Umbrella虛擬裝置間歇性連線問題

問題

同一區域的兩個Umbrella虛擬裝置(VA)間歇性地從綠色狀態變為紅色。一個虛電路保持穩定，而另一個虛電路間歇性地斷開與Umbrella的連線

環境

• 技術：安全 — 網路保護

• 子技術：Umbrella — 虛擬裝置(VA)

• 在同一區域部署兩個Umbrella虛擬裝置

• 具有邊緣路由器配置的網路基礎設施

• 用於Internet訪問的ISP連線

解析

解決方案涉及識別並解決在埠5353上阻止UDP流量的網路級配置問題。採取了以下診斷和解決步驟：

已執行的診斷步驟

步驟 1:初始診斷資料收集

為兩個VA收集了Traceroute螢幕截圖和show-tech捆綁包，以比較它們的連線模式並確定問題的範圍。

步驟 2:網路連線測試

進行了防火牆和邊界邊緣路由器測試以驗證UDP埠5353的可達性，該埠始終為受影響的流量返回「未到達目的地」響應。

步驟 3:服務流程驗證

對show-tech捆綁包的分析確認umbrella-connector進程在受影響的VA上運行正常，這表明問題不是內部VA進程問題，而是網路連線問題。

步驟 4:ISP調查

已與Internet服務提供商立案調查UDP埠5353在網路級別的可達性問題。

根本原因識別和解決

根本原因確定為邊緣路由器配置上未啟用UDP埠5353。此網路級阻塞阻止受影響的VA通過UDP埠5353建立與Umbrella DNS服務的正確連線，而TCP埠443流量仍然不受影響。

步驟 5:邊緣路由器配置更正

邊緣路由器配置已更新為啟用UDP埠5353，從而允許Umbrella VA和Umbrella DNS-over-UDP端點之間的正確通訊。

原因

間歇性Umbrella虛擬裝置連線問題的根本原因是邊緣路由器上未啟用UDP埠5353的網路配置問題。此封鎖阻止受影響的VA建立與Umbrella服務的適當DNS-over-UDP連線，而連線埠443上的TCP流量仍然不受影響。此問題顯示為間歇性運行狀況檢查失敗，因為VA無法始終通過所需的UDP埠5353協定到達Umbrella DNS終結點。

相關內容

• 思科技術支援與下載