Entender as configurações de rede IPv6 de pilha dupla para o cliente Umbrella Roaming

Opções de download

  • PDF     (257.6 KB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:9 de setembro de 2025
ID do documento:224834

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve o suporte para o Umbrella Roaming Client, especificamente para configurações de rede IPv6 de pilha dupla.

    Overview

    Atualmente, o cliente de roaming Umbrella suporta configurações de rede somente IPv4 e de pilha dupla para macOS por padrão (cliente de roaming 2.1.x+) e para Windows (versão cliente 2.2.x+) alternando a alternância de redirecionamento IPv6 na página de clientes de roaming do painel.

    O suporte para redes somente IPv6 para os sistemas operacionais Mac e Windows não está disponível no momento.

    O suporte ao redirecionamento IPv6 está disponível para o AnyConnect Roaming Security Module a partir da versão 4.8.02042.

    Redirecionamento de IPv4

    A funcionalidade de redirecionamento DNS IPv4 do cliente de roaming permanece inalterada. O DNS ainda é substituído para 127.0.0.1, redirecionando o DNS para o proxy de criptografia DNS do cliente de roaming. 

    Fluxo:

    127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted

    Redirecionamento de IPv6 

    Novo na versão 2.2.x, o componente IPv6 é uma nova adição ao cliente de roaming. Essa alteração está presente no back-end do cliente, bem como na bandeja atualizada da interface do usuário. 

    O que há de novo? Procure o estado do IPv6. Por padrão, a mensagem "Não habilitado" é exibida. Se o redirecionamento de IPv6 estiver ativado no Painel, o novo redirecionamento de IPv6 do Umbrella será ativado. Quando ativo, o DNS para IPv6 é substituído por ::1

    A proteção IPv6 tem seu próprio estado independente de Protegido e criptografado, protegido e não criptografado, desprotegido e outros estados. Esse estado é refletido na GUI atualizada.

    O redirecionamento IPv6 ocorre independentemente da cobertura IPv4. 

    Fluxo:

    ::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted

    Operação Padrão

    O cliente de roaming testa a disponibilidade dos resolvedores Umbrella em cada alteração de estado de rede e em um intervalo recorrente regular (atualmente 10s). Se o DNS estiver disponível através do proxy dns, o cliente entra no modo protegido para a versão do protocolo de internet que passa no teste. Com o IPv6 habilitado, espere que os pacotes de confirmação de conectividade DNS regulares ocorram uma vez para cada protocolo a cada 10 segundos.

    Quando ambos os protocolos estão ativos, o DNS é visto como:

    ::1
127.0.0.1

    Gráfico de funcionalidade

    Cliente/Recurso: Cobertura DNS

    IPv4 Interno para IPv4 Externo

    IPv4 interno para pilha dupla externa

    Pilha dupla interna para IPv4 externa 

    Pilha dupla interna para pilha dupla externa

    Pilha dupla interna para IPv6 externa

    IPv6 interno para pilha dupla externa

    IPv6 Interno para IPv6 Externo

    Filtrando: Cliente de Roaming Autônomo (Win/macOS)

    		 ✔  ✔  ✔  ✔  ✘  ✘ 

    Filtrando: Módulo de segurança de roaming AnyConnect 4.8 MR2+

    		 ✔  ✔  ✘  ✘ 
    note-icon

    Note: O DNS interno nunca é afetado pelo IPv6. Cenários sem suporte permitem ignorar DNS e DNS interno. Os cenários são baseados na presença de configurações DNS IPv4 e IPv6. As redes internas podem ter endereços IPv6 sem servidores DNS IPv6 e seriam consideradas redes IPv4 com base nesse gráfico.

    Perguntas mais freqüentes

    O Umbrella suporta o bloqueio de solicitações AAAA (com IPv4)?

    Sim, as consultas AAAA para domínios bloqueados recebidos sobre IPv4 retornam o endereço IPv6 mapeado para IPv4 de uma página de bloqueio.

    O Umbrella suporta uma página de bloqueio de IPv6, ou, de forma mais geral, bloqueia solicitações de IPv6?

    É verdade que as páginas de bloqueio não podem ser acessadas por IPv6, no entanto, há um pouco de um termo incorreto com "bloquear solicitações de IPv6". O Umbrella permite ou bloqueia domínios que não sejam endereços IPv4 ou IPv6. O serviço DNS Umbrella resolve domínios para endereços IPv4 ou IPv6. Quando o Umbrella bloqueia algo, ele retorna um endereço IPv4 para consultas A ou um endereço IPv6 mapeado por IPv4 para consultas AAAA. O endereço IP retornado é o da página de bloqueio do Umbrella, e não do domínio.

    Em ambos os casos, o endereço IP retornado só é acessível por IPv4, portanto o cliente deve ter pelo menos capacidade para IPv4 para se conectar subsequentemente a ele.

    Quando uma solicitação é enviada por proxy através do Umbrella, as coisas são muito parecidas. As solicitações AAAA para domínios com lista cinza—recebidas sobre IPv4—retornam o endereço IPv6 mapeado para IPv4 de um proxy. O cliente deve ser compatível com IPv4 para conectar-se subsequentemente ao proxy.

    Se uma solicitação AAAA IPv6 for permitida, o Umbrella registra isso?

    Sim, a Umbrella faz o registro desde que a solicitação seja proveniente de uma identidade ou identidades registradas. As redes que têm endereços IPv6 também devem ser registradas para serem registradas nos relatórios. O mesmo se aplica aos clientes de roaming ou a outros tipos de identidade.

    Posso registrar uma rede IPv6 no Umbrella?

    Sim! Seja nosso convidado e registre-se fora.

    Há situações esperadas em que a cobertura não se aplica como esperado em uma rede de pilha dupla com servidores DNS IPv6?

    Yes. Se os resolvedores do Umbrella IPv4 não estiverem acessíveis, o DNS vinculado ao IPv4 ficará desprotegido. Se os resolvedores do Umbrella IPv6 não estiverem acessíveis, o DNS IPv6 associado ficará desprotegido. É possível ter um ou ambos os redirecionamentos desprotegidos devido às limitações da rede. Consulte a próxima pergunta para ver um exemplo de cenário.

    E se eu tiver um servidor DNS IPv6 acessível, mas os resolvedores do Umbrella IPv6 não estiverem acessíveis? O cliente pode manter a proteção?

    Windows: A proteção IPv6 permanece offline porque o Umbrella não está acessível no IPv6. O DNS enviado ao resolvedor local IPv6 é resolvido normalmente, fora do cliente. Como nossos resolvedores DNS públicos IPv4 estavam disponíveis, qualquer DNS enviado à pilha DNS IPv4 é protegido pelo Umbrella. Portanto, o DNS enviado sobre IPv6 não é protegido, enquanto o DNS enviado para IPv4 é protegido. Um exemplo visto em campo é um hotspot móvel com um servidor DNS IPv6, mas sem acesso IPv6 aos nossos resolvedores.

    E se minha interface de rede tiver alguns servidores DNS IPv6 somente locais como "fec0:......"

    Windows: A partir da versão 2.2.109, isso pode causar algum comportamento inconsistente. Isso será resolvido em nossa próxima versão e não será processado pelo cliente de roaming.

    O estado IPv4 do cliente interage com o estado IPv6?

    Windows: Não. São estados completamente independentes, dependendo da disponibilidade da rede e da presença de um servidor DNS para cada protocolo.

    O DNS IPv6 pode ser redirecionado para servidores DNS IPv4 se o Umbrella estiver acessível apenas em IPv4, mas o computador estiver em uma rede habilitada para IPv6?

    Windows: Não. O cliente envia DNS somente aos resolvedores IPv6 para redirecionamento DNS IPv6, se disponível. O DNS associado ao IPv6 não é enviado aos nossos resolvedores IPv4 e não pode receber a política.

    O macOS é diferente do Windows?

    Yes. o macOS tem um local de armazenamento central para DNS IPv6 e IPv4, e solicitamos nosso armazenamento de acordo com o DNS local. O DNS continua a fluir para 127.0.0.1 no macOS, ao contrário do Windows.

    Se estiver em uma rede atrás de um VA para IPv4 DNS, o componente IPv6 também pode ser desabilitado atrás do dispositivo virtual?

    Não neste momento até que o VA seja compatível com IPv6. O componente de redirecionamento de IPv6 do cliente de roaming permanece ativo, criptografado e protegido para solicitações DNS ligadas a IPv6.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    09-Sep-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos