Configurar el dispositivo Citrix ADC como un servidor proxy DNS

Como servidor proxy DNS, el dispositivo ADC puede funcionar como proxy para un único servidor DNS o un grupo de servidores DNS. El flujo de solicitudes y respuestas se ilustra en el siguiente diagrama de topología de ejemplo.

Imagen 1. Citrix ADC como proxy DNS

NetScaler como proxy DNS

De forma predeterminada, el dispositivo Citrix ADC almacena en caché las respuestas de los servidores de nombres DNS. Cuando el dispositivo recibe una consulta DNS, comprueba el dominio consultado en su caché. Si la dirección del dominio consultado está presente en su caché, Citrix ADC devuelve la dirección correspondiente al cliente. De lo contrario, reenvía la consulta a un servidor de nombres DNS que comprueba la disponibilidad de la dirección y la devuelve al Citrix ADC. A continuación, Citrix ADC devuelve la dirección al cliente.

Para las solicitudes de un dominio que se ha almacenado en caché anteriormente, Citrix ADC sirve el registro de direcciones del dominio desde la caché sin consultar el servidor DNS configurado.

El dispositivo descarta un registro almacenado en su caché cuando el valor de tiempo de vida (TTL) del registro alcanza el valor configurado. Un cliente que solicita un registro caducado tiene que esperar hasta que Citrix ADC recupere el registro del servidor y actualice su caché. Para evitar este retraso, Citrix ADC actualiza proactivamente la caché recuperando el registro del servidor antes de que caduque.

En la siguiente tabla se enumeran los nombres de ejemplo y los valores de las entidades que se deben configurar en Citrix ADC.

Tabla 1. Ejemplo de configuración de entidad proxy DNS

Tipo de entidad Nombre Dirección IP Tipo Puerto
Servidor virtual LB Vserver-DNS-1 10.102.29.40 DNS 53
Servicios Service-DNS-1 10.102.29.50 DNS 53
Servicios Service-DNS-2 10.102.29.51 DNS 53

El siguiente diagrama muestra las entidades de un proxy DNS y los valores de los parámetros que se configurarán en Citrix ADC.

Imagen 2. Modelo de entidad proxy DNS

Modelo de entidad proxy DNS

Nota

Para configurar el proxy DNS, necesita saber cómo configurar los servicios de equilibrio de carga y los servidores virtuales.

Crear un servidor virtual de equilibrio de carga

Para configurar un proxy DNS en Citrix ADC, configure un servidor virtual de equilibrio de carga de tipo DNS. Para configurar un servidor virtual DNS para equilibrar la carga de un conjunto de servidores DNS que admiten consultas recursivas, debe establecer la opción Recursión disponible. Con esta opción, el bit RA se establece en ON en las respuestas DNS del servidor virtual DNS.

Para obtener instrucciones sobre cómo crear un servidor virtual de equilibrio de carga, consulte Equilibrio de carga.

Crear servicios DNS

Después de crear un servidor virtual de equilibrio de carga de tipo DNS, debe crear servicios DNS. Puede agregar, modificar, habilitar, inhabilitar y quitar un servicio DNS. Para obtener instrucciones sobre cómo crear un servicio DNS, consulte Equilibrio de carga.

Enlazar un servidor virtual de equilibrio de carga a servicios DNS

Para completar la configuración del proxy DNS, debe vincular los servicios DNS al servidor virtual de equilibrio de carga. Para obtener instrucciones sobre cómo enlazar un servicio a un servidor virtual de equilibrio de carga, consulte Equilibrio de carga.

Configurar la configuración del proxy DNS para usar TCP

Algunos clientes utilizan el Protocolo de datagramas de usuario (UDP) para las comunicaciones DNS. Sin embargo, UDP especifica un tamaño máximo de paquete de 512 bytes. Cuando las longitudes de carga exceden los 512 bytes, el cliente debe utilizar el Protocolo de control de transmisión (TCP). Cuando un cliente envía al dispositivo Citrix ADC una consulta DNS, el dispositivo reenvía la consulta a uno de los servidores de nombres. Si la respuesta es demasiado grande para un paquete UDP, el servidor de nombres establece el bit de truncamiento en su respuesta al Citrix ADC. El bit de truncamiento indica que la respuesta es demasiado grande para UDP y que el cliente debe enviar la consulta a través de una conexión TCP. Citrix ADC transmite la respuesta al cliente con el bit de truncamiento intacto y espera a que el cliente inicie una conexión TCP con la dirección IP del servidor virtual de equilibrio de carga DNS, en el puerto 53. El cliente envía la solicitud a través de una conexión TCP. A continuación, el dispositivo Citrix ADC reenvía la solicitud al servidor de nombres y transmite la respuesta al cliente.

Para configurar Citrix ADC para utilizar el protocolo TCP para DNS, debe configurar un servidor virtual de equilibrio de carga y servicios, ambos de tipo DNS_TCP. Puede configurar monitores de tipo DNS_TCP para comprobar el estado de los servicios. Para obtener instrucciones sobre cómo crear servidores virtuales, servicios y monitores DNS_TCP, consulte Equilibrio de carga.

Para actualizar los registros de forma proactiva, Citrix ADC utiliza una conexión TCP al servidor para recuperar los registros.

Importante

Para configurar Citrix ADC para que use UDP para DNS y use TCP solo cuando la longitud de carga útil de UDP supere los 512 bytes, debe configurar los servicios DNS y DNS_TCP. La dirección IP del servicio DNS_TCP debe ser la misma que la del servicio DNS.

Configurar valores de tiempo de vida para entradas DNS

El TTL es el mismo para todos los registros DNS con el mismo nombre de dominio y tipo de registro. Si se cambia el valor TTL para uno de los registros, el nuevo valor se refleja en todos los registros del mismo nombre de dominio y tipo. El valor TTL predeterminado es 3600 segundos. El mínimo es 0 y el máximo es 604800. Si una entrada DNS tiene un valor TTL menor que el mínimo o mayor que el máximo, se guarda como valor TTL mínimo o máximo, respectivamente.

Especifique el TTL mínimo y/o máximo mediante la CLI

En el símbolo del sistema de Citrix ADC, escriba los siguientes comandos para especificar el TTL mínimo y máximo y verificar la configuración:

-  set dns parameter [-minTTL <secs>] [-maxTTL <secs>]
-  show dns parameter

Ejemplo:

> set dns parameter -minTTL 1200 -maxTTL 1800
 Done
> show dns parameter
        DNS parameters:
        DNS retries: 5
        Minimum TTL: 1200               Maximum TTL: 1800
            .
            .
            .
 Done
>

Especifique el TTL mínimo y/o máximo mediante la interfaz gráfica de usuario

  1. Desplácese a Administración del tráfico > DNS.
  2. En el panel de detalles, en Configuración, haga clic en Cambiar configuración de DNS.
  3. En el cuadro de diálogo Configurar parámetros DNS, en TTL, en los cuadros de texto Mínimo y Máximo, escriba el tiempo mínimo y máximo de vida (en segundos) respectivamente y, a continuación, haga clic en Aceptar.

Nota: Cuando caduca el TTL, el registro se elimina de la caché. Citrix ADC se pone en contacto proactivamente con los servidores y obtiene el registro DNS justo antes de que caduque el registro DNS.

Vaciar registros DNS

Puede eliminar todos los registros DNS presentes en la caché. Por ejemplo, es posible que desee vaciar los registros DNS cuando se reinicie un servidor después de realizar las modificaciones.

Eliminar todos los registros proxy mediante la CLI

En el símbolo del sistema de Citrix ADC, escriba:

flush dns proxyRecords

Eliminar todos los registros proxy mediante la interfaz gráfica de usuario

  1. Desplácese a Administración de tráfico > DNS > Registros.
  2. En el panel de detalles, haga clic en Desactivar registros proxy.

Agregar registros de recursos DNS

Puede agregar registros DNS a un dominio para el que el dispositivo Citrix ADC esté configurado como servidor proxy DNS. Para obtener información sobre cómo agregar registros DNS, consulte Configuración de registros de recursos DNS.

Quitar un servidor virtual DNS de equilibrio de carga

Para obtener información sobre cómo quitar un servidor virtual de equilibrio de carga, consulte Equilibrio de carga.

Limitar el número de solicitudes DNS simultáneas en una conexión de cliente

Puede limitar el número de solicitudes DNS simultáneas en una única conexión de cliente, que se identifica mediante la<vserver ip:port> tupla -. Las solicitudes DNS simultáneas son aquellas solicitudes que el dispositivo Citrix ADC ha reenviado a los servidores de nombres y para las que el dispositivo está esperando respuestas. Limitar el número de solicitudes simultáneas en una conexión de cliente permite proteger los servidores de nombres cuando un cliente hostil intenta un ataque de denegación de servicio distribuida (DDoS) enviando un flujo de solicitudes DNS. Cuando se alcanza el límite para una conexión de cliente, las solicitudes DNS posteriores en la conexión se eliminan hasta que el recuento de solicitudes pendientes vaya por debajo del límite. Este límite no se aplica a las solicitudes que el dispositivo Citrix ADC sirve fuera de su caché.

El valor predeterminado de este parámetro es 255. Este valor predeterminado es suficiente en la mayoría de los casos. Si los servidores de nombres sirven un gran número de solicitudes DNS simultáneas en condiciones normales de funcionamiento, puede especificar un valor grande o un valor de cero (0). Un valor de 0 inhabilita esta función y especifica que no hay límite para el número de solicitudes DNS permitidas en una única conexión de cliente. Se trata de un parámetro global y se aplica a todos los servidores virtuales DNS configurados en el dispositivo Citrix ADC.

Especifique el número máximo de solicitudes DNS simultáneas permitidas en una única conexión de cliente mediante la CLI

En el símbolo del sistema, escriba los comandos siguientes para especificar el número máximo de solicitudes DNS simultáneas permitidas en una única conexión de cliente y compruebe la configuración:

-  set dns parameter -maxPipeline <positive_integer>
-  show dns parameter

Ejemplo:

> set dns parameter -maxPipeline 1000
 Done
> show dns parameter
        DNS parameters:
        DNS retries: 5
        .
        .
        .
        Max DNS Pipeline Requests: 1000
 Done

Especifique el número máximo de solicitudes DNS simultáneas permitidas en una única conexión de cliente mediante la interfaz gráfica de usuario

  1. Desplácese a Administración del tráfico > DNS.
  2. En el panel de detalles, haga clic en Cambiar configuración de DNS.
  3. En el cuadro de diálogo Configurar parámetros DNS, especifique un valor para Máximo de solicitudes de proceso DNS.
  4. Haga clic en Aceptar.