Introduction
Ce document décrit comment comprendre le routage de localisation géographique du trafic DNS dans Cisco Umbrella.
Conditions préalables
Exigences
Aucune exigence spécifique n'est associée à ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur Cisco Umbrella.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Aperçu
Parfois, vous pouvez remarquer que votre trafic DNS est acheminé vers un data center (DC) qui n'est pas l'emplacement le plus proche de vous. Vous remarquerez également une latence plus élevée lors du routage vers un emplacement plutôt qu'un autre.
Umbrella utilise le routage anycast. Chaque data center annonce les mêmes adresses IP. BGP s'occupe ensuite du reste, acheminant les requêtes de manière transparente vers l'emplacement disponible le plus rapide.
Lorsque vous configurez votre réseau pour envoyer des requêtes DNS vers 208.67.222.222 et 208.67.220.220, votre trafic DNS peut être routé via n'importe quel emplacement répertorié sur la page System Status d'Umbrella, en fonction de la distance géographique, de l'appairage, de l'encombrement et d'autres mesures. Umbrella représente ses emplacements par leur code d'aéroport IATA à 3 lettres.
Détails techniques
En raison d'accords d'appairage limités avec certains FAI (principalement en Chine), le RTT (Round Trip Time) vers le data center Cisco Umbrella le plus proche dépend de l'emplacement géographique et du type de connexion. Par exemple, la plupart des clients en Chine sont acheminés vers les sites de Umbrella à Tokyo, Hong Kong ou Singapour.
Umbrella fournit uniquement des réponses DNS à vos requêtes. Le routage vers la destination est géré par les chemins entre le FAI et l’hôte cible ; Umbrella ne peut pas contrôler la route empruntée par votre trafic pour atteindre nos data centers. Cependant, avec des arrangements d'appairage prudents, Umbrella peut influencer la route prise.
Vérification du contrôleur de domaine vers lequel votre trafic DNS est routé
Ces informations peuvent être obtenues en exécutant simplement une requête DNS pour un enregistrement TXT à partir de which.opendns.com. Il s'agit d'un retour simplifié de la commande debug.opendns.com qui ne retourne que les informations de paramètres régionaux du centre de données. Exemple :
nslookup -type=txt which.opendns.com.
Parmi les résultats, vous voulez rechercher une ligne similaire à celle-ci :
which.opendns.com text = "m41.pao"
La réponse contient le résolveur qui a répondu à la requête, y compris son emplacement représenté par son code d'aéroport à 3 lettres de l'IATA. Dans ce cas, le serveur est m41.pao
, qui est à Palo Alto, USA, ou "PAO".
Reportez-vous à la page System Status d'Umbrella pour afficher tous les emplacements de serveur d'Umbrella. Voir Liste des aéroports par code IATA pour une liste complète des codes d'aéroport IATA à 3 lettres.
Dépannage de la latence
Si votre trafic DNS est acheminé vers un contrôleur de domaine très éloigné de votre emplacement réel et provoque une latence plus importante, il est possible que vous utilisiez un VPN d'accès à distance. Réessayez vos requêtes lorsque vous êtes déconnecté du VPN pour confirmer que c'est bien le cas.
Vous pouvez également constater que votre FAI dispose d'un point de sortie réel (emplacement géographique où le trafic quitte son réseau pour atteindre « l'Internet plus large ») qui n'est pas non plus proche de vous. Certains FAI font ce genre de choses afin de réduire les coûts. Vous pourriez vivre dans la même ville que l'un des DC d'Umbrella, mais parce que votre FAI accède à Internet depuis une autre ville, la RTT vers un autre de nos DC pourrait être plus rapide, et donc cet emplacement serait utilisé.
Si vous rencontrez des problèmes de localisation/latence et avez exclu les VPN, veuillez contacter l'assistance Umbrella.