Este artículo contiene mejores prácticas y recomendaciones para la configuración de DNS de su cuenta.
Para sites en diferentes ubicaciones físicas, puede lograr un mejor rendimiento configurando diferentes servidores DNS internos para distintos sites. Alternativamente, el servicio DNS de Cato utiliza las ubicaciones PoP Global en la Cato Cloud para proporcionar a sus hosts una resolución rápida y global de DNS y puede reducir significativamente la latencia de DNS. Los PoPs almacenan las respuestas DNS en la caché para que las solicitudes futuras de DNS se atiendan más rápidamente. Un host que se conecta a la Cato Cloud y utiliza los servicios DNS de Cato, recupera la respuesta DNS del PoP al que está conectado (usualmente el PoP más cercano). Por lo tanto, el tiempo de respuesta de DNS es muy rápido y reduce la latencia de DNS.
Le recomendamos que use los servidores DNS de Cato y aproveche los beneficios de las ubicaciones PoP global en la Cato Cloud.
Para situaciones que requieren servidores DNS locales, puede configurar servidores locales que estén físicamente cerca de los sites. Por ejemplo, si tiene un site en Nueva York y un site en Singapur, puede usar diferentes servidores DNS locales para cada site para que el servidor DNS en Singapur resuelva solicitudes DNS solo de los clientes conectados al site de Singapur. Los clientes que están conectados al site en Nueva York no necesitan enviar solicitudes DNS al servidor en Singapur para resolver las consultas. Es más eficiente y mejora el rendimiento de su red.
Para más información sobre cómo definir un servidor DNS personalizado para un site, consulte Configuring DNS Settings.
Cato recomienda que configure dos servidores DNS diferentes para redundancia. Configure el servidor DNS predeterminado de Cato (10.254.254.1 o x.y.z3 para consultas DNS internas) como primario y un servidor DNS público de confianza como el servidor DNS secundario. Para más información sobre servidores DNS de confianza, consulte Using Trusted DNS Servers. Si el servidor DNS primario no está disponible, Cato entonces utiliza el servidor DNS secundario para resolver las consultas. Si está utilizando un servidor DNS interno, configure el reenvío de DNS para resolver dominios internos.
Nota
Nota: DNSSEC no soporta el reenvío de DNS
Para usuarios de macOS, se recomienda definir solo servidores DNS primarios/ secundarios que no soporten DNSSEC, como 10.254.254.1 o un servidor DNS interno. Comenzando con macOS 13 Ventura, el sistema operativo prefiere DNSSEC (no soportado por la inspección de Cato) para resolver consultas DNS, lo cual puede interrumpir el reenvío de DNS de Cato. Para más información, vea Usuarios de macOS Ventura No Pueden Acceder a Recursos Internos Vía Cato.
Los usuarios remotos no se conectan a través de sites sino directamente a PoPs en la Cato Cloud. Por lo tanto, si la configuración de DNS no está correctamente configurada, los usuarios remotos pueden experimentar problemas de conectividad o no pueden acceder a los recursos internos. Por ejemplo, si configura la configuración de DNS para el site en lugar de para los usuarios remotos, los usuarios remotos no pueden acceder a estos recursos internos en su dominio. El servidor DNS no puede resolver consultas DNS para los Clientes ya que no están conectados al site. Por esta razón, debe configurar la configuración de DNS para los Clientes para permitir esta conectividad.
La configuración DNS de su cuenta se aplica a todos los Sites y usuarios remotos. Si tiene requisitos específicos de DNS para usuarios remotos, habilite la política DNS.
Cato recomienda que proteja sus activos corporativos y limite el acceso a servidores DNS internos como una buena práctica. Por ejemplo, defina que las personas que acceden a la red de invitados solo usen servidores DNS públicos para resolver consultas DNS. Cree una VLAN separada para la red de invitados y asigne esta red a un grupo de usuarios invitados. Luego, configure la configuración de DNS para este grupo solo con servidores DNS públicos no confiables. Para más información sobre redes de confianza, consulte Using Trusted DNS Servers.
Para hacer esto:
-
Cree una red WiFi para invitados en Sites
-
Cree un grupo para usuarios invitados y asigne las redes de invitados a este grupo
-
Defina un servidor no confiable para el grupo
La función de Reenvío de DNS de Cato le permite lograr conectividad a dominios locales en su red.
Los usuarios remotos usualmente no se conectan a sites sino directamente a la Cato Cloud. Esto significa que no hay un servidor DNS para resolver las consultas DNS para dominios locales. Le recomendamos que use reglas de Reenvío de DNS para enviar estas consultas al servidor DNS interno relevante. El servidor resuelve la consulta y permite a los usuarios SDP conectarse a recursos internos corporativos.
El Reenvío de DNS solo se aplica a solicitudes DNS que se envían a un servidor DNS de confianza (los servidores DNS configurados para su cuenta se consideran de confianza).
Puede configurar configuraciones de DNS personalizados para Sites o Usuario/Grupos de Usuarios. Las configuraciones de DNS personalizados tienen prioridad sobre las configuraciones de DNS a nivel de cuenta, incluido el Reenvío de DNS. Sin embargo, si el Reenvío de DNS está configurado para reenviar solicitudes a un servidor DNS de confianza o al servidor DNS configurado para la cuenta, entonces se utilizan las configuraciones de DNS a nivel de cuenta.
Notas:
-
Para cuentas que utilizan el servidor DNS de Cato, Cato puede reenviar consultas de DNS solo con las configuraciones de DNS predeterminadas
-
El Reenvío de DNS puede procesar solicitudes DNS a través de UDP o TCP
-
Los PoPs no almacenan solicitudes de reenvío de DNS en la caché
Para Normas de Red y reglas de cortafuegos basadas en DNS (por ejemplo TLD, FQDN y aplicaciones), el tráfico DNS debe usar un servidor DNS que sea de confianza o definido para la cuenta. De lo contrario, estas reglas basadas en DNS no se aplican al tráfico.
Si tiene un servidor DNS interno, debe reenviar las consultas DNS a un servidor DNS de confianza de Cato (incluyendo Cato DNS), o al servidor DNS configurado para la cuenta.
Si tiene una Norma de Red para tráfico fuera de la nube, asegúrese de que no incluya DNS, para que la consulta DNS se envíe a un servidor DNS de confianza de Cato.
0 comentarios
Inicie sesión para dejar un comentario.