問題
當Windows Dell筆記型電腦上運行思科安全客戶端 — Umbrella SWG代理服務時,使用者無法訪問任何網站。一旦Umbrella SWG代理服務停止,將恢復正常的Web訪問。思科安全客戶端版本5.1.14.145出現問題,該版本包括AnyConnect VPN和Umbrella模組。OrgInfo.json檔案存在於預期的目錄中,並且思科安全訪問根CA證書安裝在受信任的根證書儲存中。
環境
- 產品:Cisco Secure Client(AnyConnect VPN和Umbrella模組)
- 軟體版本:5.1.14.145
- 作業系統:Windows(戴爾筆記型電腦)
- Umbrella SWG代理服務已啟用/已禁用
%ProgramData%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json中存在OrgInfo.json- 安裝在受信任的根證書頒發機構儲存中的思科安全訪問根CA
- 在安全訪問控制面板中啟用了DNS/Web安全
- 已啟用解密的已分配安全配置檔案
解析
通過識別和更正客戶端裝置上的網路時間協定(NTP)同步失敗解決了此問題。無法同步時間會阻止Umbrella SWG代理代理代理代理網路流量所需的安全通訊,導致TCP重置(RST)資料包和Web訪問丟失。恢復NTP同步後,Web訪問在SWG代理活動的情況下正常運行。
請遵循此全面的故障排除工作流程。
第1步:驗證配置和前提條件
- 確保
OrgInfo.json位於%ProgramData%\Cisco\Cisco Secure Client\Umbrella\OrgInfo.json。 - 確認受信任的根證書頒發機構儲存中是否存在思科安全訪問根CA。
- 檢查是否已在安全訪問控制面板中啟用DNS/Web安全。
- 驗證分配的安全配置檔案是否已啟用「解密」。
第2步:捕獲和分析網路流量
獲取定向到SWG代理的客戶端流量的資料包捕獲,以識別異常行為,如意外的TCP重置資料包。
顯示問題的資料包捕獲說明:
The packet capture revealed that TCP reset (RST) packets were being sent to the client, disrupting the connection to the SWG proxy.
第4步:驗證外圍防火牆規則
- 檢查邊界防火牆規則,確保傳入和傳出SWG伺服器的流量在輸入介面上得到允許。
第5步:運行系統和協定診斷
在客戶端上執行此命令以檢查NTP同步錯誤:
curl ipinfo.io
診斷結果的描述:
The output indicated NTP timing was out of sync on the client device.
原因
根本原因是客戶端裝置上的NTP(網路時間協定)同步失敗。此計時問題阻止了客戶端和Umbrella SWG代理服務之間的安全通訊,導致TCP重置資料包和SWG代理服務處於活動狀態時丟失Web訪問。解決NTP同步問題恢復了Umbrella SWG代理的正常運行,從而允許安全地代理網路流量。
相關內容
意見