Vai al contenuto
Ultimo aggiornamento: 2022-07-05

Flussi DNS

In questa sezione viene fornita una panoramica di come funziona il DNS quando si accede a un’applicazione utilizzando ZTNA. È possibile accedere a un’applicazione con l’agente ZTNA oppure dal browser.

Flusso DNS con agente

Flusso DNS con agente

  1. L’utente remoto cerca di accedere a un’applicazione privata, app.mycompany.net, dal proprio browser.

  2. La richiesta DNS viene intercettata e inoltrata all’agente ZTNA.

    Nota

    L’agente ZTNA risolve l’FQDN dell’applicazione privata nell’IP CGN (Carrier Grade Network Address Translation) della rete e in più gestisce tutto il traffico destinato all’FQDN dell’applicazione privata.

  3. L’agente ZTNA invia una richiesta DNS al server DNS pubblico per l’indirizzo IP del gateway ZTNA. Questo passaggio è necessario per stabilire il tunnel con il gateway ZTNA.

    Nota

    Il server DNS pubblico ha una voce record A per il gateway ZTNA che punta all’IP del gateway.

  4. Il server DNS pubblico restituisce l’indirizzo IP del gateway ZTNA (203.0.113.20) all’agente ZTNA.

  5. Viene eseguita una cifratura TLS reciproca tra l’agente ZTNA e il gateway ZTNA, e viene stabilito un tunnel. Tutte le comunicazioni con il gateway ZTNA vengono effettuate attraverso il tunnel sicuro.

  6. L’agente invia il traffico dell’applicazione relativo ad app.mycompany.net al gateway ZTNA attraverso il tunnel.

  7. Il gateway ZTNA invia la query DNS relativa ad app.mycompany.net al server DNS privato per scoprire qual è l’IP specifico del server dell’applicazione.

  8. Il server DNS privato restituisce l’indirizzo IP specifico del server dell’applicazione (192.168.1.20) e il traffico viene inoltrato dal gateway ZTNA al server dell’applicazione.

  9. L’utente remoto può accedere all’applicazione privata attraverso il tunnel.

Nota

L’utente può accedere all’applicazione privata solo dopo l’autenticazione e l’autorizzazione, che non vengono discusse in questa sezione.

Flusso DNS senza agente

Flusso DNS senza agente

  1. L’utente remoto cerca di accedere a un’applicazione privata, app.mycompany.net, dal proprio browser.

  2. La richiesta DNS viene inviata dal browser dell’utente remoto al server DNS pubblico, che risolve il nome dell’applicazione privata nel nome e nell’indirizzo IP del gateway ZTNA.

    Nota

    Il server DNS pubblico ha un record CNAME per l’applicazione privata, che punta all’FQDN del gateway ZTNA. Ha anche un record A per il gateway ZTNA, che punta all’indirizzo IP del gateway.

  3. Il server DNS pubblico restituisce l’indirizzo IP del gateway ZTNA (203.0.113.20) al browser dell’utente.

  4. Una richiesta web viene quindi inviata dal browser dell’utente al gateway ZTNA.

  5. Il gateway ZTNA invia la richiesta DNS relativa ad app.mycompany.net al server DNS privato.

  6. Il server DNS privato restituisce l’indirizzo IP di app.mycompany.net (192.168.1.20).

  7. Il gateway ZTNA inoltra la richiesta (app.mycompany.net) al server dell’applicazione.

  8. L’utente può connettersi al gateway ZTNA per accedere all’applicazione privata.

Nota

L’utente può accedere all’applicazione privata solo dopo l’autenticazione e l’autorizzazione, che non vengono discusse in questa sezione.