Flussi DNS
In questa sezione viene fornita una panoramica di come funziona il DNS quando si accede a un’applicazione utilizzando ZTNA. È possibile accedere a un’applicazione con l’agente ZTNA oppure dal browser.
Flusso DNS con agente
-
L’utente remoto cerca di accedere a un’applicazione privata, app.mycompany.net, dal proprio browser.
-
La richiesta DNS viene intercettata e inoltrata all’agente ZTNA.
Nota
L’agente ZTNA risolve l’FQDN dell’applicazione privata nell’IP CGN (Carrier Grade Network Address Translation) della rete e in più gestisce tutto il traffico destinato all’FQDN dell’applicazione privata.
-
L’agente ZTNA invia una richiesta DNS al server DNS pubblico per l’indirizzo IP del gateway ZTNA. Questo passaggio è necessario per stabilire il tunnel con il gateway ZTNA.
Nota
Il server DNS pubblico ha una voce record A per il gateway ZTNA che punta all’IP del gateway.
-
Il server DNS pubblico restituisce l’indirizzo IP del gateway ZTNA (203.0.113.20) all’agente ZTNA.
-
Viene eseguita una cifratura TLS reciproca tra l’agente ZTNA e il gateway ZTNA, e viene stabilito un tunnel. Tutte le comunicazioni con il gateway ZTNA vengono effettuate attraverso il tunnel sicuro.
-
L’agente invia il traffico dell’applicazione relativo ad app.mycompany.net al gateway ZTNA attraverso il tunnel.
-
Il gateway ZTNA invia la query DNS relativa ad app.mycompany.net al server DNS privato per scoprire qual è l’IP specifico del server dell’applicazione.
-
Il server DNS privato restituisce l’indirizzo IP specifico del server dell’applicazione (192.168.1.20) e il traffico viene inoltrato dal gateway ZTNA al server dell’applicazione.
-
L’utente remoto può accedere all’applicazione privata attraverso il tunnel.
Nota
L’utente può accedere all’applicazione privata solo dopo l’autenticazione e l’autorizzazione, che non vengono discusse in questa sezione.
Flusso DNS senza agente
-
L’utente remoto cerca di accedere a un’applicazione privata, app.mycompany.net, dal proprio browser.
-
La richiesta DNS viene inviata dal browser dell’utente remoto al server DNS pubblico, che risolve il nome dell’applicazione privata nel nome e nell’indirizzo IP del gateway ZTNA.
Nota
Il server DNS pubblico ha un record CNAME per l’applicazione privata, che punta all’FQDN del gateway ZTNA. Ha anche un record A per il gateway ZTNA, che punta all’indirizzo IP del gateway.
-
Il server DNS pubblico restituisce l’indirizzo IP del gateway ZTNA (203.0.113.20) al browser dell’utente.
-
Una richiesta web viene quindi inviata dal browser dell’utente al gateway ZTNA.
-
Il gateway ZTNA invia la richiesta DNS relativa ad app.mycompany.net al server DNS privato.
-
Il server DNS privato restituisce l’indirizzo IP di app.mycompany.net (192.168.1.20).
-
Il gateway ZTNA inoltra la richiesta (app.mycompany.net) al server dell’applicazione.
-
L’utente può connettersi al gateway ZTNA per accedere all’applicazione privata.
Nota
L’utente può accedere all’applicazione privata solo dopo l’autenticazione e l’autorizzazione, che non vengono discusse in questa sezione.