نشر DNS Umbrella لمسؤولي Aruba WLAN

المقدمة

يوضح هذا المستند كيفية نشر خدمة Umbrella DNS لمسؤولي Aruba WLAN.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

تتضمن Aruba Networks خطوط منتجات الشبكات المحلية اللاسلكية (WLAN) وأنظمة التشغيل هذه للأجزاء المختلفة من السوق وسيناريوهات النشر:

• نظام التشغيل ArubaOS:  للمؤسسات الكبيرة وعمليات النشر عالية الكثافة
• نظام التشغيل Aruba Instant / InstantOS:  للشركات صغيرة إلى متوسطة الحجم والشركات الموزعة
• تقنية Aruba Instant ON:  لمستخدمي المنازل والمكاتب الصغيرة

تقدم هذه المقالة إرشادات لمسؤولي Aruba WLAN لاعتماد خدمة DNS Umbrella ونشرها.

طرق النشر

تعتمد طرق النشر على نظام تشغيل Aruba وكيف تخطط لاستخدام Umbrella.

إذا قمت بتشغيل أي من أنظمة تشغيل Aruba الثلاثة المذكورة سابقا، يمكنك بدء نشر Umbrella DNS من خلال مراجعة دليل مستخدم Umbrella. وتتوفر أيضا برامج فيديو تعليمية.

إذا قمت بتشغيل Aruba Instant، فسيكون لديك خيار إضافي لاستخدام دمج جهاز شبكة Umbrella المتاح في InstantOS. ومع ذلك، يرجى ملاحظة أنه إذا أخترت هذا الخيار، لا يمكنك رؤية عناوين IP الداخلية/الخاصة للعملاء اللاسلكي على الشبكة المحلية اللاسلكية في إعداد تقارير Umbrella، مثل تقرير البحث عن النشاط. تخطط استعلامات DNS من العملاء إلى هويات أجهزة شبكة AP الفورية في Umbrella، ولا تتوفر معلومات حول العملاء الفرديين. من منظور Umbrella Cloud، يمكن أن تظهر استعلامات DNS من مجموعات نقاط الوصول الفورية بدلا من عملاء Wi-Fi.

على هذا النحو، إذا كان لديك متطلب لتتبع استعلامات DNS الخاصة بالعملاء الأفراد أو لتخصيص سياسات DNS للعملاء الأفراد على شبكة WLAN، فيمكنك نشر Umbrella من خلال الطرق القياسية الموضحة في دليل مستخدم Umbrella DNS (بدون إستخدام تكامل جهاز الشبكة من خلال Aruba Instant)، والنظر في تضمين الأجهزة الظاهرية Umbrella في خطط نشرها.

4403300507924

تكامل أروبا الفوري

يمكن أن يكون تكامل أجهزة شبكة Aruba Instant's (OpenDNS) مفيدا في البيئات التي يخضع فيها جميع عملاء Wi-Fi المتصلين بمجموعة AP فورية لسياسة DNS Umbrella الفردية، وحيث لا تكون هناك حاجة إلى مراجعة استعلامات DNS الخاصة بالعملاء الأفراد في تقارير Umbrella. يشرح هذا القسم كيفية إعداد التكامل.

ملاحظة: يستخدم الدمج إصدارا قديما من واجهة برمجة تطبيقات أجهزة شبكة Umbrella. لا يتطلب الإصدار القديم من العملاء إنشاء رموز API المميزة من لوحات معلومات Umbrella الخاصة بهم، ولكن الإصدارات الأحدث تتطلب ذلك.

وصلت واجهات برمجة التطبيقات القديمة Umbrella Legacy API إلى نهاية العمر في 2023-09-01، وبعد ذلك لم يعد يتم توفير دعم للتكامل. إذا واجهت أي مشكلة في التكامل بعد 2023-09-01، يرجى إكمال قسم "البدء" في دليل النشر لنشر Umbrella بدون إستخدام التكامل.

يلزم الوفاء بهذه المتطلبات من أجل إستخدام الدمج:

• تحتاج نقاط الوصول إلى تشغيل الإصدار 8.10.0.1 من InstantOS أو إصدار أحدث (اعتبارا من مايو 2022).
• يحتاج حساب لوحة معلومات Umbrella المستخدم للتكامل إلى دور المسؤول الكامل.
• لا يمكن إقران عنوان البريد الإلكتروني للحساب بأكثر من لوحة معلومات Umbrella واحدة. إذا لم تكن متأكدا من أن عنوان البريد الإلكتروني مرتبط فقط بلوحة معلومات واحدة، فيمكنك الاتصال بدعم Cisco Umbrella للتحقق.
• لا يمكن تمكين تسجيل الدخول الأحادي (SSO) والمصادقة ثنائية العوامل (2FA) للحساب.
• إذا كان هناك جهاز أمان شبكة (مثل جدار الحماية) بين نقاط الوصول (APs) والإنترنت، فيجب على الجهاز السماح بالاتصالات غير المصفاة وغير الخاضعة للفحص إلى 208.67.220.220 و 208.67.222.222 و 67.215.92.210 و 146.112.255.152/29 (.152 ~ 159).

التكوين

على مستوى عال، هناك أربع خطوات تكوين لتمكين التكامل:

1. قم بتعيين اسم لمجموعة نقاط الوصول (AP)

2. إدخال بيانات اعتماد الحساب

3. اعتراض استعلامات DNS

4. تطبيق نهج DNS

تعيين اسم لنظام مجموعة AP

عندما يقوم نظام مجموعة فوري بتسجيل نفسه بنجاح في لوحة معلومات Umbrella للمرة الأولى، تتم إضافة إدخال جهاز شبكة إلى لوحة معلومات Umbrella ضمن عمليات النشر > أجهزة الشبكة. يأتي اسم الجهاز الخاص بالإدخال الجديد من اسم النظام الذي تم تكوينه على وحدة التحكم الافتراضية الخاصة بالمجموعة.

لتعيين اسم النظام على وحدة تحكم افتراضية فورية، انتقل إلى التكوين > النظام.

4404011628308

لاحظ أنه يتم نسخ قيمة الاسم مرة واحدة فقط أثناء التسجيل الأولي. إذا تم تغيير اسم نظام/جهاز على جانب "الفورية" أو "المظلة" بعد ذلك، يجب تحديث الاسم يدويا على الجانب الآخر.

إدخال بيانات اعتماد الحساب

في حالة تلبية المتطلبات المدرجة في قسم المتطلبات الأساسية، يمكنك إضافة نظام مجموعة فورية إلى لوحة معلومات Umbrella كجهاز شبكة. للقيام بذلك من وحدة التحكم الافتراضية لنظام المجموعة:

1. انتقل إلى التكوين > الخدمات > OpenDNS.

2. أدخل بيانات اعتماد تسجيل الدخول لحساب Umbrella.

3. حدد حفظ.

4404019266196

إذا اتصلت وحدة التحكم الظاهرية (VC) بنجاح ب Umbrella، فيمكنك رؤية حالة اتصال عند التنقل إلى الدعم وتشغيل الأمر show openDNS configuration and status (show openDNS support).

يمكنك أيضا رؤية معرف الجهاز، والذي يتم إنشاؤه بواسطة Umbrella عند إنشاء جهاز شبكة جديد وحفظه في تكوين VC الفوري. والجزء الأخير مهم. ونظرا لأن كل نظام مجموعة فوري يحتاج إلى معرف فريد لجهاز شبكة Umbrella، فيجب عدم نسخ معرف الجهاز من تكوين نظام مجموعة إلى آخر. يحتوي معرف الجهاز الصالح بشكل نموذجي على 16 رقما.

4404019268116

إذا كان إخراج الأمر يعرض حالة غير متصلة، فيمكنك محاولة اكتشاف السبب من خلال تشغيل الأمر "تفريغ دعم AP الفني" (show tech-support) و"الأمر التكميلي لتفريغ الدعم الفني ل AP" (show tech-support next)، ثم البحث عن "خيارات" في السجلات. يمكن أيضا مشاركة مخرجات الأمر مع Aruba TAC لأغراض أستكشاف الأخطاء وإصلاحها.

إذا كان كل شيء يعمل بشكل صحيح، فيمكنك رؤية إدخال جديد في لوحة معلومات Umbrella ضمن عمليات النشر > أجهزة الشبكة، حيث يمكنك البحث عن مجموعة نقاط وصول فورية باسمها أو حذف إدخال موجود إذا كنت ترغب في إنشاء معرف جهاز جديد.

4404011658516

اعتراض استعلامات DNS

عند تأكيد إضافة نظام مجموعة بنجاح إلى لوحة معلومات Umbrella كجهاز شبكة، يمكنك تعيين نظام المجموعة لبدء اعتراض استعلامات DNS المرسلة من عملاء لاسلكيين (المتصلة بنقاط الوصول في نظام المجموعة). وبمجرد تعيينها، بغض النظر عن عناوين IP لخادم DNS التي يتم تكوينها على بطاقات واجهة الشبكة (NICs) الخاصة بالعملاء اللاسلكيين، يمكن اعتراض استعلامات DNS الخاصة بالعملاء بواسطة نظام المجموعة وإعادة توجيهها إلى محللي AnyCast التابعين لشركة Umbrella في 208.67.220.220 و 208.67.222.222.

لاعتراض استعلامات DNS:

1. انتقل إلى وحدة التحكم الافتراضية لنظام مجموعة تحت التكوين > الشبكات.

2. حدد شبكة لاسلكية. 

3. قم بتحرير الشبكة، وحدد إظهار الخيارات المتقدمة، والتمرير إلى قسم متنوعات. 

4. قم بتمكين خيار تصفية المحتوى، واستمر في تحديد التالي حتى يمكنك تحديد زر إنهاء لحفظ التغيير.

4404011668500

بعد تشغيل الخيار، يمكنك بدء رؤية استعلامات DNS في لوحة معلومات Umbrella تحت Reporting > Activity Search.يمكن لهوية الاستعلامات أن تترجم إلى اسم جهاز الشبكة، وهو عادة اسم النظام الذي تم تكوينه على وحدة التحكم الظاهرية الخاصة بمجموعة AP. لاحظ أنه قد يستغرق الأمر بعض الوقت (حوالي 15 دقيقة) للاستعلامات التي سيتم معالجتها وعرضها في واجهة المستخدم الرسومية (GUI) للوحة المعلومات.

4404011721620

في لوحة معلومات Umbrella الموجودة تحت عمليات النشر > أجهزة الشبكة، يمكن أن يستغرق الأمر ما يصل إلى 24 ساعة لتغيير حالة الجهاز إلى حالة نشطة/عبر الإنترنت. تشير حالة جهاز الشبكة فقط إلى ما إذا كان تم اعتراض استعلامات DNS بواسطة الجهاز وإعادة توجيهها إلى Umbrella في ال 24 ساعة السابقة، ولا تؤثر على كيفية اتصال الجهاز مع Umbrella. يمكن أن تعني الحالة غير المتصلة/غير النشطة ببساطة عدم اتصال أي عميل لاسلكي بمجموعة AP في ال 24 ساعة الماضية ولا يمكن أن تمنع المجموعة من إستخدام خدمة Umbrella.

4404011756308

تطبيق نهج DNS

في Umbrella، يتضمن "النهج الافتراضي" تلقائيا كافة الهويات (مثل أجهزة الشبكة) التي تمت إضافتها إلى لوحة معلومات. لا يلزم إنشاء سياسات DNS إضافية إذا كان من الممكن أن تخضع جميع مجموعات AP في عملية النشر الخاصة بك لنفس النهج. إذا كان هذا هو الحال بالنسبة لك، فانتقل إلى القسم التالي.

بدلا من ذلك، إذا كنت ترغب في تطبيق سياسة مخصصة على جهاز شبكة معين، تحتاج إلى إضافة سياسة جديدة في لوحة معلومات المظلة ضمن السياسات > جميع السياسات (نهج DNS)، وحدد جهاز الشبكة في السياسة.

4404011773588

عند وجود أكثر من سياسة في صفحة سياسات DNS (جميع السياسات)، يتم تقييم السياسات من أعلى إلى أسفل على أساس التطابق الأول. لمزيد من المعلومات، الرجاء مراجعة وثائق أسبقية السياسة وأفضل الممارسات لتحديد وثائق السياسات.

DNS داخلي

في بيئة توجد فيها خوادم DNS الداخلية، وتريد إعادة توجيه استعلامات DNS لمجالات معينة (داخلية) إلى خوادم DNS الداخلية، يمكنك إستخدام ميزة مجالات المؤسسة في Instant.

يمكن الاستمرار في اعتراض استعلامات DNS بواسطة نظام مجموعة AP بعد تمكين الميزة، باستثناء أنه لم يعد من الممكن إعادة توجيه الاستعلامات للمجالات المحددة إلى Umbrella. وبدلا من ذلك، يمكن إعادة توجيهها إلى عناوين IP الخاصة بخادم DNS التي تم تكوينها في الأصل على بطاقات واجهة الشبكة (NIC) للعملاء اللاسلكي (مثل عبر بروتوكول DHCP). تكون الميزة مماثلة لوظيفة المجالات الداخلية المتوفرة في طرق نشر Umbrella القياسية (مع الأجهزة الظاهرية)، حيث لا يتم إستخدام التكامل الفوري من Aruba.

لتكوين الميزة على وحدة تحكم افتراضية فورية:

1. انتقل إلى التكوين > الاتصال النفقي > مجالات المؤسسة. 

2. قم بإضافة مجالات إلى قائمة أسماء مجالات المؤسسة أو إزالتها منها.

3. حدد حفظ. 

هناك حرف بدل ضمني لأي مجال تتم إضافته إلى القائمة، لذلك example.org يتضمن *.example.org.

4404238114452

التحقق

سواء قمت بنشر Umbrella على الشبكة المحلية اللاسلكية (WLAN) باستخدام الطرق القياسية المشار إليها في قسم "نظرة عامة على النشر" في هذا الدليل، أو الدمج الموضح في قسم "التكامل الفوري مع برنامج Aruba"، فيمكنك التحقق من أن العملاء اللاسلكيين يستخدمون Umbrella DNS عن طريق الاستعراض إلى https://welcome.umbrella.com/ من أحد العملاء. يمكنك عندئذ رؤية تحقق أخضر مشابه لصورة الشاشة المعروضة في وثائق Umbrella. 

4404011960212

وبدلا من ذلك، يمكنك التحقق من ذلك من خلال تشغيل هذا الأمر في موجه أوامر العميل اللاسلكي.

nslookup -type=txt debug.opendns.com.

يمكنك أن ترى مخرجات بها عدد من أسطر النص، مماثلة للقطة الشاشة هذه: 

4404011980436

من إخراج الأمر، يمكنك رؤية معرف مؤسسة لوحة معلومات Umbrella في سطر "orgID" أو "معرف المؤسسة"، وإذا كنت تستخدم التكامل الفوري، يمكنك رؤية سطر "الجهاز" الإضافي الذي يحتوي على معرف الجهاز.

لمراجعة استعلامات DNS في لوحة معلومات المظلة، انتقل إلى Reporting > Activity Search. لاحظ أنه قد يستغرق عرض الاستعلامات بعض الوقت (حوالي 15 دقيقة) في واجهة المستخدم الرسومية (GUI) للوحة المعلومات. تتوفر تعليمات حول كيفية إستخدام البحث عن النشاط في وثائق Umbrella. 

4404019393044