Podkast 22T6 DNS dla VLAN na kontrolerach Aruby [Konfiguracja]

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podcastu, dzisiejszy temat to serwer DNS konfigurowany per VLAN. Od razu może wyjaśnię, że jak konfigurujemy VLAN to w tym VLAN-ie mamy skonfigurowanego DHCP serwer. Jeśli nie chcesz to oczywiście nie musisz, można spokojnie skonfigurować VLAN nie posiadający takiego serwera. Tyle tylko, że wtedy trzeba ręcznie przypisywać adresy IP dla poszczególnych komputerów. Taka podstawowa rzecz. Więc jeżeli masz faktycznie standardowo przypisywany adres IP z DHCP-a, to jeden z parametrów które z niego wysyłasz, jest to serwer DNS. Możesz różnicować w zależności od tego, jaki VLAN, z jaką konfiguracją DHCP ma powiązanie.

Serwer DHCP można konfigurować w małych środowiskach na routerze. W takim przypadku konfiguruje się pulę per VLAN. Przypisuje się wtedy, która pula i jaki serwer DNS ma funkcjonować i być rozgłaszany dla danego VLAN-u. W większych środowiskach jest serwer centralny a w nim pule konfigurowalne. Natomiast na gateway-u, czyli na bramie dla danego VLAN-u konfiguruje się DHCP Relay tak, żeby to zapytanie szło unicastem od gateway-a do serwera DHCP.

Ciekawą rzeczą z punktu widzenia bezpieczeństwa i serwerów DNS jest to, że ponieważ podchodząc standardowo i tradycyjnie do przekazywania informacji o serwerach DNS nie mamy możliwości wymuszenia tej konfiguracji. W przypadku, gdy urządzenie końcowe pobierze sobie z DHCP informacje o DNSie, ale użytkownik wejdzie w konfiguracje i zmieni te serwery DNS to w zasadzie nie możemy tego w jakiś sposób zablokować. Przynajmniej w przypadku typowych urządzeń typu Access Lista na routerze, czy na przełączniku jakiejś reguły. Jeżeli chciałbyś to robić, to oczywiście można to wykonać, gdy masz Firewall aplikacyjny, czyli taki, który może analizować konkretne zapytania, URL-e. Jak również można tutaj pewne integracje software’owe wykonywać w taki sposób, żeby np takie zapytania, które idą do innych serwerów blokowały. Tu ciekawostka – kiedyś brałem udział w projekcie, który miał za zadanie blokować nieautoryzowane serwery DNS. Jeśli zezwolisz na ruch DNS-owy np na Firewall-u aplikacyjnym do konkretnego, nawet nie adresu IP, tylko do jakiegoś zakresu, to wtedy możesz takie nieautoryzowane serwery blokować.

W przypadku pytań pisz w komentarzu, jeśli chcesz zobaczyć konfigurację, będzie ona dostępna w najbliższym odcinku, już w poniedziałek. Na dziś to tyle, dziękuję Ci za uwagę i do zobaczenia już za tydzień.