Umbrella虚拟设备间歇性连接问题
目录
问题
同一地区的两台Umbrella虚拟设备(VA)间歇性地从绿色状态更改为红色。一个虚电路保持稳定,而另一个虚电路间歇性地断开与Umbrella的连接
环境
技术:安全 — 网络保护
子技术:Umbrella — 虚拟设备(VA)
在同一区域部署两个Umbrella虚拟设备
具有边缘路由器配置的网络基础设施
用于Internet访问的ISP连接
分辨率
解决方案涉及识别和解决阻止端口5353上UDP流量的网络级配置问题。采取了以下诊断和解决步骤:
执行的诊断步骤
步骤 1:初始诊断数据收集
我们收集了两个VA的Traceroute屏幕截图和show-tech捆绑包,以比较它们的连接模式并确定问题的范围。
步骤 2:网络连接测试
通过防火墙和边界边缘路由器测试来验证UDP端口5353的可达性,该端口始终为受影响的流量返回“目的地未到达”响应。
步骤 3:服务流程验证
对show-tech捆绑包的分析确认umbrella-connector进程在受影响的VA上运行正常,表明问题不是内部VA进程,而是网络连接问题。
步骤 4:ISP调查
向Internet服务提供商提交了一个案例,以调查网络级别的UDP端口5353连通性问题。
根本原因识别和解决方案
根本原因确定为边缘路由器配置上未启用UDP端口5353。此网络级阻塞阻止受影响的VA通过UDP端口5353建立与Umbrella DNS服务的适当连接,而TCP端口443流量不受影响。
步骤 5:边缘路由器配置更正
边缘路由器配置已更新为启用UDP端口5353,从而允许Umbrella VA和Umbrella DNS-over-UDP终端之间正确通信。
原因
间歇性Umbrella虚拟设备连接问题的根本原因是网络配置问题,边缘路由器上未启用UDP端口5353。此阻止阻止阻止受影响的VA建立与Umbrella服务的正确DNS-over-UDP连接,而端口443上的TCP流量不受影响。此问题显示为间歇性运行状况检查失败,因为VA无法始终通过所需的UDP端口5353协议到达Umbrella DNS终端。
相关内容
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
27-May-2026
|
初始版本 |
反馈