簡介
本文檔介紹如何排除通過啟用AnyConnect SWG模組的強制網路門戶連線到熱點的故障。
問題
具有AnyConnect安全Web網關(SWG)模組的使用者可能在某些公共熱點位置登入時遇到問題。
用於進一步故障排除的修復和建議
確保您使用的是AnyConnect版本4.10.05095(4.10MR5)。 本版本解決了有關強制網路門戶的問題。
但是,如果升級到4.10.05095後問題仍然存在,請聯絡Umbrella支援。
為了加快支援過程,我們要求客戶在聯絡Umbrella支援部門之前完成這些步驟並收集請求的日誌。
- 我們請求客戶配置其終端上安裝的所有安全代理,以排除AnyConnect二進位制檔案和連線,從而避免策略衝突。因此,需要相應地配置TrendMicro和/或任何其他安全代理。
請參閱AnyConnect發行說明中的相關片段,並確保相應地制定AnyConnect的例外情況。
- 在瀏覽器中同時訪問HTTP(,例如http:)和HTTPS(
- 如果問題仍然存在,請收集DART捆綁包(啟用最大調試)、PCAP檔案(包括環回)和螢幕錄製(可選)以進行進一步調查。
為AnyConnect配置防病毒應用程式
防病毒、反惡意軟體和入侵防禦系統(IPS)等應用程式可能會將AnyConnect安全移動客戶端應用程式的行為誤解為惡意行為。您可以配置例外以避免此類誤讀。在安裝AnyConnect模組或軟體包後,將防病毒軟體配置為允許AnyConnect安裝資料夾或AnyConnect應用程式的安全例外。列出了要排除的常用目錄,但清單可能不完整:
- C:\Users<user>\AppData\Local\Cisco
- C:\ProgramData\Cisco
- C:\Program檔案(x86)\Cisco
詳細資料
強制網路門戶問題可能由CSCwb39828 「Captive Portal page not open when SWG enabled for both fail open/fail close」引起。 升級到AnyConnect 4.10.05095 後後,無需進行其他配置或使用者互動。
某些無線熱點和其他訪客網路會中斷Internet訪問,並將Web流量重定向到強制網路門戶(有時稱為圍牆花園)。 4.10.05095之前的AnyConnect SWG版本可能會嘗試將此Web流量傳送到Umbrella雲,即使Internet訪問不可用,這樣會阻止系統與強制網路門戶進行本地互動。要通過身份驗證、付款或點選式協定頁面授予訪問許可權,可能需要此本地互動。
4.10.1之前的版05095
使用SWG時,對具有AnyConnect早期版本的強制網路門戶的支援受到限制。強制網路門戶的以下操作可能會使其無法訪問SWG客戶端:
- 重定向到RFC-1918專用IP地址空間以外的目標或從其中載入資產。
- 接受埠80或443上Umbrella代理的TCP握手,然後關閉連線或提供意外響應。
作為解決方法,為無法載入的任何目標在Umbrella控制面板的Deployments —> Domain Management —> External Domains & IPs部分中新增異常。強制網路門戶行為特定於實施,因此所需的重定向域或IP地址因每個熱點而異。
意見