Einleitung
In diesem Dokument wird beschrieben, wie die Umbrella Virtual Appliance (VA) als Weiterleitung für Infoblox-Appliances konfiguriert werden kann.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Infoblox-Appliance mit NIOS 8.3 oder 8.4 oder 8.6. NIOS 8.5 wird nicht unterstützt.
- Cisco garantiert nicht, dass diese Funktion für zukünftige Infoblox-Versionen verwendet werden kann, da sie vom Infoblox NIOS-Image abhängig ist. Wenden Sie sich an Infoblox, wenn Sie Fragen zur Unterstützung von Weiterleitungen mit privater IP in EDNS haben.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Umbrella Virtual Appliance (VA).
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Überblick
Wenn Sie Umbrella für die Content-Filterung verwenden, müssen Sie die Zwischenspeicherung auf der Infoblox-Appliance deaktivieren, um Umbrella-Berichte und die Richtliniendurchsetzung zu erhalten. Umbrella empfiehlt außerdem, die DNSSEC-Validierung auf lokalen DNS-Servern wie Infoblox zu deaktivieren, damit die rekursiven Umbrella-Resolver die DNSSEC-Validierung durchführen können.
Konfigurieren der Infoblox-Appliance
1. Wählen Sie im Hauptnavigationsmenü Datenverwaltung > DNS-Registerkarte.
2. Je nach Infoblox-Ansicht:
- Wählen Sie in einer Grid-Ansicht Grid DNS Properties in der Symbolleiste rechts in der Anwendung aus.
- Wählen Sie in der Ansicht Mitglieder die Registerkarte Mitglieder aus. Wählen Sie das Element aus, und klicken Sie dann auf das Symbol Bearbeiten.
- Wählen Sie in einer DNS-Ansicht die Registerkarte Zonen aus. Wählen Sie die entsprechende DNS-Ansicht aus, und klicken Sie auf das Symbol Edit (Bearbeiten).
3. Wählen Sie Forwarders, und wählen Sie im daraufhin angezeigten Bereich das Symbol Add (Hinzufügen) aus.
4. Geben Sie in das bereitgestellte Feld die statische IP-Adresse der virtuellen Appliance ein. Hier können Sie mehrere virtuelle Appliances einfügen. Umbrella empfiehlt, mindestens 2 virtuelle Appliances einzubeziehen.
5. Wählen Sie die Option Client-IP, MAC-Adressen und DNS-Ansichtsnamen zu ausgehenden rekursiven Abfragen hinzufügen.
IB__2_.png
6. Wählen Sie die Option Nur Weiterleitungen verwenden, um nur Weiterleitungen in Ihrem Netzwerk zu verwenden. Lassen Sie diese Option deaktiviert, wenn Infoblox auch der autoritative Namenserver für eine Ihrer internen Domänen ist.
Damit die virtuelle Appliance alle ausgehenden DNS-Abfragen von Infoblox empfangen und an Umbrella senden kann, muss die Zwischenspeicherung externer Domänen auf Infoblox deaktiviert sein. Dies ist obligatorisch, wenn Sie Umbrella zur Inhaltsfilterung oder zur akzeptablen Verwendung verwenden. Andernfalls können einige DNS-Abfragen nicht von Umbrella gemeldet werden, und dies kann auch zu einer falschen Durchsetzung AD-basierter Richtlinien führen.
Virtuelle Appliance
Implementieren und konfigurieren Sie Ihre virtuellen Appliances wie in der Umbrella-Dokumentation beschrieben.
Anmerkung: Sie müssen keine internen DNS-Server auf den virtuellen Appliances konfigurieren, da interne Domänen von Infoblox direkt aufgelöst werden können.
Die direkte Konfiguration der Umbrella-Resolver als Forwarder auf Infoblox mit der Option Add Client IP wird aufgrund der fehlenden Verschlüsselung ausgehender DNS-Abfragen an Umbrella nicht empfohlen.
Active Directory-Integration
Um die AD-Integration zu aktivieren, können Sie einen Umbrella Active Directory Connector am selben Umbrella-Standort bereitstellen wie die virtuellen Appliances, die als Weiterleitungen für Infoblox konfiguriert sind. Weitere Informationen finden Sie in der Umbrella-Dokumentation: Verbinden von Active Directory mit Umbrella
Fehlerbehebung
Wenn Sie Infoblox Data Management verwenden, um diese Einstellung zentral zu konfigurieren, stellen Sie sicher, dass diese Einstellung auf keiner Infoblox-Appliance lokal außer Kraft gesetzt wird.