使用Cato作为您的DNS服务器的DNS流示例

本文提供了使用Cato作为DNS服务器时DNS流的示例。

DNS流示例图

本节展示了几个DNS流示例。 每个示例解释了在不同配置中Cato的DNS服务如何工作。

使用Cato作为DNS服务器

下图显示了一个使用Cato DNS服务器的账户示例(10.254.254.1)。 相同的流量适用于任何可信DNS服务器。

  1. 主机请求解析公共域名(abc.com)。

  2. Cato POP拦截DNS查询并检查目标IP地址。 PoP执行DNS检查,检查DNS转发规则和缓存中的本地DNS记录。

  3. 缓存中没有找到匹配的DNS记录。

  4. 然后PoP将DNS查询转发到可信DNS服务器并执行SNAT。

  5. 当可靠的DNS服务器返回响应时,PoP将源和目标IP地址翻译回并将响应转发到原始主机。

    PoP还在缓存中存储DNS响应。

mceclip0.png

使用不信任的DNS服务器

下图显示了一个使用不可信的DNS服务器的示例(IP地址:208.67.222.222 - OpenDNS)。

  1. PoP将DNS查询“原样”转发到互联网上的目标(abc.com)。

  2. PoP应用DNS保护策略和DNS缓存。

  3. PoP对源IP地址执行NAT(使用PoP公共IP地址)。

    PoP不执行DNS检查,也不应用DNS转发规则。

mceclip1.png

使用DNS转发规则

下图显示了应用DNS转发规则时(*.local.org)对Cato的DNS服务(10.254.254.1)的DNS查询示例。

  1. PoP检查DNS查询,并检查转发规则。

  2. PoP将DNS查询重定向到远程DNS服务器(192.168.5.5)。

    PoP不缓存来自转发DNS服务器的DNS响应。

    如果主机和DNS服务器在同一站点,这些数据包的源IP是10.254.254.1

mceclip2.png

使用不信任的私有DNS服务器

下图显示了使用不可信的私有DNS服务器的示例(192.168.5.5)。

  1. PoP将DNS查询“原样”通过WAN转发到目的地。

  2. PoP应用DNS保护策略和DNS缓存。

  3. PoP不执行DNS检查且不应用DNS转发规则。

注意:DNS响应仍然填充供Internet防火墙和网络规则使用的dname字段。 这意味着响应可能会被Cato检查和阻止。

mceclip3.png

使用Cato作为具有DNS中继的DNS服务器

下图显示了当您在分离隧道策略中为本地DNS服务器配置例外时,使用Cato作为DNS服务器的示例。

一旦有例外,DNS中继服务会自动实施以促进正确解析。 Cato已添加DNS中继服务以管理DNS请求并确定请求是否需要经过Cato DNS或本地DNS。

本地域查询

本节显示当您发送一个本地域的DNS请求时的流,其被发送到本地DNS服务器。

  1. 主机请求解析本地域 (*.local.org)。

  2. DNS中继拦截请求,并将其重定向到与主机在同一站点的本地DNS服务器 (192.168.5.5)。 DNS中继使用与主机相同的IP(因为它只是其中的一个组件,没有其他物理接口)。

  3. 本地DNS服务器将响应发送回发起请求的主机。

  4. DNS中继拦截响应并将其重定向到发起请求的主机。

local-dns-flow.png

公共域查询

本节展示通过Cato DNS服务器发送公共域DNS请求时的流。

  1. 主机请求解析公共域,例如cnn.com。

  2. DNS中继拦截请求,并将其重定向到Cato DNS服务器 (10.254.254.1)。 DNS中继使用与主机相同的IP地址(因为它只是其中的一个组件,没有其他物理接口)。

  3. PoP随后将DNS查询转发到受信任的DNS服务器并执行SNAT。

  4. 受信任的DNS服务器将响应发送给PoP。

  5. 当受信任的DNS服务器发送回响应时,PoP会翻译源和目标IP地址,并将响应转发给发起请求的主机。

  6. DNS中继拦截响应并将其重定向到发起请求的主机

Cato-DNS-Relay.png

这篇文章有帮助吗?

7 人中有 4 人觉得有帮助

0 条评论