Configuration du transfert DNS de l'équilibreur de charge F5 pour un accès sécurisé

Options de téléchargement

  • PDF     (233.3 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
Mis à jour:20 mai 2026
ID du document:225950

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Problème

La résolution DNS ne fonctionnait pas lors de l'utilisation d'un équilibreur de charge F5 en tant que serveur DNS client lors de la migration d'Umbrella vers Secure Access. Lorsque les requêtes DNS atteignent l'adresse IP virtuelle (VIP), l'équilibreur de charge F5 a correctement transféré les paquets aux redirecteurs DNS principaux, mais les noms d'hôte n'ont pas été résolus sur les ordinateurs de point d'extrémité. La résolution DNS a fonctionné correctement lors de l'utilisation d'une appliance virtuelle directement comme serveur DNS client, indiquant que le problème était spécifique à la configuration de l'équilibreur de charge F5.

Les captures de paquets ont révélé que les réponses DNS utilisaient l'adresse IP de l'appliance virtuelle au lieu de l'adresse VIP F5 attendue. L'ordinateur client s'attendait à ce que les réponses DNS proviennent de l'adresse VIP F5, mais a reçu des réponses de l'adresse IP de l'appliance virtuelle principale.

Environnement

  • Environnement de migration Cisco Umbrella vers Secure Access

  • Équilibreur de charge F5 avec équilibrage de charge DNS configuré VIP

  • Plusieurs redirecteurs DNS en tant que serveurs principaux

  • Appliances virtuelles servant de serveurs DNS

  • Terminaux clients nécessitant une résolution DNS via l'équilibreur de charge

Résolution

Le problème a été résolu en configurant l'équilibreur de charge F5 pour qu'il agisse correctement en tant que proxy entre les ordinateurs clients et les appareils virtuels. Le changement de configuration clé impliquait l'activation de la traduction d'adresses réseau source (SNAT) avec la fonctionnalité de mappage automatique.

Étapes de diagnostic effectuées

Étape 1: Vérifier le comportement de résolution DNS

La résolution DNS a été testée à l'aide des connexions VIP de l'équilibreur de charge F5 et de l'appliance virtuelle directe pour isoler le problème.

Étape 2: Capturer et analyser le trafic DNS

Des captures de paquets ont été effectuées pour analyser le flux de requête et de réponse DNS via l'équilibreur de charge F5.

Étape 3: Identifier les incohérences d'adresses source

L'analyse a révélé que les réponses DNS contenaient l'adresse IP de l'appliance virtuelle au lieu de l'adresse VIP F5, ce qui provoque une confusion chez le client.

Modification de configuration

Étape 1: Accéder à la configuration d'équilibrage de charge F5

Accédez à l'interface de gestion de l'équilibreur de charge F5 pour modifier la configuration DNS VIP.

Étape 2: Activer le mappage automatique SNAT

Configurez SNAT (Source Network Address Translation) pour le mappage automatique sur l'équilibreur de charge F5. Cela garantit que le périphérique F5 proxie correctement les requêtes et les réponses DNS entre les clients et les serveurs DNS principaux.

Étape 3: Vérifier la configuration

Après la mise en oeuvre de la configuration de mappage automatique SNAT, la résolution DNS a commencé à fonctionner correctement via l'équilibreur de charge F5.

Motif

La cause principale était une configuration SNAT (Source Network Address Translation) incorrecte sur l'équilibreur de charge F5. Sans l'activation du mappage automatique SNAT, le périphérique F5 ne jouait pas correctement le rôle de proxy pour le trafic DNS. Les réponses DNS ont été envoyées directement des appliances virtuelles principales aux ordinateurs clients, en utilisant l'adresse IP de l'appliance virtuelle comme source au lieu de l'adresse VIP F5 attendue. Les ordinateurs clients s’attendaient à ce que les réponses DNS proviennent de la même adresse IP à laquelle ils ont envoyé leurs requêtes (le VIP F5), mais recevaient des réponses de différentes adresses IP (les serveurs principaux), ce qui a entraîné des échecs de résolution DNS.

Autres informations utiles

Historique de révision

Révision Date de publication Commentaires
2.0
20-May-2026
Première publication
1.0
20-May-2026
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Amit Arora

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits