Introdução
Este documento descreve como desativar os clientes de roaming Umbrella (autônomos e AnyConnect) em uma rede corporativa e ativá-la fora da rede corporativa.
Informações de Apoio
Este artigo destina-se a administradores. Se você não quiser recuar o cliente de roaming na rede, pare aqui.
O recurso de redes protegidas Umbrella destina-se a uma única rede de saída. Para qualquer rede com mais de uma saída, um recurso alternativo é necessário.
Hoje, esse recurso existe em produção como o recurso de domínio de rede confiável. Continue lendo para saber como solicitar o recurso e o que é necessário na sua rede.
O Que É O Recurso De Domínio De Rede Confiável?
O recurso de rede confiável por domínio é uma forma de desativar o cliente de roaming na rede corporativa, mas mantê-lo habilitado fora da rede. Quando ativado, o recurso:
- Desabilita a proteção DNS fornecida pelo cliente móvel
- Adia a política para a política de rede
- Interrompe todos os testadores de rede, exceto a verificação de domínio de rede confiável
- Excelente para redes ocupadas!
- Ótima alternativa para o backoff de VA
- Use em conjunto com AVs para reduzir a conversa na rede
Comportamento de IPv6, Windows versus MacOS
- No Windows, o domínio é consultado em IPv4 e IPv6. O comportamento de desligamento é tratado separadamente em cada pilha de rede. Por exemplo, se o domínio for resolvido em IPv4, mas não em IPv6, o cliente de roaming será desligado apenas em IPv4 e permanecerá em operação no IPv6. Se você quiser que o cliente seja completamente desligado, as consultas IPv4 e IPv6 deverão ser resolvidas.
- No MacOS, o domínio é consultado em IPv4 e IPv6. Ao contrário do Windows, se o domínio for resolvido em qualquer pilha de rede, o cliente de roaming será desligado para IPv4 e IPv6.
Como Habilitar O Recurso?
Esse recurso agora é controlado no painel. Consulte Configurações de computadores móveis.
- O subdomínio desejado de desativação do Umbrella. Este domínio deve:
- Ter um registro A que resolve para um endereço IP interno RFC-1918 (para IPv4)
- Ter um registro AAAA que resolva para um IP RFC-4193 em IPv6 (se IPv6 for usado)
- Os IPs RFC-1918 normalmente se parecem com 10.x.x.x, 172.x.x.x ou 192.168.x.x
- Os endereços IPv6 RFC-4193 começam com 'FD'
- Os endereços IP não precisam estar acessíveis
- Deve ser um subdomínio
- sub.domain.com - bom!
- subdomain.com - nada bom.
- Resolver fora da rede para NXDOMAIN, NODATA ou endereço IP público (para que o cliente permaneça habilitado nesses cenários)
- Nenhum SERVFAIL, por favor
- Seja um domínio em uma zona que você controla para garantir o controle do espaço público e local
- É compatível com:
- Cliente de roaming Umbrella
- Apenas AnyConnect Umbrella Roaming Security Module 4.5 MR4+
Como testo o recurso para uma máquina?
Para testar localmente antes que a equipe do Umbrella aplique a configuração globalmente, aplique esta substituição.
- Crie um arquivo "customer_network_probe.flag"
- Verifique se o arquivo não é .flag.txt
- Coloque o domínio desejado no conteúdo do arquivo
- Coloque o arquivo em:
- cliente de roaming
- Windows: %ProgramData\OpenDNS\ERC\
- AnyConnect
- Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\Umbrella\data\
- Cisco Secure Client
- Windows: C:\ProgramData\Cisco\Cisco Seguro Client\Umbrella\data\
- MacOS: /opt/cisco/secureclient/umbrella/data/
- Reiniciar o cliente móvel
- Cliente de roaming: Cliente de roaming Umbrella: Desativação ou reinicialização manual.
- AnyConnect: Reiniciar o serviço vpnagent AnyConnect pai
Note: Cliente de roaming MacOS, as versões do AnyConnect não oferecem suporte a esse sinalizador.