تكوين إعادة توجيه DNS لموازن حمل F5 للوصول الآمن

خيارات التنزيل

PDF (236.1 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (80.0 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (64.5 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٢٠ مايو ٢٠٢٦

معرّف المستند:225950

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

لم يكن حل DNS يعمل عند إستخدام موازن حمل F5 كخادم العميل DNS أثناء Umbrella لتأمين ترحيل الوصول. عندما تصل طلبات DNS إلى IP الظاهري (VIP)، نجح موازن حمل F5 في إعادة توجيه الحزم إلى موجهات DNS الخلفية، ولكن أسماء المضيف لم يتم حلها على أجهزة نقاط النهاية. وقد نجح حل DNS بشكل جيد عند إستخدام جهاز ظاهري مباشرة كخادم DNS العميل، مما يشير إلى أن المشكلة كانت خاصة بتكوين موازن حمل F5.

كشفت عمليات التقاط الحزم عن إستخدام ردود DNS لعنوان IP الخاص بالجهاز الظاهري بدلا من عنوان VIP المتوقع الخاص ب F5. كان الكمبيوتر العميل يتوقع أن تأتي ردود DNS من عنوان VIP F5 ، ولكن بدلا من ذلك تلقى ردودا من عنوان IP الخاص بالجهاز الظاهري الخلفي.

البيئة

Cisco Umbrella لضمان بيئة ترحيل الوصول الآمن
موازن حمل F5 مع DNS موازنة حمل VIP مكون
موجهات DNS متعددة كخوادم خلفية
الأجهزة الظاهرية التي تعمل كخوادم DNS
نقاط نهاية العميل التي تتطلب تحليل DNS من خلال موازن التحميل

قرار

تم حل المشكلة من خلال تكوين موازن حمل F5 للعمل بشكل صحيح كوكيل بين أجهزة الكمبيوتر العميلة والأجهزة الظاهرية. تضمن تغيير التكوين الرئيسي تمكين ترجمة عنوان الشبكة المصدر (SNAT) باستخدام وظيفة الخريطة التلقائية.

الخطوات التشخيصية التي تم تنفيذها

الخطوة 1: التحقق من سلوك تحليل DNS

تم إختبار دقة DNS باستخدام كل من موازن حمل F5 VIP واتصالات الجهاز الظاهري المباشر لعزل المشكلة.

الخطوة 2: التقاط حركة مرور DNS وتحليلها

تم إجراء عمليات التقاط الحزم لتحليل طلب DNS وتدفق الاستجابة من خلال موازن حمل F5.

الخطوة 3: تحديد عدم تطابق عنوان المصدر

كشف التحليل عن أن ردود DNS احتوت على عنوان IP للجهاز الظاهري بدلا من عنوان VIP F5، مما تسبب في إرتباك العميل.

تغيير التكوين

الخطوة 1: تكوين موازن حمل Access F5

انتقل إلى واجهة إدارة موازن حمل F5 لتعديل تكوين DNS VIP.

الخطوة 2: تمكين الخريطة التلقائية ل SNAT

تكوين SNAT (ترجمة عنوان الشبكة المصدر) للتعيين التلقائي على موازن حمل F5. وهذا يضمن أن جهاز F5 يقوم بتوكيل طلبات DNS والاستجابات بشكل صحيح بين العملاء وخوادم DNS الخلفية.

الخطوة 3: التحقق من التكوين

بعد تنفيذ تكوين الخريطة التلقائية ل SNAT، بدأ تحليل DNS يعمل بشكل صحيح من خلال موازن حمل F5.

السبب

لم يكن السبب الجذري هو تكوين ترجمة عنوان الشبكة المصدر (SNAT) بشكل صحيح على موازن حمل F5. بدون تمكين التعيين التلقائي ل SNAT، لم يكن جهاز F5 يعمل بشكل صحيح كوكيل لحركة مرور DNS. وقد تسبب ذلك في إرسال استجابات DNS مباشرة من الأجهزة الظاهرية الخلفية إلى أجهزة الكمبيوتر العميلة، باستخدام عنوان IP الخاص بالجهاز الظاهري كمصدر بدلا من عنوان VIP المتوقع في F5. توقعت أجهزة كمبيوتر العميل أن تنشأ استجابات DNS من نفس عنوان IP الذي أرسلت إليه طلباتها (VIP F5)، ولكنها كانت تتلقى استجابات من عناوين IP مختلفة (الخوادم الخلفية)، مما تسبب في حدوث حالات فشل في تحليل DNS.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
2.0	20-May-2026	الإصدار الأولي
1.0	20-May-2026	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

أميت أرورا