basso nel sistema causa un problema di compatibilità diretta con il client di roaming. L'impatto sugli utenti è una perdita della funzionalità DNS e di esplorazione del Web basata su DNS. 

    Al momento l'unica soluzione è quella di cessare l'uso del software per workstation BlueCoat che reindirizza il DNS e utilizza invece le restrizioni dei contenuti basati su Umbrella. BlueCoat può aggiungere la possibilità di disabilitare l'imposizione DNS in futuro.  

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    08-Oct-2025
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti