Zum Inhalt
Letztes Update: 2022-07-05

DNS-Ströme

Im Folgenden finden Sie einen Überblick über die Funktionsweise von DNS, wenn Sie über ZTNA auf eine Anwendung zugreifen. Sie können mit dem ZTNA-Agenten oder über Ihren Browser auf eine Anwendung zugreifen.

DNS-Flow mit Agent

DNS-Flow mit Agent

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung „app.mycompany.net“ zuzugreifen.

  2. Die DNS-Anfrage wird abgefangen und an den ZTNA-Agenten weitergeleitet.

    Hinweis

    Der ZTNA-Agent löst den FQDN der privaten Anwendung zur „Carrier-Grade“-NAT-Netzwerk-IP der Carrier-Klasse (CGN) auf und verarbeitet auch den gesamten Datenverkehr, der für den FQDN der privaten Anwendung bestimmt ist.

  3. Der ZTNA-Agent sendet eine DNS-Anfrage an den öffentlichen DNS-Server für die IP-Adresse des ZTNA-Gateways. Dies ist erforderlich, um den Tunnel mit dem ZTNA-Gateway einzurichten.

    Hinweis

    Der öffentliche DNS-Server verfügt über einen A-Datensatz für das ZTNA-Gateway, der auf die IP des Gateways verweist.

  4. Der öffentliche DNS-Server sendet die IP-Adresse des ZTNA-Gateways (203.0.113.20) an den ZTNA-Agenten zurück.

  5. Die gegenseitige TLS-Verschlüsselung wird zwischen dem ZTNA-Agenten und dem ZTNA-Gateway durchgeführt und es wird ein Tunnel eingerichtet. Die gesamte Kommunikation mit dem ZTNA-Gateway erfolgt über den sicheren Tunnel.

  6. Der Agent sendet den Anwendungsdatenverkehr zu „app.mycompany.net“ über den Tunnel an das ZTNA-Gateway.

  7. Das ZTNA-Gateway sendet die DNS-Abfrage zu „app.mycompany.net“ an den privaten DNS-Server, um zu ermitteln, wo sich die spezifische Anwendungsserver-IP befindet.

  8. Der private DNS-Server gibt die IP-Adresse des Anwendungsservers (192.168.1.20) zurück und der Datenverkehr wird vom ZTNA-Gateway an den Anwendungsserver weitergeleitet.

  9. Der Remote-Benutzer kann über den Tunnel auf die private Anwendung zugreifen.

Hinweis

Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.

Agentenloser DNS-Flow

Agentenloser DNS-Flow

  1. Der Remote-Benutzer versucht, über seinen Browser auf eine private Anwendung „app.mycompany.net“ zuzugreifen.

  2. Die DNS-Anforderung wird vom Browser des Remote-Benutzers an den öffentlichen DNS-Server gesendet, der den Namen der privaten Anwendung in den Namen und die IP-Adresse des ZTNA-Gateways auflöst.

    Hinweis

    Der öffentliche DNS-Server verfügt über einen CNAME-Record für die private Anwendung, der auf den FQDN des ZTNA-Gateways verweist. Außerdem verfügt er über auch einen A-Datensatz für das ZTNA-Gateway, der auf die IP-Adresse des Gateways verweist.

  3. Der öffentliche DNS-Server sendet die IP-Adresse des ZTNA-Gateways (203.0.113.20) an den Browser des Benutzers zurück.

  4. Eine Webanfrage wird dann vom Browser des Benutzers an das ZTNA-Gateway gesendet.

  5. Das ZTNA-Gateway sendet die DNS-Anforderung für „app.mycompany.net“ an den privaten DNS-Server.

  6. Der private DNS-Server gibt die IP-Adresse „app.mycompany.net“ (192.168.1.20) zurück.

  7. Das ZTNA-Gateway leitet die Anforderung (app.mycompany.net) an den Anwendungsserver weiter.

  8. Der Benutzer kann eine Verbindung zum ZTNA-Gateway herstellen, um auf die private Anwendung zuzugreifen.

Hinweis

Der Benutzer kann nur nach Authentifizierung und Autorisierung auf die private Anwendung zugreifen, ist aber in diesem Thema nicht enthalten.