Лучшие практики для DNS и вашей учетной записи Cato

Эта статья содержит лучшие практики и рекомендации по настройкам и конфигурациям DNS для вашей учетной записи.

Лучшие практики использования Cato DNS

Улучшение производительности сети для внутренних DNS-серверов

Для площадок в разных физических местах вы можете достичь лучшей производительности, настраивая разные внутренние DNS-серверы для разных площадок. В качестве альтернативы, DNS-сервис Cato использует глобальные расположения PoP в облаке Cato для предоставления вашим хостам быстрой и глобальной DNS-разрешения и может значительно уменьшить задержку DNS. PoP хранят DNS-ответы в кэше, чтобы будущие DNS-запросы обрабатывались быстрее. Хост, который подключается к облаку Cato и использует DNS-сервисы Cato, получает DNS-ответ от PoP, к которому он подключен (обычно это ближайший PoP). Поэтому время ответа DNS очень быстрое и уменьшает задержку DNS.

Мы рекомендуем использовать DNS-серверы Cato и воспользоваться преимуществами глобальных расположений PoP в облаке Cato.

Для ситуаций, когда требуются локальные DNS-серверы, вы можете настроить локальные серверы, которые физически близки к площадкам. Например, если у вас есть площадка в Нью-Йорке и площадка в Сингапуре, вы можете использовать разные локальные DNS-серверы для каждой площадки, чтобы DNS-сервер в Сингапуре обрабатывал DNS-запросы только от клиентов, подключенных к площадке Сингапура. Клиенты, которые подключены к площадке в Нью-Йорке, не нуждаются в отправке DNS-запросов на сервер в Сингапуре для разрешения запроса. Это более эффективно и улучшает производительность вашей сети.

Для получения дополнительной информации о настройке пользовательского DNS-сервера для площадки, смотрите Настройки DNS.

Настройка основных и вторичных DNS-серверов для аварийного переключения

Cato рекомендует настроить два разных DNS-сервера для обеспечения отказоустойчивости. Установите DNS-сервер Cato по умолчанию (10.254.254.1 или x.y.z3 для внутренних DNS-запросов) в качестве основного и доверенный публичный DNS-сервер в качестве вторичного DNS-сервера. Для получения дополнительной информации о доверенных DNS-серверах, см. Использование доверенных DNS-серверов. Если основной DNS-сервер недоступен, тогда Cato использует вторичный DNS-сервер для разрешения запросов. Если вы используете внутренний DNS-сервер, настройте перенаправление DNS для разрешения внутренних доменов.

Заметка

Примечание: DNSSEC не поддерживает перенаправление DNS

Для пользователей macOS рекомендуется определять только основные/вторичные DNS-серверы, которые не поддерживают DNSSEC, такие как 10.254.254.1 или внутренний DNS-сервер. Начиная с macOS 13 Ventura, операционная система предпочитает DNSSEC (не поддерживается проверкой Cato) для разрешения DNS-запросов, что может нарушить перенаправление DNS Cato. Для получения дополнительной информации смотрите Пользователи macOS Ventura не могут получить доступ к внутренним ресурсам через Cato.

Работа с DNS для удаленных пользователей

Удаленные пользователи не подключаются через площадки, а напрямую к PoP в облаке Cato. Таким образом, если DNS-настройки не настроены корректно, удаленные пользователи могут столкнуться с проблемами подключения или не могут получить доступ к внутренним ресурсам. Например, если вы настраиваете DNS-настройки для площадки, а не для удаленных пользователей, удаленные пользователи не смогут получить доступ к этим внутренним ресурсам в вашем домене. DNS-сервер не может разрешить DNS-запросы для Клиентов, так как они не подключены к площадке. По этой причине вы должны настроить DNS-настройки для Клиентов, чтобы обеспечить это соединение.

Настройки DNS вашей учетной записи применяются ко всем площадкам и удаленным пользователям. Если у вас есть специфические требования к DNS для удаленных пользователей, активируйте Политику DNS.

Защита внутренних ресурсов для гостей

Cato рекомендует защитить корпоративные активы и ограничить доступ к внутренним DNS-серверам как лучшую практику. Например, определите, что люди, получающие доступ к гостевой сети, используют только публичные DNS-серверы для разрешения DNS-запросов. Создайте отдельную VLAN для гостевой сети и назначьте эту сеть группе гостей. Затем настройте DNS-настройки для этой группы только с недоверенными публичными DNS-серверами. Для получения дополнительной информации о Доверенные Сети.

Для этого:

  1. Создать гостевую WiFi сеть для Сайтов

  2. Создать Группу для гостевых пользователей и назначить гостевые сети этой группе

  3. Определить ненадежный сервер для группы

Подключение для Удаленных Пользователей с Перенаправлением DNS

Функция Перенаправление DNS Cato позволяет достичь подключение к локальным доменам в вашей сети.

Удаленные пользователи обычно не подключены к Сайтам, а непосредственно к Cato Cloud. Это означает, что нет DNS сервера для разрешения DNS запросов для локальных доменов. Мы рекомендуем использовать правила Перенаправление DNS для перенаправления этих запросов к внутреннему DNS серверу. Сервер разрешает запрос и позволяет Пользователи SDP подключаться к корпоративным внутренним ресурсам.

Перенаправление DNS применяется только к DNS запросам, которые отправляются на надежный DNS сервер (DNS серверы настроенные для вашей учетной записи считаются надежными).

Вы можете настроить пользовательские Настройки DNS для Сайтов или Пользователь/Группы пользователей. Пользовательские Настройки DNS имеют приоритет над Настройки DNS на уровне учетной записи, включая Перенаправление DNS. Однако, если Перенаправление DNS настроено для передачи запросов на надежный DNS сервер или DNS сервер, настроенный для учетной записи, тогда используются Настройки DNS на уровне учетной записи.

Примечание:

  • Для учетных записей, использующих DNS сервер Cato, Cato может перенаправлять DNS запросы только с настройками DNS по умолчанию

  • Перенаправление DNS может обрабатывать DNS запросы через UDP или TCP

  • Точки присутствия не хранят запросы перенаправления DNS в кэше

Перенаправление трафика DNS в Cato

Для сетевых правил и правил файервола, основанных на DNS (например, TLD, Полное доменное имя (FQDN) и приложения), DNS трафик должен использовать DNS сервер, которому доверяют или который определен для учетной записи. В противном случае эти правила, основанные на DNS, не применяются к трафику.

Если у вас есть внутренний DNS сервер, вы должны перенаправить DNS запросы на надежный DNS сервер Cato (включая Cato DNS), или DNS сервер, настроенный для учетной записи.

Если у вас есть Сетевое Правило для трафика Вне Облака, убедитесь, что оно не включает DNS, чтобы DNS запрос отправлялся на надежный DNS сервер Cato.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 8 из 9

0 комментариев