أستكشاف أخطاء استعلامات AnyConnect DNS وإصلاحها إلى mus.cisco.com

المقدمة

يصف هذا المستند سلوك الوحدة النمطية AnyConnect VPN Core عند استعلامه عن اسم المجال المؤهل بالكامل (FQDN) mus.cisco.com في سيناريوهات محددة. يحدث هذا الاستعلام عندما يحاول عميل AnyConnect تحديد ما إذا كانت نقطة النهاية تحتوي على وصول إلى الإنترنت وما من شبكة VPN قيد الاستخدام.

تمت المساهمة بواسطة بيتر جيانغ، شركة Cisco BU.

تمت المساهمة بواسطة ستيف سارجنت، المسؤول الفني ل Cisco BU.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تثبيت وحدة AnyConnect النمطية.
• إنشاء حزمة أداة التشخيص وإعداد التقارير (DART) من AnyConnect.
• التقاط sniffer ل Wireshark.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• وحدة VPN الأساسية من AnyConnect، الإصدار 4.8.03052
• Windows 10 Enterprise 10.0.18363 Build 18363

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

هذا وثيقة يستطيع أيضا كنت استعملت مع هذا جهاز وبرمجية صيغة:

• أي نظام تشغيل (MacOS، Windows، Linux).
• أي إصدار من AnyConnect قبل 4.10.

معلومات أساسية

من المتوقع وجود استعلامات AnyConnect إلى mus.cisco.com حسب التصميم.

ملاحظة: يوجد عيب في تحسين هذا السلوك. معرف تصحيح الأخطاء من Cisco CSCvu39643. يجب عدم إجراء الاستعلامات إلى mus.cisco.com من لب الشبكة الخاصة الظاهرية (VPN) إذا لم يتم إستخدام وحدة VPN النمطية.

المشكلة

عندما لا تكون الوحدة النمطية الأساسية ل AnyConnect VPN قيد الاستخدام (لا يتم تكوين ملف تعريف XML لاتصالات VPN)، يتم إنشاء الاستعلامات إلى mus.cisco.com كل 15 ثانية.

الحل 1

قم بإضافة إدخال "نظام اسم المجال (DNS)" على خادم DNS، لحل استعلامات الأسماء إلى mus.cisco.com. إذا لم تقم بإدارة خادم DNS، فأعد توجيه هذه الطلبات إلى خادم DNS عام.

بمجرد أن يصبح mus.cisco.com FQDN قابلا للحل، يقوم AnyConnect بوقف محاولة الاستعلام.

الحل 2

قم بإضافة إدخال DNS إلى ملف مضيفي النظام التشغيلي (OS) لحل FQDN mus.cisco.com.

استعلامات AnyConnect إلى mus.cisco.com

التكوين

تثبيت الوحدة النمطية الأساسية ل AnyConnect VPN.

الرسم التخطيطي للشبكة

******************************************
Date : 06/17/2020
Time : 20:21:57
Type : Warning
Source : acvpnagent
Description : Function : CDNSRequest::OnSocketReadComplete
File: c:\temp\build\thehoff\negasonic_mr30.297045120452\negasonic_mr3\vpn\common\ip\dnsrequesct.cpp
Line: 1147
Timeout (per request) while trying to resolve [A] query mus.cisco.com via DNS server 10.88.240.69 (timeout interval = 10 sec)
******************************************

استكشاف الأخطاء وإصلاحها

لتأكيد العملية المناسبة، يمكنك تمكين التقاط حزمة على واجهة مخرج نقطة النهاية باستخدام Wireshark.

على واجهة المستخدم الرسومية (GUI) من AnyConnect زبون، الرسالة خطأ شبكة. يتعذر البحث عن أسماء المضيفين" معروض (كما هو موضح في الصورة).

عند تطبيق أي من الحلول البديلة، يمكنك أيضا التقاط حزمة على Wireshark واستخدام عامل تصفية DNS لتأكيد الاستعلامات الثابتة على mus.cisco.com:

على واجهة واجهة المستخدم الرسومية (GUI) الخاصة بعميل AnyConnect، يتم عرض الرسالة جاهز للاتصال" (كما هو موضح في الصورة).

تلميح: حتى إذا لم تكن ترى الوحدة النمطية الأساسية ل AnyConnect VPN على واجهة واجهة المستخدم الرسومية (GUI)، فإنها لا تعني أن الوحدة النمطية الأساسية لشبكة VPN ليست قيد التشغيل، ابحث عن الملف VPNDisable_ServiceProfile.xml أسفل الدليل "C:\programdata\cisco على Windows"، و "/opt/cisco/anyconnect/profile" على أجهزة Apple. هذا غير مدعوم على لينوكس.