購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
2020
閲覧回数
5
いいね!
0
コメント

Umbrella: サイトとは何か?

tkitahar
Cisco Employee
Cisco Employee

‎2018-01-04 05:03 PM

 

※ 2018 1 4 日現在の情報をもとに作成しています

 

1. はじめに

 

Virtual Appliance Active Directory Integration を使用していると、「サイト」という言葉が頻繁に出てきます。この「サイト」もなかなか理解しにくいところがありますので、本記事で改めて解説したいと思います。

 

2. サイトと Virtual Appliance

 

Umbrella における「サイト」は、Virtual Appliance を使う際に使用される用語で、「(DNS トラフィックのための) インターネットとの接続口を持つネットワークの物理的な敷地」を表します。

 

例えば、全国に複数の支社がある企業において、それぞれの支社に別々のインターネット回線がある場合、「東京サイト」「大阪サイト」というように支社ごとにサイトが分かれます。

 

そして、Virtual Appliance は各サイトのインターネット接続口付近に用意され、サイト内からの外向け DNS リクエストをクラウド上の Umbrella DNS サーバー (208.67.222.222/208.67.220.220) に転送する役割を担います。

 

japan.png

 

なお、1 台の Virtual Appliance に障害が発生した際に、ユーザーの DNS 通信が妨げられてしまわぬよう、各サイトに Virtual Appliance 2 台以上用意することが求められます。また、各 Virtual Appliance を収納するハイパーバイザーを物理的に分けることが推奨されます。

 

3. サイトと IP アドレス

 

Virtual Appliance は、同一サイト内の DNS リクエストをクラウド上に転送する際に、リクエスト元の端末の送信元 IP アドレスをパケットの拡張領域 (EDNS0) に付与します。

 

va.png

 

これにより、Umbrella DNS サーバーは各 DNS リクエストの「内部の IP アドレス」を知ることができIP アドレス (またはその範囲) 単位でポリシーを適用することができます。また、Activity Search などのレポートには、その IP アドレスが表示されるので、セキュリティ インシデントなどの際に送信元端末を特定できます。

 

このように、サイトと IP アドレスには密接な関連があるため、組織内ネットワークの IP アドレスの振り方によっては、以下の 2 点を考慮する必要があります。

 

1つ目は、1 つのサイトで同一のネットワーク セグメント (例えば 192.168.0.0/24) 2 箇所以上で使っており、かつ、それぞれに別々のポリシーを適用したい場合です。この場合、それらが同一の敷地内にあってもサイトを分ける必要があります。

 

もう 1 つは、クライアント端末と Virtual Appliance の間に NAT (Network Address Translation) を行うネットワーク機器がある場合です。この場合、EDNS0 に付与される送信元 IP アドレスが別のもの変換されてしまい、ポリシーの適用やレポートの表示に支障をきたす場合があります。

 

なお、この場合の解決策は、クライアント端末側のネットワークに新しい Virtual Appliance を用意することになります。

 

4. サイトと Active Directory Integration

 

Active Directory Integration 機能を使用する場合、連携させたいドメイン コントローラーと AD Connector Virtual Appliance と同じサイトに入れる必要があります。これにより、AD Connector がどの Virtual Appliance およびドメイン コントローラーと通信をすればいいかが明確になります。

 

site.png

 

ここで、Active Directory を管理している方であれば、Active Directory 環境における「サイト」とは違うのか?という疑問を持たれるかもしれません。

 

その答えは「別物」となりますが、コンセプトが似ているため、サイトの構成が完全に同一になる場合もあります。なお、Umbrella では、「1 つの Umbrella のサイトは、1 つ以上のActive Directory のサイトを含み、1 つの Active Directory のサイトは、複数の Umbrella のサイトを含まない」という指針があります。

 

Umbrella のサイトと Active Directory のサイトの違いについては、以下のサポート文書に詳細な情報があります。

 

Active Directory Integration – Multiple AD Sites and Sites for Umbrella

https://support.umbrella.com/hc/en-us/articles/230672227-Active-Directory-Integration-Multiple-AD-Sites-and-Sites-for-Umbrella

 

5. 参考情報

 

VIRTUAL APPLIANCE SETUP GUIDE - 2. Prerequisites

https://docs.umbrella.com/product/umbrella/2-prerequisites-1/

 

VIRTUAL APPLIANCE SETUP GUIDE - 3. Deployment Guidelines

https://docs.umbrella.com/product/umbrella/3-deployment-guidelines/

 

VIRTUAL APPLIANCE SETUP GUIDE - 8. Sites And Internal Networks

https://docs.umbrella.com/product/umbrella/8-sites-and-internal-networks/

 

ACTIVE DIRECTORY SETUP GUIDE - 1. Active Directory Integration Setup Guide Overview

https://docs.umbrella.com/product/umbrella/1-ad-integration-setup-overview/

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents