簡介
本文檔介紹如何配置Umbrella漫遊客戶端與BlueCoat Webfilter/K9之間的相容性。
概觀
本文介紹安裝了Umbrella漫遊客戶端和BlueCoat的電腦。本文介紹在電腦上安裝BlueCoat過濾代理的使用。這可能與PAC或代理組態相同。
AnyConnect中的Umbrella漫遊客戶端和Umbrella漫遊安全模組當前與嘗試控制DNS的BlueCoat軟體過濾不相容。
受影響的軟體:
- Cisco AnyConnect Umbrella漫遊安全模組
- Umbrella漫遊客戶端
症狀
AnyConnect漫遊模組和漫遊客戶端早於2.2.150
當漫遊客戶端或漫遊模組處於活動狀態時,所有DNS似乎均會失敗。這會導致機器上的可用性明顯下降,以及訪問Web資源的能力喪失。更具體地說,對A記錄的任何DNS請求都會失敗;但是,其他記錄型別(如AAAA或TXT)會成功。
解除安裝漫遊客戶端或暫時停止時,會返回正常的網路行為。
漫遊客戶端無法識別DNS故障,因為只有A記錄失敗,因此客戶端保持活動狀態並經過加密。
漫遊客戶端2.2.150及更高版本
當漫遊客戶端處於活動狀態時,該客戶端會使用消息故障切換到開啟狀態
「我們已經檢測到A和/或AAAA DNS查詢存在潛在干擾;系統中可能有一些軟體正在導致問題」
這是用於覆蓋A-Records但不修改TXT記錄的軟體的新檢測方法。我們會標籤此行為並禁用以防止丟失DNS。
疑難排解
要驗證您當前是否觀察到此問題,請確認以下情況為真:
- 這些情況會導致DNS失敗(或A記錄模式禁用)
- BlueCoat活動且:
- 漫遊客戶端或模組受到保護和加密
- 漫遊客戶端或模組受到保護且未加密
- 手動停用BlueCoat進程(未解除安裝)。 重定向處於活動狀態,但基礎代理處於離線狀態。
- 漫遊客戶端或模組受保護
- 漫遊客戶端已解除安裝或已停止
- 這些不會導致任何問題
- 未安裝BlueCoat的情況下漫遊客戶端或模組處於活動狀態(在重新啟動後)
- 已安裝BlueCoat Web過濾器,並且未運行漫遊客戶端
當DNS發生故障時,所有A記錄都會發生故障,但BlueCoat和功能仍不會將TXT記錄重新導向。
根本原因和解決方案
此相容性問題的根源是雙重的。
- BlueCoat軟體重定向了A記錄查詢(檢視網頁最常見的DNS記錄),以便只有其可以回答這些查詢。此DNS可以離開網路,但無法響應系統。漫遊客戶端無法覆蓋此內容。
- 漫遊客戶端通過檢查Umbrella解析程式唯一的TXT記錄響應來確定DNS可用性。由於BlueCoat不強制執行TXT記錄,因此漫遊客戶端的測試即使在所有A記錄開始失敗後仍繼續成功。此A記錄失敗和TXT記錄成功會導致漫遊客戶端保持加密,從而使BlueCoat軟體保持中斷狀態。
BlueCoat在系統中的低級別實施的選擇性DNS代理實施會導致與漫遊客戶端的直接相容問題。使用者的影響是DNS和基於DNS的Web瀏覽能力的喪失。
目前,唯一的解決方案是停止使用重新定向DNS的BlueCoat工作站軟體,而是使用基於Umbrella的內容限制。BlueCoat可以新增在將來禁用DNS強制的功能。
意見