簡介
本文描述如何在公司網路上禁用Umbrella漫遊客戶端(獨立客戶端和AnyConnect),並在公司網路上啟用該客戶端。
背景資訊
本文面向管理員。如果您不想在網路中退出漫遊客戶端,請在此處停止。
Umbrella protected networks功能專用於單個出口網路。對於有多個出口的任何網路,都需要備用功能。
如今,此功能作為可信網路域功能存在於生產中。請繼續閱讀,瞭解如何請求此功能以及您的網路需要什麼。
什麼是受信任網路域功能?
受信任網路逐域功能是禁用公司網路上的漫遊客戶端,但保持其啟用遠離網路的方法。啟用後,此功能:
- 禁用漫遊客戶端提供的DNS保護
- 停止除受信任網路域檢查之外的所有網路探測
IPv6行為,Windows與MacOS
- 在Windows上,域在IPv4和IPv6上查詢。關閉行為在每個網路堆疊上單獨處理。例如,如果域在IPv4上解析,而非IPv6上解析,則漫遊客戶端僅在IPv4上關閉,在IPv6上保持運行。如果您希望完全關閉客戶端,則必須解析IPv4 和IPv6查詢。
- 在MacOS上,域在IPv4和IPv6上查詢。與Windows不同,如果域在任一網路堆疊上解析,則漫遊客戶端將同時關閉IPv4和IPv6。
如何啟用此功能?
此功能現在在儀表板中控制。請參閱漫遊電腦設定。
- 所需的Umbrella禁用子域。此域必須:
- 具有解析為RFC-1918內部IP地址(用於IPv4)的A記錄
- 具有解析為RFC-4193 IPv6上的IP的AAAA記錄(如果使用IPv6)
- RFC-1918 IP通常像10.x.x.x、172.x.x.x或192.168.x.x
- RFC-4193 IPv6地址以「FD」開頭
- IP地址不必可訪問
- 必須是子域
- sub.domain.com — 很好!
- subdomain.com — 不好。
- 將網路解析為NXDOMAIN、NODATA或公共IP地址(因此在此情況下客戶端保持啟用狀態)
- 成為您控制的區域中的域,以確保您控制公共空間和本地空間
- 支援:
- Umbrella漫遊客戶端
- 僅AnyConnect Umbrella漫遊安全模組4.5 MR4+
如何在一台電腦上測試該功能?
要在Umbrella團隊全域性應用設定之前進行本地測試,請應用此覆蓋。
- 建立檔案「customer_network_probe.flag」
- 確保檔案不是.flag.txt
- 將所需的域放入檔案的內容中
- 將檔案放入:
- 漫遊客戶端
- Windows:%ProgramData\OpenDNS\ERC\
- AnyConnect
- Windows:%ProgramData%\Cisco\Cisco AnyConnect Security Mobility Client\Umbrella\data\
- 思科安全使用者端
- Windows:C:\ProgramData\Cisco\Cisco安全Client\Umbrella\data\
- macOS:/opt/cisco/secureclient/umbrella/data/
- 重新啟動漫遊客戶端
- 漫遊客戶端:Umbrella漫遊客戶端:手動禁用或重新啟動。
- AnyConnect:重新啟動父vpnagent AnyConnect服務
附註:MacOS漫遊客戶端,AnyConnect版本不支援此標誌。