瞭解Umbrella漫遊客戶端的雙堆疊IPv6網路配置
目錄
簡介
本文檔介紹對Umbrella漫遊客戶端的支援,特別是對雙堆疊IPv6網路配置的支援。
概觀
目前,Umbrella漫遊客戶端預設支援macOS(漫遊客戶端2.1.x+)和Windows(客戶端版本2.2.x+)的僅IPv4和雙堆疊網路配置,方法是在控制面板的漫遊客戶端頁面上切換IPv6重定向切換。
目前尚不支援Mac和Windows作業系統上僅支援IPv6的網路。
自4.8.0版起,AnyConnect漫遊安全模組可獲得IPv6重定向支02042。
IPv4重新導向
漫遊客戶端的IPv4 DNS重定向功能保持不變。DNS仍被覆蓋到127.0.0.1,將DNS重定向到漫遊客戶端的DNS加密代理。
Flow:
127.0.0.1:53 -> 208.67.222.222 / 208.67.220.220 ports UDP 443 Encrypted UDP 53 Unencrypted
IPv6重新導向
2.2.x版中新增的IPv6元件是對漫遊客戶端的新增元件。此更改顯示在客戶端的後端以及更新的使用者介面托盤上。
有何新內容?查詢IPv6狀態。預設情況下,此值為「未啟用」。 如果從控制面板啟用IPv6重定向,Umbrella的新IPv6重定向將啟用。處於活動狀態時,IPv6的DNS會被::1覆蓋
IPv6保護具有其自己的獨立狀態,即「受保護」和「已加密」、「受保護」和「未加密」、「未保護」以及其他狀態。此狀態反映在更新的GUI上。
IPv6重定向獨立於IPv4覆蓋。
Flow:
::1:53 -> 2620:119:53::53 / 2620:119:35::3 ports UDP 443 Encrypted UDP 53 Unencrypted
標準操作
漫遊客戶端在每個網路狀態更改和定期的循環間隔(當前為10秒)上測試Umbrella解析程式的可用性。 如果DNS可以通過DNS代理訪問,則客戶端會進入通過測試的網際網路協定版本的保護模式。啟用IPv6後,每個協定每10秒將發生一次DNS連線確認資料包。
當兩種協定都處於活動狀態時,DNS將視為:
::1 127.0.0.1
功能圖表
|
客戶端/功能:DNS覆蓋 |
IPv4內部到IPv4外部 |
IPv4內部到雙堆疊外部 |
IPv4內部到外部的雙堆疊 |
內部雙堆疊到外部雙堆疊 |
IPv6內部到外部的雙堆疊 |
IPv6內部到雙堆疊外部 |
IPv6內部到IPv6外部 |
|
篩選:獨立漫遊客戶端(Win/macOS) |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
|
篩選:AnyConnect漫遊安全模組4.8 MR2+ |
✔ | ✔ | ✔ | ✔ | ✔ | ✘ | ✘ |
附註:內部DNS永遠不會受IPv6的影響。不受支援的方案允許繞過DNS和內部DNS。場景基於IPv4和IPv6 DNS設定的存在。內部網路可以具有IPv6地址而不使用IPv6 DNS伺服器,並且根據此圖表可以將其視為IPv4網路。
常見問題
Umbrella是否支援阻止AAAA請求(使用IPv4)?
是,通過IPv4接收的阻塞域的AAAA查詢返回塊頁的IPv4對映IPv6地址。
Umbrella是否支援IPv6阻止頁面,或者更常見的是阻止IPv6請求?
確實無法通過IPv6訪問阻止頁面,但是「阻止IPv6請求」的用詞有點不當。 Umbrella允許或阻止既不是IPv4地址也不是IPv6地址的域。Umbrella DNS服務將域解析為IPv4或IPv6地址。當Umbrella阻止某些內容時,它返回A查詢的IPv4地址或AAAA查詢的IPv4對映的IPv6地址。返回的IP地址是用於Umbrella塊頁的IP地址,而不是域。
在任何一種情況下,返回的IP位址僅可透過IPv4存取,因此使用者端必須至少具備IPv4能力才能後續連線。
當請求通過Umbrella智慧代理代理代理時,情況基本相同。通過IPv4接收的灰色清單域的AAAA請求返回代理的IPv4對映IPv6地址。使用者端必須具備IPv4功能,才能後續連線到Proxy。
如果允許IPv6 AAAA請求,Umbrella會記錄該請求嗎?
是的,如果請求來自註冊身份或身份,Umbrella會記錄該請求。還必須註冊具有IPv6地址的網路以記錄到報告。漫遊客戶端或其他身份型別也是如此。
等等,我可以向Umbrella註冊IPv6網路嗎?
是!請成為我們的客人並註冊。
在具有IPv6 DNS伺服器的雙協定棧網路中,是否有任何預期情況無法按預期應用覆蓋範圍?
會。如果Umbrella IPv4解析器無法訪問,則未保護IPv4繫結DNS。如果無法訪問Umbrella IPv6解析程式,則未保護IPv6繫結的DNS。由於網路限制,可以取消對其中一個或兩個重定向的保護。有關示例場景,請參見下一個問題。
如果我有可訪問的IPv6 DNS伺服器,但Umbrella IPv6解析器不可訪問,該怎麼辦?客戶端能否保留保護?
Windows:由於IPv6上無法訪問Umbrella,IPv6保護保持離線狀態。傳送到IPv6本地解析程式的DNS在客戶端外部被正常解析。由於我們的IPv4公共DNS解析程式可用 — 傳送到IPv4 DNS堆疊的任何DNS都受Umbrella保護。因此,通過IPv6傳送的DNS不受保護,而傳送到IPv4的DNS受保護。該欄位中的一個示例是具有IPv6 DNS伺服器的移動熱點,但無法通過IPv6訪問我們的解析程式。
如果我的網路介面具有一些本地僅使用的IPv6 DNS伺服器(如「fec0:...」),該怎麼辦?...."
Windows:自版本2.2.109起,這可能會導致一些不一致的行為。這將在我們的下一版本中解決,漫遊客戶端不會處理此問題。
客戶端的IPv4狀態是否與IPv6狀態互動?
Windows:不能。它們是完全獨立的狀態,取決於網路可用性和每種協定的DNS伺服器的存在。
如果Umbrella只能在IPv4上訪問,但電腦位於啟用IPv6的網路上,是否可以將IPv6 DNS重定向到IPv4 DNS伺服器?
Windows:否。客戶端僅將DNS傳送到IPv6解析器以進行IPv6 DNS重定向(如果可用)。IPv6繫結的DNS未傳送到IPv4解析器,因此無法接收策略。
MacOS與Windows是否有區別?
會。macOS為IPv6和IPv4 DNS提供了一個中央儲存位置,我們相應地為本地DNS訂購儲存。與Windows不同,DNS繼續流經到macOS上的127.0.0.1。
如果位於用於IPv4 DNS的VA後面的網路上,IPv6元件是否也可以在虛擬裝置後面禁用?
此時在VA支援IPv6之前不會發生。漫遊客戶端的IPv6重定向元件將保持活動狀態、已加密並受IPv6繫結DNS請求保護。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
09-Sep-2025
|
初始版本 |
意見