Umbrella仮想アプライアンスの断続的な接続の問題

お問い合わせ内容

同じ地域にある2つのUmbrella仮想アプライアンス(VA)で、緑色から赤色へのステータスの変化が断続的に発生しました。一方のVAは安定していたのに対し、他方のVAはUmbrellaへの接続が断続的に失われました

環境

• テクノロジー：セキュリティ – ネットワーク保護

• サブテクノロジー：Umbrella – 仮想アプライアンス(VA)

• 同じ地域に2台のUmbrella仮想アプライアンスを導入

• エッジルータ設定を使用したネットワークインフラストラクチャ

• インターネットアクセスのためのISP接続

解決策

この問題を解決するには、ポート5353でUDPトラフィックをブロックしていたネットワークレベルの設定の問題を特定して対処する必要がありました。次の診断および解決手順が実行されました。

実行される診断手順

ステップ1：初期診断データの収集

両方のVAの接続パターンを比較し、問題の範囲を特定するために、tracerouteのスクリーンショットとshow-techバンドルを収集しました。

ステップ2：ネットワーク接続のテスト

ファイアウォールと周辺エッジルータのテストを実施し、UDPポート5353の到達可能性を確認しました。これにより、影響を受けるトラフィックに対して、一貫して「宛先に到達していない」応答が返されました。

ステップ3：サービスプロセスの検証

show-techバンドルの分析により、影響を受けるVAでumbrella-connectorプロセスが正しく実行されていることが確認されました。これは、問題が内部VAプロセスではなく、ネットワーク接続にあることを示しています。

ステップ4:ISPの調査

UDPポート5353の到達可能性の問題をネットワークレベルで調査するために、インターネットサービスプロバイダー(ISP)でケースがオープンされました。

根本原因の特定と解決

根本的な原因は、エッジルータの設定でUDPポート5353が有効になっていないことにあります。このネットワークレベルのブロックにより、該当するVAがUDPポート5353を介してUmbrella DNSサービスへの適切な接続を確立することが阻止されましたが、TCPポート443トラフィックは影響を受けませんでした。

ステップ5：エッジルータ設定の修正

エッジルータの設定が更新され、UDPポート5353が有効になり、Umbrella VAとUmbrella DNS-over-UDPエンドポイント間の適切な通信が可能になりました。

原因

Umbrella仮想アプライアンス(VA)の断続的な接続問題の根本原因は、エッジルータでUDPポート5353が有効になっていないネットワーク設定の問題でした。このブロッキングにより、該当するVAはUmbrellaサービスへの適切なDNS-over-UDP接続を確立できなくなり、ポート443のTCPトラフィックは影響を受けませんでした。この問題は、必要なUDPポート5353プロトコルを介してVAがUmbrella DNSエンドポイントに常に到達できなかったため、断続的なヘルスチェックの失敗として現れました。

関連コンテンツ

• シスコのテクニカルサポートとダウンロード