简介
本文档介绍Cisco Umbrella云交付防火墙(CDFW)/SL VPN隧道的已知限制。
概述
Umbrella的云交付防火墙(CDFW)提供防火墙服务,无需在每个站点部署、维护和升级物理或虚拟设备。Umbrella的CDFW还可为所有分支机构的互联网流量提供可视性与可控性。但是,CDFW存在一些已知限制。
说明
- 不支持通过CDFW隧道的IPSEC流量,但支持通过CDFW的SSL/TLS隧道。CDFW支持基于IPSec的SSL,但是,Umbrella会将其转发到SWG并丢弃该数据包。Umbrella计划构建一项功能,允许管理员通过目标IP地址绕过SWG。
- 每个隧道的吞吐量限制为每条隧道大约250 Mbps。
- CDFW不支持IP分段。
- 不支持将SWG PAC文件与CDFW一起使用。
- 仅支持TCP、UDP和ICMP。其他设备将被丢弃。*
*ICMP中的traceroute未通过Umbrella基础设施完全可见。
- NAT不支持针孔或入站(到分支机构)端口。因此,不支持主动FTP,仅支持被动FTP。也没有能力静态打开入站端口。
- 目前仅支持1个子SA。
- CDFW隧道中不支持路径MTU发现(PMTUD)。
- 如果多个设备发送到同一目的地,则可以丢弃ping。
反馈