お問い合わせ内容
ゼロトラストアクセスZTA TIAクライアントでCisco Secure Accessを使用しているときに、予約されたIPアドレスが正しく機能しているかどうかを検証しようとしています。 検証のために提供される予約済みIPは次のとおりです。
- 米国バージニア州レストン:151.186.128.84
- 米国カリフォルニア州サンノゼ:151.186.131.49
ワークフローには、Umbrella Roamingモジュールではなく、ZTA TIAクライアントを介したインターネットトラフィックのルーティングが含まれます。 Umbrella SWGモジュールは、TIAがアクティブになるとすぐにバックオフされます。 外部IPチェック(「whatsmyip」の使用など)を実行し、アクティビティ検索レポートから検証する際に、予期される予約済みIPアドレスが表示されない。
環境
- テクノロジー:ソリューションサポート(SSPT – 契約が必要)
- サブテクノロジー:セキュアなアクセス
- 予約済みIPの提供:151.186.128.84(バージニア州レストン)、151.186.131.49(カリフォルニア州サンノゼ)
- ZTA TIAクライアント経由でルーティングされるインターネットトラフィック(Umbrella Roamingモジュールではない)
- 特定のソフトウェアバージョンまたはハードウェアプラットフォームは記載されていません
解決策
次の手順では、Secure AccessおよびZTAクライアントで予約済みIP機能を検証するための現在のワークフローと、ケースデータに基づいて実行されるアクションについて詳しく説明します。
ステップ1:外部サービスによるIP検証の試行
- パブリックサービス(「whatsmyip」など)を使用して外部IPチェックを開始し、「出力IP(予約済み)」と呼ばれる高度なファイラーを使用してアクティビティ検索レポートを開始し、ZTAクライアントを介してルーティングされるインターネットトラフィックが、割り当てられた予約済みIPアドレスから発信されているように見えることを確認します。
予想される出力の説明:
- 期待値:現在の位置情報とセキュアアクセスの設定に応じて、出力にX.X.X.XまたはX.X.X.Xが表示される必要があります。
- Actual:予約済みIPは出力に表示されません。
ステップ2:バックエンドプロビジョニングの確認と更新
TSE3と協力してこのタスクを実行します。
ZTA TIA(トラフィックインターネットアクセス)トラフィックに予約IPが適用されるように、バックエンド設定を更新する必要があります。 このプロセスには、製品管理チームとの調整やシステムプロビジョニングの修正が含まれる場合があります。 組織がDCv2でRIP用にプロビジョニングされている場合は、ZTA TIAを使用します。
サポートされていません。 これが問題の根本原因です。 この問題に対処するには、ZTA TIAトラフィックにRIPを適用するように、PMにAWS DCへのプロビジョニングを修正するように依頼します。
機能していないCLIからの変更を示すCLIコマンドは見つかりませんでした。
ステップ3:バックエンドの変更をモニタする
バックエンドの変更が実装されたため、予約されたIP割り当てがZTA TIAトラフィックに対してアクティブになっていることを確認するまで待機します。
バックエンドの変更や検証の成功を示すCLIコマンドや出力はありません。 今後の検証手順のプレースホルダです。
原因
この問題の原因は、必要なバックエンド設定の変更のために、予約IPアドレスが現在ZTA TIAトラフィックに適用されていないことです。その結果、外部IPの検証では、予期される予約済みIPが表示されません。このケースに記載されているワークフローに従って、予約済みIP割り当てのプロビジョニングの修正が保留中です。
関連コンテンツ
フィードバック