简介
本文档介绍如何配置Umbrella漫游客户端和BlueCoat Webfilter/K9之间的兼容性。
概述
本文介绍安装了Umbrella漫游客户端和BlueCoat的计算机。本文介绍在计算机上安装BlueCoat过滤代理的用法。这可能与PAC或代理配置一致。
AnyConnect中的Umbrella漫游客户端和Umbrella漫游安全模块当前与尝试控制DNS的基于BlueCoat软件的过滤不兼容。
受影响的软件:
- Cisco AnyConnect Umbrella漫游安全模块
- Umbrella漫游客户端
症状
早于2.2.150的AnyConnect漫游模块和漫游客户端
当漫游客户端或漫游模块处于活动状态时,所有DNS似乎均会失败。这显然会导致机器上可用性的损失以及访问Web资源的能力的丧失。更具体地说,向A记录的任何DNS请求都会失败;但是,其他记录类型(如AAAA或TXT)会成功。
卸载或暂时停止漫游客户端后,网络行为将恢复正常。
漫游客户端无法识别DNS故障,因为只有A记录失败,因此客户端保持活动状态并加密。
漫游客户端2.2.150及更高版本
当漫游客户端处于活动状态时,客户端会随消息故障切换到打开状态
“我们检测到A和/或AAAA DNS查询存在潜在干扰;系统中可能有一些软件导致问题”
这是用于覆盖A-Records但不修改TXT记录的软件的新检测方法。我们标记此行为并禁用以防止DNS丢失。
故障排除
要验证您当前是否关注此问题,请确认以下情况正确:
- 这些情况会导致DNS失败(或A记录模式禁用)
- BlueCoat活动且:
- 漫游客户端或模块受到保护和加密
- 漫游客户端或模块受到保护且未加密
- 手动终止(未卸载)BlueCoat进程。 重定向处于活动状态,但基础代理处于脱机状态。
- 这些不会导致任何问题
- 未安装BlueCoat的漫游客户端或模块处于活动状态(在重新启动后)
- 已安装BlueCoat Web过滤器,且未运行漫游客户端
当DNS发生故障时,所有A记录都会发生故障,但TXT记录仍然无法由BlueCoat和功能进行重定向。
根本原因和解决方案
此兼容性问题的根源是双重的。
- BlueCoat软件会重定向A记录查询(查看网页的最常见DNS记录),以便只有它可以应答这些查询。此DNS可以离开网络,但无法响应系统。漫游客户端无法覆盖此内容。
- 漫游客户端通过检查Umbrella解析程序唯一的TXT记录响应来确定DNS可用性。由于BlueCoat不实施TXT记录,即使所有A记录开始失败,漫游客户端的测试仍会成功。此A记录失败和TXT记录成功会导致漫游客户端保持加密,从而通过BlueCoat软件有效保持中断状态。
BlueCoat在系统中的低级别选择性执行DNS代理会导致与漫游客户端的直接兼容问题。对用户的影响是DNS和基于DNS的Web浏览功能的丧失。
目前,唯一的解决方案是停止使用重定向DNS的BlueCoat工作站软件,转而使用基于Umbrella的内容限制。BlueCoat可以添加在将来禁用DNS实施的功能。
反馈