Comprendre la communication VA avec Umbrella et le DNS local

Introduction

Ce document décrit comment la VA communique avec Cisco Umbrella et le DNS local.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur Cisco Umbrella.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Introduction

L'appliance virtuelle « parle » à la fois aux résolveurs Umbrella et au DNS local, en fonction de la requête DNS et de la configuration utilisateur. Contrairement aux clients DNS plus simples, l'appliance de virtualisation ne donne pas la priorité à un serveur par rapport à l'autre, ou effectue un simple round robin. Au lieu de cela, l'AV utilise le processus décrit ici.

Cela garantit, après une requête initiale, que le meilleur serveur DNS est utilisé. Cela explique également pourquoi une requête DNS peut être lente pour une requête, mais s'accélérer considérablement après la première dans certains scénarios. 

Explication

Cet article fait spécifiquement référence aux appareils virtuels (VA) Umbrella. Le redirecteur interroge les serveurs dans un ordre aléatoire en utilisant un ensemble croissant de valeurs de délai d'attente jusqu'à ce qu'il obtienne une réponse. La façon dont il traite les serveurs qui ne répondent pas dans les délais impartis est traitée dans la suite de cet article.

Caches 

Le redirecteur VA gère un cache RTT (Round Trip Time) à utiliser pour décider si une requête peut être envoyée à un serveur.

Le RTT est une mesure en secondes du temps nécessaire à Umbrella pour obtenir une réponse d'un serveur. Chaque fois que le redirecteur envoie une requête à un serveur, il met en cache le RTT pendant 15 minutes. Une fois que ce délai expire, le RTT est effectivement 0 pour ce serveur qui le réinitialise à l'état par défaut "utiliser ce serveur."

Si un serveur ne répond finalement pas au plus haut niveau de délai d'attente, Umbrella le tente une fois de plus, puis répond au client avec un SERVFAIL s'il ne répond pas. Toutes les requêtes ultérieures de cette nature peuvent être retentées sur les serveurs en question selon le délai d'attente actuel. 

Remarque : Les réponses DNS ne sont pas mises en cache sur l'appliance virtuelle. Les données mises en cache correspondent au temps nécessaire à un serveur de noms faisant autorité pour répondre à un domaine donné.

Ce processus détermine quel serveur DNS local et lequel des résolveurs publics d'Umbrella répondent le plus rapidement, et s'assure qu'il est utilisé plutôt que d'effectuer un round robin à chaque fois. Cela permet d'éviter l'envoi de DNS à un serveur DNS local qui est tombé en panne, par exemple.