أفضل الممارسات لـ DNS وحساب Cato الخاص بك

بالنسبة للمواقع في مواقع جغرافية مختلفة، يمكنك تحقيق أداء أفضل عن طريق إعداد خوادم DNS داخلي مختلفة لكل موقع. بدلاً من ذلك، يستخدم خدمة DNS من Cato مواقع PoP العالمية في سحابة Cato لتوفير رفع DNS بسرعة وعالمي لمضيفيك ويمكن أن يقلل بشكل كبير من زمن انتقال DNS. تخزن مواقع PoP ردود DNS في ذاكرة التخزين المؤقت بحيث يتم خدمة طلبات DNS المستقبلية بسرعة أكبر. يم الاتفاق مع السحابة Cato ويستخدم خدمات DNS من Cato، يحصل على رد DNS من PoP الذي يتصل به (عادةً ما يكون الأقرب PoP). لذلك، فإن وقت الاستجابة DNS سريع جداً ويقلل من زمن انتقال DNS.

نوصي باستخدام خوادم DNS من Cato والاستفادة من مواقع PoP العالمية في سحابة Cato.

بالنسبة للحالات التي تتطلب خوادم DNS محلية، يمكنك إعداد الخوادم المحلية التي تكون بالقرب من المواقع مادياً. على سبيل المثال، إذا كان لديك موقع في نيويورك وموقع في سنغافورة، يمكنك استخدام خوادم DNS محلية مختلفة لكل موقع بحيث يحل خادم DNS في سنغافورة طلبات DNS من العملاء المتصلين فقط بموقع سنغافورة. العملاء المتصلون بالموقع في نيويورك لا يحتاجون إلى إرسال طلبات DNS إلى الخادم في سنغافورة لحل الاستعلام. إنه أكثر كفاءة ويحسن أداء شبكتك.

لمزيد من المعلومات حول تحديد خادم DNS مخصص لموقع، انظر إعداد إعدادات DNS.

توصل Cato بأن تقوم بإعداد خوادم DNS مختلفة للتكرار. قم بتعيين خادم DNS الافتراضي لـ Cato (10.254.254.1 أو x.y.z3 للطلبات الداخلية لـ DNS) كخادم رئيسي وخادم DNS عام موثوق به كخادم DNS ثانوي. لمزيد من المعلومات حول خوادم DNS الموثوقة، انظر استخدام خوادم DNS موثوقة. إذا لم يكن خادم DNS الرئيسي متاحًا، يستخدم Cato بعد ذلك خادم DNS الثانوي لحل الاستعلامات. إذا كنت تستخدم خادم DNS داخلي، قم بتكوين التوجيه DNS لحل المجالات الداخلية.

يوصى للمستخدمين على macOS بتحديد خوادم DNS الرئيسية والثانوية التي لا تدعم DoH أو DoT مثل 10.254.254.1 أو خادم DNS داخلي. بدءاً من macOS 13 Ventura، يفضل نظام التشغيل DoH أو DoT (غير مدعوم من فحص Cato) لحل طلبات DNS، مما قد يكسر توجيه DNS من Cato. لمزيد من المعلومات، انظر المستخدمون Unable to Reach Internal Resources Via Cato على macOS Ventura.

المستخدمون عن بعد لا يتصلون عبر المواقع بل بشكل مباشر إلى PoPs في سحابة Cato. لذلك، إذا لم يتم تكوين إعدادات DNS بشكل صحيح، يمكن أن يعاني المستخدمون عن بعد من مشاكل في الاتصال أو عدم القدرة على الوصول إلى الموارد الداخلية. على سبيل المثال، إذا قمت بتكوين إعدادات DNS للموقع بدلاً من المستخدمين عن بعد، لا يمكن للمستخدمين عن بعد الوصول إلى هذه الموارد الداخلية في نطاقك. لا يمكن لخادم DNS حل طلبات DNS للعميل لأنه غير متصل بالموقع. لذلك، يجب عليك تكوين إعدادات DNS للعملاء للسماح بهذا الاتصال.

تطبق إعدادات DNS لحسابك على جميع المواقع والمستخدمين عن بعد. إذا كان لديك متطلبات DNS محددة للمستخدمين عن بعد، قم بتمكين سياسة DNS.

يوصي Cato بأن تحمي أصولك المؤسسية وتحد من الوصول إلى خوادم DNS الداخلية كأفضل ممارسة. على سبيل المثال، قم بتحديد أن الأشخاص الذين يصلون إلى شبكة الضيوف يستخدمون فقط خوادم DNS العامة لحل استفسارات DNS. أنشئ VLAN منفصل لشبكة الضيوف وخصص هذه الشبكة لمجموعة من المستخدمين الضيوف. ثم، قم بإعداد إعدادات DNS لهذه المجموعة مع خوادم DNS العامة غير الموثوقة فقط. لمزيد من المعلومات حول الشبكات الموثوقة، انظر استخدام خوادم DNS موثوقة.

للقيام بذلك:

تتيح لك ميزة توجيه DNS من Cato تحقيق الاتصال بالمجالات المحلية في شبكتك.

عادة لا يتصل المستخدمون عن بعد بالمواقع بل مباشرة إلى سحابة Cato. هذا يعني أن هناك لا خادم DNS لحل طلبات DNS للمجالات المحلية. نوصي باستخدام قواعد توجيه DNS لتوجيه هذه الطلبات إلى الخادم الداخلي DNS المناسب. يقوم الخادم بحل الاستعلام ويسمح للمستخدمين SDP بالاتصال بالموارد الداخلية المؤسسية.

تنطبق توجيه DNS فقط على طلبات DNS التي تم إرسالها إلى خادم DNS موثوق (تعتبر خوادم DNS المكونة لحسابك موثوقة).

يمكنك إعداد إعدادات DNS مخصصة للمواقع أو المستخدمين/مجموعات المستخدمين. تأخذ إعدادات DNS المخصصة الأولوية على إعدادات DNS على مستوى الحساب، بما في ذلك التوجيه DNS. ومع ذلك، إذا تم تكوين التوجيه DNS لتوجيه الطلبات إلى خادم DNS موثوق أو الخادم DNS الذي تم تكوينه لحساب، فسيتم استخدام إعدادات DNS على مستوى الحساب.

ملاحظات:

بالنسبة لقواعد الشبكة وقواعد جدار الحماية التي تعتمد على DNS (على سبيل المثال، TLD، FQDN، والتطبيقات)، يجب أن يستخدم حركة مرور DNS خادم DNS موثوق أو المحدد للحساب. خلاف ذلك، لا تُطبق هذه القواعد المستندة إلى DNS على حركة المرور.

إذا كان لديك خادم DNS داخلي، يجب عليك توجيه استفسارات DNS إلى خادم DNS موثوق من Cato (بما في ذلك DNS لـ Cato)، أو خادم DNS المكون للحساب.

إذا كان لديك قاعدة شبكة لحركة المرور خارج السحابة، تأكد من أنها لا تتضمن DNS، بحيث يتم إرسال استعلام DNS إلى خادم DNS موثوق من Cato.