문제
사용자가 Zero Trust Access ZTA TIA 클라이언트와 함께 Cisco Secure Access를 사용할 때 예약된 IP 주소가 올바르게 작동하는지 검증하려고 합니다. 검증을 위해 제공되는 예약된 IP는 다음과 같습니다.
- Reston, 버지니아, 미국: 151.186.128.84
- 미국 캘리포니아 주 산호세: 151.186.131.49
워크플로에서는 Umbrella Roaming 모듈이 아닌 ZTA TIA 클라이언트를 통해 인터넷 트래픽을 라우팅합니다. Umbrella SWG 모듈은 TIA가 활성화되자마자 취소됩니다. 외부 IP 확인(예: "whatsmyip" 사용)을 수행하고 활동 검색 보고서에서 검증할 때 예상 예약된 IP 주소는 관찰되지 않습니다.
환경
- 기술: 솔루션 지원(SSPT - 계약 필요)
- 하위 기술: 보안 액세스
- 예약된 IP 제공: 151.186.128.84(Reston, VA), 151.186.131.49(San Jose, CA)
- ZTA TIA 클라이언트를 통해 라우팅된 인터넷 트래픽(Umbrella Roaming 모듈이 아님)
- 특정 소프트웨어 버전 또는 하드웨어 플랫폼에 대한 언급이 없습니다.
해결
이 단계에서는 Secure Access 및 ZTA 클라이언트를 사용하여 예약된 IP 기능을 검증하는 현재 워크플로와 사례 데이터를 기반으로 수행되는 작업에 대해 자세히 설명합니다.
1단계: 외부 서비스를 통해 IP 검증 시도
- ZTA 클라이언트를 통해 라우팅된 인터넷 트래픽이 할당된 예약된 IP 주소에서 시작된 것으로 나타나는지 확인하려면 공개 서비스(예: "whatsmyip")를 사용하여 외부 IP 확인 및 "이그레스 IP(예약됨)"라는 고급 파일러를 사용하여 활동 검색 보고서를 시작합니다.
예상 출력에 대한 설명:
- 예상: 현재 위치 및 보안 액세스 구성에 따라 X.X.X.X 또는 X.X.X.X가 출력에 표시되어야 합니다.
- Actual(실제): 예약된 IP가 출력에 표시되지 않습니다.
2단계: 백엔드 프로비저닝 확인 및 업데이트
이 작업을 수행하려면 TSE3와 협업하십시오.
예약된 IP가 ZTA TIA(Traffic Internet Access) 트래픽에 적용되도록 백 엔드 구성을 업데이트해야 합니다. 이 프로세스에는 제품 관리 팀과의 조정 및 시스템 프로비저닝 교정이 포함될 수 있습니다. 조직이 DCv2에서 RIP에 대해 프로비저닝된 경우 ZTA TIA를 사용하십시오.
케이스는 지원되지 않습니다. 이것이 문제의 근본 원인입니다. 해결하려면 PM과 함께 AWS DC에 대한 프로비저닝을 수정하여 ZTA TIA 트래픽용 RIP를 적용하십시오.
작동하지 않는 CLI의 변경 사항을 표시하는 CLI 명령을 찾을 수 없습니다.
3단계: 백엔드 변경 사항 모니터링
백엔드 변경이 구현되어 예약된 IP 할당이 ZTA TIA 트래픽에 대해 활성 상태인지 확인합니다.
백 엔드 변경 또는 성공적인 유효성 검사를 표시하는 CLI 명령 또는 출력을 사용할 수 없습니다. 향후 유효성 검사 단계를 보려면 자리 표시자를 사용하십시오.
원인
문제의 원인은 필요한 백엔드 컨피그레이션 변경으로 인해 예약된 IP 주소가 현재 ZTA TIA 트래픽에 적용되지 않았기 때문입니다. 그 결과 외부 IP 검증에는 예상 예약 IP가 표시되지 않습니다. 사례에 명시된 워크플로에 따라 예약된 IP 할당에 대한 프로비저닝이 수정 보류 중입니다.
관련 콘텐츠
피드백