Entender a comunicação de VA com Umbrella e DNS local

Introdução

Este documento descreve como o VA se comunica com o Cisco Umbrella e o DNS local.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no Cisco Umbrella.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Introdução

O Virtual Appliance "fala" com os resolvedores do Umbrella e com o DNS local, dependendo da consulta DNS e da configuração do usuário. Ao contrário de clientes DNS mais simples, o VA não prioriza um servidor sobre o outro, nem faz um rodízio simples. Em vez disso, o VA usa o processo descrito aqui.

Isso garante, após uma consulta inicial, que o melhor servidor DNS seja usado. Isso também explica por que uma consulta DNS pode ser lenta para uma consulta, mas acelera significativamente após a primeira em cenários selecionados. 

Explicação

Este artigo refere-se especificamente aos Umbrella Virtual Appliances (VAs). O encaminhador consulta os servidores em uma ordem aleatória usando um conjunto crescente de valores de tempo limite até obter uma resposta. A forma como ele lida com servidores que não respondem dentro dos tempos limites especificados é discutida no restante deste artigo.

Caches 

O encaminhador VA mantém um cache RTT (round trip time) para uso ao decidir se uma consulta pode ser enviada a um servidor.

O RTT é uma medida em segundos do tempo que levou para o Umbrella obter uma resposta de um servidor. Cada vez que o encaminhador envia uma consulta a um servidor, ele armazena em cache o RTT por 15 minutos. Uma vez expirado, o RTT é efetivamente 0 para aquele servidor que o redefine para o estado padrão de "usar este servidor".

Se um servidor falhar em responder no nível de tempo limite mais alto, o Umbrella tentará mais uma vez e responderá ao cliente com um SERVFAIL se ele não responder. Quaisquer consultas subsequentes dessa natureza podem ser repetidas nos servidores em questão de acordo com o nível de tempo limite atual. 

Note: As respostas DNS não são armazenadas em cache no VA. Os dados armazenados em cache representam o tempo que um servidor de nome autoritativo leva para responder a um determinado domínio.

Esse processo determina qual servidor DNS local e qual dos resolvedores públicos do Umbrella responde mais rapidamente e garante que ele seja usado sempre em vez de executar um round robin. Isso permite evitar o envio de DNS para um servidor DNS local que tenha sido desativado, por exemplo.