Umbrella und ECS konfigurieren

Einleitung

In diesem Dokument wird das EDNS-Client-Subnetz (ECS) und seine Verwendung mit Cisco Umbrella beschrieben.

Was ist ECS?

Herkömmlicher DNS ist eine Anfrage an einem DNS-Server, die mit einer einzigen Antwort mit einem A-Eintrag antwortet. Diese Diskussion wird vereinfacht, indem nur A-Datensätze behandelt werden. Derselbe Prozess gilt für IPv6- und AAAA-Datensätze. Mit der Einführung von weithin verteilten CDNs (Content Delivery Networks) und rekursiven DNS-Services gewinnt die Standortbestimmung zunehmend an Bedeutung für ein optimales Anwendererlebnis.

Herkömmlicher DNS lokalisiert die Antwort auf eine DNS-Frage am autoritativen DNS-Server und liefert im Gegenzug eine Antwort, die am besten mit der Quelle der DNS-Abfrage übereinstimmt. Um ein metaphorisches Beispiel zu verwenden, nehmen Sie ein Telefonbuch. Traditionell war das einzige Telefonbuch, das relevant war, das lokale Telefonbuch, sodass Sie immer das lokale Geschäft finden. Eine Abfrage von "Jims Hardwarespeicher anrufen". Heute, wo eine einzige Webadresse viele Standorte weltweit hat, ist es unerlässlich für eine gute Erfahrung, sich mit einem Server in der Nähe zu verbinden. Bei rekursiven DNS-Servern und mehr verteilten Netzwerken ist die Quell-IP der DNS-Abfrage nicht unbedingt die beste Quelle für Geolokationsdaten.

Abbildung 2: Beispiel für einen Benutzer in New Jersey, der eine Antwort von einem autoritativen DNS benötigt

In unserer Telefonbuch-Metapher hat ein Unternehmen vielleicht 50 Standorte auf der ganzen Welt, aber als Leser weiß man, was der Nächste ist, und nennt sie. Jim's hat sich gut entwickelt, also könnte unsere Abfrage nach "Jim's Hardware Store anrufen" Sie zum New Jersey Store oder zum Chicago Store bringen, je nachdem, wen Sie fragen. ECS führt den gleichen Service aus, jedoch für eine DNS-Suche. EDNS Client Subnet (ECS) ist ein Mechanismus, mit dem die gewünschte Quell-IP-Adresse einer DNS-Abfrage in die EDNS-Informationen eines DNS-Pakets eingebettet wird. Der autoritative DNS-Server, der ECS unterstützt, liest diese Quellinformationen und antwortet mit dem A-Eintrag des bestmöglichen Servers. Für unsere Telefonbuch-Metapher entspricht ECS einem Hinweis, der angibt, in welchen Bereich das Telefonbuch eingesehen werden soll. Diese Anfrage wäre "rufen Sie Jims Baumarkt in Belvidere, NJ" und eine ideale Antwort kann gegeben werden. Weitere Informationen finden Sie auf der Startseite des ECS-Projekts unter umbrella.cisco.com. 

ECS- und rekursive DNS-Server

Cisco Umbrella ist, wie andere rekursive DNS-Services, eine Herausforderung für DNS-basierte Geolokalisierung. Bisher forderten Benutzer DNS vom ISP an, der die DNS-Autorität anfragt. Dies bietet eine native gute Standortbestimmung für die IP-Netzwerkbereiche des ISP. 

Rekursive DNS-Anbieter befinden sich außerhalb des Netzwerks eines ISP und können überall eingesetzt werden. Cisco Umbrella betreibt zahlreiche Rechenzentren mit Anycast-IP-Adressen, und DNS-Abfragen können auf einen der verschiedenen Resolver-Standorte weltweit treffen. In den meisten Fällen wird der nächstgelegene Standort abgefragt. Dies hängt jedoch von den optimalen Routen mit jedem ISP ab. Am wichtigsten ist, dass der nächste Umbrella Resolver bei weithin verteilten Webdiensten wie CDNs nicht in der Nähe des Standorts des Anfragenden ist und als Antwort möglicherweise einen schlechten CDN-Server erhält. Ein Benutzer in Costa Rica kann beispielsweise das Miami-Rechenzentrum von Cisco Umbrella nutzen und Inhalte von einem Miami CDN erhalten. Für unsere Telefonbuch-Metapher ist das das Äquivalent dazu, den Telefonisten anzurufen und nach der Nummer für Jims Hardware zu fragen. Je nachdem, wo sich der Operator befindet, erhalten Sie die Antwort basierend auf dieser Region. Chicago gibt Jim's von Wheaton zurück und Miami kann Jim's von South Beach zurückgeben.

Abbildung 2: Beispiel für einen Benutzer in New Jersey, der eine Antwort von Cisco Umbrella benötigt

ECS ist für CDNs für rekursive DNS-Anbieter von unschätzbarem Wert, da das ursprüngliche Quell-Subnetz über ECS an die autoritative DNS-Infrastruktur des CDN weitergeleitet werden kann. Eine Abfrage über Umbrella an einen ECS-fähigen Namenserver beinhaltet das Class C-Netzwerk des anfragenden Benutzers (/24 CIDR-Block) zur autoritativen DNS-Abfrage und gibt (gemäß TTL) die relevante Antwort zurück und speichert sie im Cache. Für unsere Telefonbuch-Metapher ist das ein Anruf beim Telefonisten, der Jims Hardware in der Nähe von San José, Costa Rica anfordert. Der Betreiber in Miami würde mit der Nummer für Jim's von San Pedro antworten. 

Zusammenfassend lässt sich sagen, dass ECS es einem Benutzer überall auf der Welt ermöglicht, einen Namenserver an einem beliebigen Ort der Welt abzufragen und eine benutzerdefinierte Antwort basierend auf dem Quellstandort zu erhalten, selbst wenn ein weit entfernter rekursiver DNS-Server (der ECS unterstützt) verwendet wird. Das Endergebnis ist der schnellste CDN-Server, der von einem beliebigen Standort weltweit über einen beliebigen unterstützten DNS-Service erreicht werden kann. 

ECS und Cisco Umbrella

Cisco Umbrella unterstützt ECS für autoritative DNS-Resolver basierend auf einer Opt-in-Basis für Nameserver-Besitzer. Viele CDNs können Umbrella-Nutzern eine schnelle und genaue Geolokalisierung bieten, während einige CDNs und Services ECS noch nicht unterstützen.

Kennen Sie einen Service, der noch nicht ECS nutzt? Wenden Sie sich an das CDN-Netzwerk, und fragen Sie nach der Implementierung von ECS. ECS muss von den autorisierten Nameservern unterstützt werden, bevor Umbrella ECS-Daten senden kann. 

Wenn Sie ECS bereits nutzen, kontaktieren Sie uns unter umbrella-support@cisco.com, um Ihre Implementierung zu validieren und noch heute ECS-Daten von Cisco Umbrella zu erhalten! IPv6- und IPv4-ECS-Daten werden unterstützt. Fügen Sie eine Liste der zu validierenden Nameserver (nach Namen) und eine zu validierende Domäne hinzu. 

Verwenden von ECS beim Graben

Wussten Sie, dass dig nativ ECS bei DNS-Abfragen ab Version 9.10 unterstützt? Hängen Sie "+subnet=<subnet>" direkt an Ihren Grab an den autoritativen Namenserver an. Beachten Sie, dass diese Daten gelöscht werden, wenn Sie Umbrella direkt anfragen, und sie werden durch Ihre Quelle ersetzt /24. Weitere Informationen finden Sie in unserem Artikel https://support.opendns.com/hc/en-us/articles/227987687. 

dig +subnet=208.67.222.0/24 <domain> @<nameserver>

Suchen Sie in der Antwort nach diesem Unterabschnitt, um sicherzustellen, dass ein Namenserver ECS-Daten verwendet:

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; CLIENT-SUBNET: 208.67.222.0/24/32

Autorisierende Nameserver-Besitzer

Verwenden Sie ECS auf Ihrem Namenserver und möchten Sie sein Potenzial für Cisco Umbrella-Benutzer weltweit ausschöpfen? Teilen Sie uns dies unter umbrella-support@cisco.com mit, damit wir ECS-Daten an Ihre Namenserver senden können! Fügen Sie Ihrer Anfrage eine Liste Ihrer Nameserver-Domänen und eine ECS-aktivierte Beispieldomäne hinzu, die wir zur Validierung Ihrer Konfiguration verwenden können. Lassen Sie uns gemeinsam ein schnelleres Internet aufbauen.