排除Meraki MX内容过滤和Umbrella之间的不兼容问题

简介

本文档介绍如何解决Meraki MX内容过滤和Umbrella之间的不兼容问题。

问题

使用由Cisco Talos支持的Meraki MX内容过滤时，客户可能会遇到某些Umbrella DNS过滤功能不一致的问题。  

• 块页面不正确（未应用自定义块页面）
• 未显示阻止页面绕行功能
• 使用智能代理的站点出现“401 Unauthorized”错误
• Policy-Debug测试显示组织/来源ID/捆绑包ID不正确

解决方案

使用Meraki控制面板上的“允许URL”列表从Meraki MX内容过滤功能中排除此域。

id.opendns.com

内容过滤在Meraki控制面板上的以下位置进行配置：

• 在Security & SD-WAN > Content Filtering（全局设置）中
• 在Network-wide > Group policies（可分配给用户或SSID的策略）中

21399526244628

或者，完全禁用Meraki内容过滤（删除所有类别块）以仅使用Umbrella过滤。

根本原因

当流量首次到达我们的阻止页面登录程序、智能代理或策略调试站点时，Cisco Umbrella使用全局唯一重定向到http://*.id.opendns.com。  生成全局唯一DNS查找需要此重定向。  这种唯一的DNS允许我们在DNS层对流量进行身份验证，进而确定正确的用户/设备/网络身份。

Meraki MX内容过滤执行自己的信誉检查。当访问http://*.id.opendns.com时，Meraki MX内容过滤可以为同一域生成重复的DNS查找，从而中断此身份验证过程。因此，Cisco Umbrella无法确定正确的用户/设备/网络身份。

此问题不会阻止Cisco Umbrella实施内容/安全阻止，但会阻止显示正确的阻止页面文本/徽标/自定义。

其他原因

此行为也可能会通过内部HTTP Web代理或Web过滤器导致。将Umbrella DNS与HTTP代理结合使用需要执行强制配置步骤。

示例：  策略调试

当https://policy-debug.checkumbrella.com/上的信息显示不正确的组织ID时，就可以看出此问题。ID可以显示为“0”、“2”或与预期组织不关联的ID。

[GENERAL]
Org ID: 0. <<<<<. Incorrect Org ID
Bundle ID: XXXX
Origin ID: XXXX
Other origins: 
Host: policy-debug.checkumbrella.com
Internal IP: x.x.x.x
Time: Fri, 29 Sep 2023 16:16:22.182335 UTC 

示例：  智能代理

此问题的一个迹象是，即使客户获得了智能代理的许可，Iproxy服务器仍会为某些站点(包括http://proxy.opendnstest.com)返回意外的“401”。从服务器返回错误。

注意：智能代理仅用于具有“灰色”或可疑声誉的某些站点，因此问题仅出现在特定环境中。

示例：  阻止页面

此问题的一个迹象是，阻止页面不显示任何组织特定的定制。阻止页面仍然显示，但包含默认的“Cisco Umbrella”品牌而不是自定义徽标/文本。缺少阻止页面绕过用户/代码。

21399518458644