对mus.cisco.com的AnyConnect DNS查询进行故障排除

简介

本文档介绍Anyconnect VPN核心模块在特定情况下查询完全限定域名(FQDN)mus.cisco.com时的行为。当AnyConnect客户端尝试确定终端是否具有互联网访问并且没有VPN正在使用时，会发生此查询。

作者：Peter Giang，思科业务部。

作者：Steve Sargent，思科BU技术主管。

先决条件

要求

Cisco 建议您了解以下主题：

• AnyConnect模块安装。
• 创建AnyConnect诊断和报告工具(DART)捆绑包。
• Wireshark嗅探器捕获。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Anyconnect核心VPN模块版本4.8.03052
• Windows 10企业版10.0.18363版18363

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

本文档也可用于以下硬件和软件版本：

• 任何操作系统(MacOS、Windows、Linux)。
• 4.10之前的任何AnyConnect版本。

背景信息

设计时需要向mus.cisco.com查询AnyConnect。

注：此行为存在增强缺陷。思科漏洞ID CSCvu39643。如果未使用VPN模块，则不能执行从VPN核心到mus.cisco.com的查询。

问题

当AnyConnect VPN核心模块未使用时（没有为VPN连接配置XML配置文件），每15秒生成对mus.cisco.com的查询。

解决方案 1

在DNS服务器上添加域名系统(DNS)条目，以将域名查询解析为mus.cisco.com。如果不管理DNS服务器，请将此类请求转发到公共DNS服务器。

一旦能够解析mus.cisco.com FQDN，AnyConnect将停止查询尝试。

解决方案 2

将DNS条目添加到操作系统(OS)主机文件，以解析FQDN mus.cisco.com。

AnyConnect查询mus.cisco.com

配置

AnyConnect VPN核心模块的安装。

网络图

******************************************
Date : 06/17/2020
Time : 20:21:57
Type : Warning
Source : acvpnagent
Description : Function : CDNSRequest::OnSocketReadComplete
File: c:\temp\build\thehoff\negasonic_mr30.297045120452\negasonic_mr3\vpn\common\ip\dnsrequesct.cpp
Line: 1147
Timeout (per request) while trying to resolve [A] query mus.cisco.com via DNS server 10.88.240.69 (timeout interval = 10 sec)
******************************************

故障排除

为了确认正确操作，您可以使用Wireshark在终端的出口接口上启用数据包捕获。

在AnyConnect客户端的图形用户界面(GUI)上，显示消息“Network error(网络错误)”。显示“无法查找主机名”（如图所示）。

当应用任何解决方法时，您也可以在Wireshark上捕获数据包，并使用DNS过滤器确认对mus.cisco.com的常量查询：

在AnyConnect客户端的GUI界面上，将显示消息“Ready to connect”（如图所示）。

提示：即使您未在GUI界面上看到AnyConnect VPN核心模块，也不意味着vpn核心模块未运行，请在“C:\programdata\cisco on Windows”目录下搜索VPNDisable_ServiceProfile.xml文件，并在Apple设备上搜索“/opt/cisco/anyconnect/profile”。在Linux上不支持此功能。