Cet article contient des meilleures pratiques et des recommandations pour les paramètres et configurations DNS de votre compte.
Pour les sites dans différentes localisations physiques, vous pouvez obtenir de meilleures performances en configurant différents serveurs DNS internes pour différents sites. Alternativement, le service DNS de Cato utilise les localisations PoP globales dans le Cato Cloud pour fournir à vos hôtes une résolution DNS rapide et globale et peut significativement réduire la latence DNS. Les PoP stockent les réponses DNS en cache pour que les demandes DNS futures soient servies plus rapidement. Un hôte qui se connecte au Cato Cloud et utilise les services DNS de Cato, récupère la réponse DNS du PoP auquel il est connecté (généralement le PoP le plus proche). Par conséquent, le temps de réponse DNS est très rapide et réduit la latence DNS.
Nous vous recommandons d'utiliser les serveurs DNS de Cato et de profiter des bénéfices des localisations PoP globales dans le Cato Cloud.
Pour les situations nécessitant des serveurs DNS locaux, vous pouvez configurer des serveurs locaux qui sont physiquement proches des sites. Par exemple, si vous avez un site à New York et un site à Singapour, vous pouvez utiliser différents serveurs DNS locaux pour chaque site de sorte que le serveur DNS à Singapour résolve les demandes DNS des clients connectés uniquement au site de Singapour. Les clients connectés au site à New York n'ont pas besoin d'envoyer des demandes DNS au serveur à Singapour pour résoudre la requête. C'est plus efficace et améliore la performance de votre réseau.
Pour en savoir plus sur la définition d'un serveur DNS personnalisé pour un site, voir Configuration des paramètres DNS.
Cato recommande de configurer deux serveurs DNS différents pour la redondance. Configurez le serveur DNS par défaut de Cato (10.254.254.1 ou x.y.z3 pour les requêtes DNS internes) comme primaire et un serveur DNS public de confiance comme serveur DNS secondaire. Pour plus d'informations sur les serveurs DNS de confiance, voir Utilisation des serveurs DNS de confiance. Si le serveur DNS primaire n'est pas disponible, Cato utilise alors le serveur DNS secondaire pour résoudre les requêtes. Si vous utilisez un serveur DNS interne, configurez le transfert DNS pour résoudre les domaines internes.
Remarque
Remarque: DNSSEC ne prend pas en charge le transfert DNS
Pour les utilisateurs de macOS, il est recommandé de ne définir que des serveurs DNS primaires/secondaires qui ne prennent pas en charge DNSSEC comme 10.254.254.1 ou un serveur DNS interne. Depuis macOS 13 Ventura, le système d'exploitation préfère DNSSEC (non pris en charge par l'inspection de Cato) pour résoudre les requêtes DNS, ce qui peut casser le transfert DNS de Cato. Pour plus d'informations, voir Utilisateurs macOS Ventura incapables d'atteindre des ressources internes via Cato.
Les utilisateurs distants ne se connectent pas via les sites mais directement aux PoP dans le Cato Cloud. Par conséquent, si les paramètres DNS ne sont pas configurés correctement, les utilisateurs distants peuvent rencontrer des problèmes de connectivité ou ne peuvent pas accéder aux ressources internes. Par exemple, si vous configurez les paramètres DNS pour le site plutôt que pour les utilisateurs distants, ceux-ci ne peuvent pas accéder à ces ressources internes dans votre domaine. Le serveur DNS ne peut pas résoudre les requêtes DNS pour les Clients car ils ne sont pas connectés au site. Pour cette raison, vous devez configurer les paramètres DNS pour les Clients afin de permettre cette connectivité.
Les paramètres DNS de votre compte sont appliqués à tous les sites et utilisateurs distants. Si vous avez des exigences spécifiques de DNS pour les utilisateurs distants, activez la politique DNS.
Cato recommande de protéger vos actifs d'entreprise et de limiter l'accès aux serveurs DNS internes comme une bonne pratique. Par exemple, définissez que les personnes accédant au réseau invité n'utilisent que des serveurs DNS publics pour résoudre les requêtes DNS. Créez un VLAN séparé pour le réseau d'invités et assignez ce réseau à un groupe d'utilisateurs invités. Ensuite, configurez les paramètres DNS de ce groupe uniquement avec des serveurs DNS publics non de confiance. Pour plus d'informations sur les réseaux de confiance, voir Utilisation des serveurs DNS de confiance.
Pour faire ceci :
-
Créer un réseau WiFi invité pour les sites
-
Créez un groupe pour les utilisateurs invités et assignez les réseaux d'invités à ce groupe
-
Définir un serveur non de confiance pour le groupe
La fonction de Transfert de DNS de Cato vous permet d'obtenir une connectivité aux domaines locaux de votre réseau.
Les utilisateurs distants ne se connectent généralement pas aux sites mais directement au Cato Cloud. Cela signifie qu'il n'y a pas de serveur DNS pour résoudre les requêtes DNS pour les domaines locaux. Nous vous recommandons d'utiliser les règles de Transfert de DNS pour transmettre ces requêtes au serveur DNS interne pertinent. Le serveur résout la requête et permet aux utilisateurs SDP de se connecter aux ressources internes de l'entreprise.
Le Transfert de DNS ne s'applique qu'aux requêtes DNS envoyées à un serveur DNS de confiance (les serveurs DNS configurés pour votre compte sont considérés comme de confiance).
Vous pouvez configurer des paramètres DNS personnalisés pour les sites ou utilisateur/groupes d'utilisateurs. Les paramètres DNS personnalisés ont priorité sur les paramètres DNS au niveau du compte, y compris le transfert DNS. Cependant, si le transfert DNS est configuré pour transférer les requêtes à un serveur DNS de confiance ou au serveur DNS configuré pour le compte, alors les paramètres DNS au niveau du compte sont utilisés.
Remarques :
-
Pour les comptes qui utilisent le serveur DNS de Cato, Cato peut transférer des requêtes DNS uniquement avec les paramètres DNS par défaut
-
Le transfert de DNS peut traiter les requêtes DNS par UDP ou TCP
-
Les PoP ne stockent pas les requêtes de transfert DNS en cache
Pour les règles réseau et les règles de pare-feu basées sur DNS (par exemple TLD, FQDN et applications), le trafic DNS doit utiliser un serveur DNS qui est de confiance ou défini pour le compte. Sinon, ces règles basées sur DNS ne s'appliquent pas au trafic.
Si vous avez un serveur DNS interne, vous devez transférer les requêtes DNS à un serveur DNS de confiance de Cato (y compris le DNS Cato), ou le serveur DNS configuré pour le compte.
Si vous avez une règle réseau pour le trafic hors cloud, assurez-vous qu'elle n'inclut pas DNS, pour que la requête DNS soit envoyée à un serveur DNS de confiance de Cato.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.