瞭解Umbrella漫遊客戶端和F5 VPN相容性

簡介

本檔案介紹Cisco Umbrella漫遊使用者端和F5 VPN之間的相容性。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco Umbrella漫遊使用者端。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

簡介

Umbrella漫遊客戶端可用於各種網路和軟體配置。本文記錄與F5 VPN客戶端的所有已知相容性主題。本文從當前的預期檢測行為開始，然後討論F5 VPN特定的相容性說明。

Umbrella客戶端已實施自動檢測機制來響應VPN更改，以確保維持DNS功能。這可能導致客戶端在VPN連線時暫時處於未保護狀態。有關詳細資訊，請參閱使用Umbrella漫遊客戶端的第三方VPN檢測試探性文章。

F5 VPN相容性

在許多配置中，F5 VPN通過將VPN DNS地址插入非VPN NIC來發揮作用，方法是將VPN伺服器預掛到NIC的DNS。因此，對於x.x.x.x的本地DNS配置和y.y.y.y的VPN配置，結果為y.y.y.y， x.x.x.x。 

使用Umbrella漫遊客戶端時，這將覆蓋放置的127.0.0.1。為了確保F5 VPN不會受到無盡的更改環路的損害，如果127.0.0.1位於DNS清單末尾或快速從127.0.0.1更改回原來的位置，Umbrella會停止重新定向。 

在大多數情況下，Umbrella建議使用Umbrella漫遊安全模組，該模組是AnyConnect漫遊安全客戶端的一部分。無需部署VPN（可以在安裝時將其從使用者的顯示中刪除）。

此時的F5相容性定義為具有全功能本地和公共DNS的F5 VPN連線成功。這可能是漫遊客戶端正常回退到未保護狀態的結果。請通過為Cisco Umbrella配置網路來確保使用F5時您的網路覆蓋已到位。

BigIP F5 VPN使用者端

BigIP F5邊緣客戶端是目前最常見的F5 VPN客戶端。但是，在許多部署中，它正被新的F5客戶端取代。  本文討論與F5 BigIP客戶端的所有已知互操作性問題。

F5 DNS中繼代理

在啟用F5 DNS中繼代理服務的配置中，漫遊客戶端與VPN客戶端2.2+不相容。已知此中繼代理在拆分DNS模式和基於DNS的拆分隧道模式下啟用。F5不能與通過漫遊客戶端定義的DNS名稱一起使用要此時對F5和漫遊客戶端使用拆分隧道，請使用基於IP的分割隧道而不是基於DNS的分割隧道。此外，某些配置和版本可能會導致Umbrella被覆蓋，儘管啟用DNS中繼代理時顯示為綠色。

查詢拆分DNS或基於DNS的拆分隧道設定

F5 VPN Split Tunneling with split-dns以「DNS Address Space」設定的形式顯示。啟用時，這將啟動F5自己的DNS代理，該代理與漫遊客戶端衝突。症狀是在漫遊客戶端和VPN均處於活動狀態時解析A記錄失敗。檢視以下螢幕截圖瞭解工作配置：

最常見的斷開設定是「*」。 有關此功能的詳細資訊，請參閱以下F5 KB文章： Overview of the Windows DNS Relay Proxy service。

此功能最常用於基於DNS的分割隧道。目前，使用F5的基於DNS的分割隧道與Umbrella漫遊客戶端不相容，此處記錄的配置要求不啟動F5 DNS代理。

如今，永久解決方案可以以AnyConnect漫遊安全模組（包括在您的Umbrella DNS許可證中）的形式存在。 從長遠來看，Umbrella旨在增加對這些附加DNS模式的支援。但是，由於使用F5 DNS代理，支援可能仍然有限。

在某些情況下，這表現為一個F5 DNS代理，其中DNS流到F5，儘管漫遊客戶端顯示受保護且已加密。到welcome.umbrella.com的測試頁可能會失敗（除非網路上使用Umbrella），並且由於被攔截，漫遊客戶端無法用於DNS。漫遊客戶端功能完全正常，可以報告受保護的狀態，但不能從系統接收DNS。在這種情況下，您需要停止「F5 DNS Relay Proxy」服務(F5FltSrv.exe)以檢視它是否有所幫助。

新建F5客戶端

最近，可以使用新的F5 VPN客戶端部署許多F5部署。Cisco Umbrella團隊關於此新客戶端的資訊有限。但是，Big-IP F5客戶端存在的任何條件也可應用到新的F5客戶端。