Comprendere la comunicazione VA con Umbrella e il DNS locale

Introduzione

In questo documento viene descritta la modalità di comunicazione di VA con Cisco Umbrella e il DNS locale.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano su Cisco Umbrella.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Introduzione

L'appliance virtuale "comunica" con i resolver Umbrella e con il DNS locale, a seconda della query DNS e della configurazione utente. A differenza dei client DNS più semplici, VA non assegna priorità a un server rispetto all'altro, né esegue un round robin semplice. Il VA utilizza invece il processo descritto qui.

In questo modo, dopo una query iniziale, viene utilizzato il server DNS migliore. Questo spiega anche il motivo per cui una query DNS può essere lenta per una query, ma velocizzare in modo significativo dopo la prima in scenari selezionati. 

Spiegazione

In questo articolo si fa riferimento in particolare agli appliance virtuali Umbrella (VA). Il server d'inoltro esegue query sui server in ordine casuale utilizzando un set crescente di valori di timeout fino a ottenere una risposta. La modalità di gestione dei server che non rispondono entro i timeout specificati viene illustrata nel resto di questo articolo.

Cache 

Il server d'inoltro VA mantiene una cache RTT (round trip time) da utilizzare per decidere se una query può essere inviata a un server.

RTT è una misura in secondi di quanto tempo ha impiegato Umbrella per ottenere una risposta da un server. Ogni volta che il mittente invia una query a un server, memorizza nella cache RTT per 15 minuti. Una volta scaduto, l'RTT è effettivamente 0 per il server che lo ripristina allo stato predefinito di "use this server".

Se alla fine un server non risponde al massimo livello di timeout, Umbrella lo prova ancora una volta e quindi risponde al client con un SERVFAIL se non risponde. Qualsiasi query successiva di questo tipo può essere ripetuta sui server in questione in base al livello di timeout corrente. 

Nota: Le risposte DNS non vengono memorizzate nella cache di VA. I dati memorizzati nella cache indicano il tempo impiegato da un server dei nomi autorevole per rispondere per un determinato dominio.

Questo processo determina quale server DNS locale e quale dei resolver pubblici di Umbrella rispondono più rapidamente e garantisce che venga utilizzato invece di eseguire ogni volta un round robin. Ciò consente, ad esempio, di evitare l'invio di DNS a un server DNS locale non più attivo.