思科安全访问和Banyan安全应用之间的DNS解析冲突
目录
问题
当Cisco Secure Access与Windows终端上的Banyan Security App同时部署时,用户会遇到严重的DNS解析缓慢和超时。具体症状包括:
当连接Banyan安全应用时,DNS解析开始超时。
尽管最终会解决,但网页加载速度非常缓慢。
Banyan应用程序在环回接口上启动本地DNS代理,类似于Umbrella行为。
此DNS代理配置会干扰正常的DNS解析行为。
在部署Cisco Secure Access以实现其主要网络安全时,该问题尤其影响必须访问外部环境的用户。
环境
部署了互联网接入组件(漫游模块、VA、DNS、SWG、PAC、IPS、证书)的思科安全访问
在Windows终端上运行的Banyan安全应用
需要通过Banyan访问外部环境,同时保持安全访问连接的用户
在两个应用的环回接口上运行的DNS代理服务
已在FQDN解析的安全访问中配置内部域绕行
分辨率
要解决Cisco Secure Access和Banyan Security App之间的DNS解析冲突,请实施以下方法:
主要解决步骤
这是已知的Cisco Bug ID CSCwr21575,用于解决Cisco安全访问和实施本地DNS代理的第三方安全应用之间的已知DNS代理冲突。
症状
DNS解析超时或明显延迟。
条件
Cisco安全客户端Umbrella模块拦截的DNS查询。
主DNS服务器配置为环回范围127.0.0.0/8中的IP地址,DNS查询以该服务器为目标。
同一个适配器或另一个适配器上至少有一个其他非环回IPv4 DNS服务器。
解决方法
将主DNS服务器设置为非环回IP地址。永久修复方案是将思科安全客户端升级到5.1.13及更高版本。
验证和测试
执行解决步骤后,请执行此验证:
在思科安全接入和班扬安全应用均处于活动状态的情况下测试DNS解析速度
验证网页加载时间是否返回可接受的水平
确认通过Banyan对外部环境的访问仍在正常运行
验证通过安全访问旁路的内部域解析是否保持正常运行
原因
DNS解析速度减慢是由思科安全访问和Banyan安全应用之间的DNS代理实施冲突引起的。两个应用都在环回接口上建立本地DNS代理,从而创建相互竞争的DNS解析路径,从而导致超时和响应延迟。
Banyan安全应用DNS代理行为会干扰思科安全访问DNS处理,尤其会影响Windows终端上DNS查询处理的顺序和优先级。
Cisco Bug ID CSCwr21575(仅限注册用户)解决了此特定兼容性问题。
相关内容
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
04-May-2026
|
初始版本 |
反馈