Corrispondenza della risoluzione DNS con i criteri di dominio e i rapporti dei record CNAME

Opzioni per il download

PDF (231.8 KB)
Visualizza con Adobe Reader su diversi dispositivi

Aggiornato:12 settembre 2025

ID documento:224900

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Sommario

Ulteriori informazioni

Introduzione

In questo documento viene descritta la corrispondenza tra la soluzione DNS e i criteri di dominio dei record CNAME e la creazione di rapporti.

Problema

Quando si utilizza un server di memorizzazione nella cache DNS (Domain Name System), ad esempio BIND (con memorizzazione nella cache attivata) o Infoblox, la risoluzione DNS non corrisponde ai criteri e ai rapporti previsti per i domini dei record CNAME. A una richiesta di record A consentita viene risposto da un riferimento CNAME a un altro record A in un dominio bloccato diverso.

Ad esempio, domain.com è consentito e blocked.com è bloccato, mentre domain.com è un record CNAME che punta a blocked.com, che ha un record A. Questo problema si presenta come un dominio consentito bloccato in cui non è registrato alcun evento di questo tipo nel dashboard.

Soluzione

Per risolvere il problema, è possibile procedere in diversi modi:

Disabilita la memorizzazione nella cache DNS per il DNS inoltrato a Umbrella. In questo modo si evita che si verifichi questo problema.
Consentire al CNAME di destinazione nel dashboard Umbrella quando si verifica.
Evitare di memorizzare nella cache in modo reattivo il tipo di record CNAME o di non memorizzare nella cache in modo selettivo i domini interessati.

Causa

La causa principale di questo problema è la memorizzazione nella cache DNS dei record CNAME che fanno riferimento a un dominio diverso, in cui il dominio di destinazione è bloccato. Poiché il dominio è consentito, i resolver Umbrella contrassegnano l'intera query come consentita, trascinando la catena CNAME. Il risultato è una query consentita.

Poiché i domini variano in TTL e i record di blocco Umbrella per le categorie dannose hanno un TTL pari a zero, la memorizzazione nella cache interferisce.

Di seguito viene riportato uno scenario in cui domain.com è consentito e blocked.com è bloccato e domain.com è un record CNAME che punta a blocked.com con un record A.

Query iniziale:

Record A per domain.com: Consenti elenco, CNAME per blocked.com -> Query record A per blocked.com, proveniente da CNAME, Consenti bit passato in Umbrella - Restituito record A per blocked.com.
Analisi: Query eseguite su Umbrella: domain.com -> blocked.com. Risultato: ALLOWED. Umbrella registra domain.com come consentito, blocked.com come consentito.

Query successiva:

Record A per domain.com: CACHED - CNAME per blocked.com -> Query record A per blocked.com: CACHED - Restituito record A per blocked.com.
Analisi: Query eseguite su Umbrella: Nessuna. Nessun registro Umbrella.

Query futura (attiva il problema):

Record A per domain.com: CACHED - CNAME per blocked.com -> Query a-record per blocked.com (query autonoma - CNAME memorizzato nella cache) - bloccato.
Analisi: Query eseguite su Umbrella: blocked.com. Risultato: Bloccato. Umbrella registra blocked.com come bloccato.