简介
本文档介绍如何排除通过启用AnyConnect SWG模块的强制网络门户连接到热点的故障。
问题
使用AnyConnect安全Web网关(SWG)模块的用户可能无法在某些公共热点位置登录。
用于进一步故障排除的修复和建议
确保您使用的是AnyConnect版本4.10.05095(4.10MR5)。 本版本解决了强制网络门户相关的问题。
然而,如果升级到4.10.05095后问题仍然存在,请联系Umbrella支持。
为了加快支持流程,我们要求客户在联系Umbrella支持之前完成这些步骤并收集请求的日志。
- 我们要求客户配置其终端上安装的所有安全代理,以排除AnyConnect二进制文件和连接,从而避免策略冲突。因此,需要相应地配置TrendMicro和/或任何其他安全代理。
请参阅AnyConnect发行版本注释的相关代码片断,并确保相应地执行AnyConnect的例外情况。
- 在浏览器中同时访问HTTP(例如,http:
- 如果问题仍然存在,请收集DART捆绑包(启用最大调试)、PCAP文件(包括环回)和屏幕录制(可选)以进行进一步调查。
为AnyConnect配置防病毒应用
防病毒、反恶意软件和入侵防御系统(IPS)等应用可能将AnyConnect安全移动客户端应用的行为误解为恶意行为。您可以配置例外以避免此类误读。在安装AnyConnect模块或软件包后,将防病毒软件配置为允许AnyConnect安装文件夹或AnyConnect应用程序的安全例外。列出了要排除的常用目录,但列表可能不完整:
- C:\Users<user>\AppData\Local\Cisco
- C:\ProgramData\Cisco
- C:\Program文件x86)\Cisco
详细信息
强制网络门户问题可能由CSCwb39828“SWG启用失败打开/失败关闭时,强制网络门户页面未打开”引起。 升级到AnyConnect 4.10.05095后,无需进行其他配置或用户交互。
某些无线热点和其他访客网络会中断Internet访问,并将Web流量重定向到强制网络门户(有时称为围墙花园)。 低于4.10.05095的AnyConnect SWG版本可能会尝试将此Web流量发送到Umbrella云,即使Internet访问不可用,也会阻止系统与强制网络门户进行本地交互。要通过身份验证、付款或点击式协议页面授予访问权限,可能需要此本地交互。
4.10.1之前的版05095
使用SWG时,对具有AnyConnect早期版本的强制网络门户的支持受到限制。强制网络门户的以下操作可能会使其无法访问SWG客户端:
- 重定向到RFC-1918专用IP地址空间外的目标或从其中加载资产。
- 接受端口80或443上Umbrella代理的TCP握手,然后关闭连接或提供意外响应。
作为解决方法,请在Umbrella Dashboard的Deployments —> Domain Management —> External Domains & IPs部分为无法加载的任何目标添加例外。强制网络门户行为特定于实施,因此所需的重定向域或IP地址因每个热点而异。
反馈