简介
本文档介绍如何将Umbrella虚拟设备(VA)配置为Infoblox设备的转发器。
先决条件
要求
Cisco 建议您了解以下主题:
- 运行NIOS版本8.3、8.4或8.6的Infoblox设备。不支持NIOS版本8.5。
- 思科不保证此功能可在未来的Infoblox版本上运行,因为它取决于Infoblox NIOS映像。有关对EDNS中具有私有IP的转发器支持的查询,请联系Infoblox。
使用的组件
本文档中的信息基于Umbrella虚拟设备(VA)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
如果您使用Umbrella进行内容过滤,此功能要求您禁用Infoblox设备上的缓存,以实现准确的Umbrella报告和策略实施。Umbrella还建议在本地DNS服务器(如Infoblox)上禁用DNSSEC验证,以便Umbrella递归解析器可以执行DNSSEC验证。
配置Infoblox设备
1.从主导航菜单中,选择Data Management > DNS选项卡。
2.根据Infoblox视图:
- 在网格视图中,从应用程序右侧的工具栏中选择网格DNS属性。
- 在“成员”视图中,选择“成员”选项卡。选择成员,然后选择编辑图标。
- 在DNS视图中,选择Zones选项卡。选择适当的DNS视图并选择Edit图标。
3.选择转发器,然后在出现的面板中选择添加图标。
4.在提供的字段中,输入虚拟设备的静态IP。您可以在此处包含多个虚拟设备。Umbrella建议至少包含2台虚拟设备。
5.选择向传出递归查询添加客户端IP、MAC地址和DNS视图名称选项。
IB__2_.png
6.选择仅使用转发器选项以仅使用网络上的转发器。如果Infoblox也是任何内部域的授权名称服务器,请取消选中此项。
要使虚拟设备接收来自Infoblox的所有传出DNS查询并将其发送到Umbrella,必须在Infoblox上禁用外部域的缓存。如果您使用Umbrella进行内容过滤或进行可接受的使用,这是强制性的。如果未能执行此操作,可能会导致Umbrella不报告某些DNS查询,并可能导致基于AD的策略实施不正确。
虚拟设备
根据Umbrella文档中的步骤部署和配置虚拟设备。
注意:您无需在虚拟设备上配置任何内部DNS服务器,因为内部域可直接由Infoblox解析。
建议不要使用Add Client IP选项将Umbrella解析器直接配置为Infoblox上的转发器,因为对Umbrella的传出DNS查询缺乏加密。
Active Directory集成
要启用AD集成,您可以在与配置为Infoblox转发器的虚拟设备相同的Umbrella站点中部署Umbrella Active Directory连接器。请参阅Umbrella文档:将Active Directory连接到Umbrella
故障排除
如果使用Infoblox Data Management集中配置此设置,请确保在任何Infoblox设备上不存在此设置的本地覆盖。