• アプリケーションまたはホストが、DNSを使用する代わりにIPアドレスを直接使用してドメイン名をクエリしている場合、ポリシーは適用されません。

• クライアントが Web プロキシに接続すると、DNS クエリはシスコデバイスをパススルーしません。この場合、コネクタはDNS要求を一切検出できず、Web サーバーへの接続は Cisco Umbrella ポータルからのすべてのポリシーをバイパスします。

• Cisco Umbrella の統合ポリシーによって DNS クエリがブロックされると、クライアントは Cisco Umbrella ブロックページにリダイレクトされます。これらのブロックページは、HTTPS サーバによって提供され、IP アドレス範囲は Cisco Umbrella ポータルによって定義されます。

• ユーザー認証とアイデンティティは、このリリースではサポートされません。

• リダイレクトされるレコードは、タイプ A、AAAA、および TXT クエリのみです。他のタイプのクエリはコネクタをバイパスします。Cisco Umbrella Connector は、悪意のあるトラフィックに関する既知の IP アドレスのリストを保持しています。Cisco Umbrella ローミングクライアントは、これらのアドレスが宛先のパケットを検出すると、各アドレスを Cisco Umbrella クラウドに転送して、さらに検査します。

• ホストの IPv4 アドレスのみが EDNS オプションで伝達されます。

• 最大 64 のローカルドメインを設定できます。許可されるドメイン名の長さは 100 文字です。

Cisco Umbrella 統合機能を設定するには、次の要件を満たしている必要があります。

• Cisco Umbrella を有効にするには、デバイスにセキュリティ K9 ライセンスが必要です。

• デバイスが Cisco IOS XE Denali 16.3 以降のソフトウェアイメージを実行している必要があります。

• Cisco Umbrella サブスクリプションライセンスが利用可能である必要があります。

• デバイスがデフォルトの DNS サーバーゲートウェイとして設定されており、DNS トラフィックがその Cisco デバイスを確実に通過する必要があります。

• Cisco Umbrella サーバへのデバイス登録に使用する通信は HTTPS 経由です。HTTPS 通信を行うには、ルータにルート証明書がインストールされている必要があります。この証明書をペーストする代わりに、次のリンクから証明書を直接ダウンロードすることができます。https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem

Cisco Umbrella Integration 機能は、デバイスを介して DNS サーバーに送信される DNS クエリを検査する、クラウドベースのセキュリティサービスを提供します。ホストがトラフィックを開始し、DNS クエリを送信すると、デバイスの Cisco Umbrella コネクタは DNS クエリを横取りして検査します。ローカルドメインへの DNS クエリの場合は、DNS パケットを変更せずにエンタープライズ ネットワーク内の DNS サーバーにクエリを転送します。外部ドメインへの DNS クエリの場合は、クエリに拡張 DNS（EDNS）レコードを追加して Cisco Umbrella リゾルバに送信します。EDNS レコードには、デバイス識別子情報、組織 ID、およびクライアント IP アドレスが含まれています。Cisco Umbrella クラウドは、この情報に基づいて、DNS クエリにさまざまなポリシーを適用します。

Cisco デバイスから Cisco Umbrella 統合サーバーに送信される DNS パケットは、パケット内の EDNS 情報にユーザー ID、内部ネットワーク IP アドレスなどの情報が含まれている場合、暗号化する必要があります。DNS 応答が DNS サーバーから戻されると、デバイスはパケットを復号してからホストに転送します。

DNS パケットは、DNScrypt 機能が Cisco デバイスで有効化されている場合にのみ暗号化できます。

Cisco デバイスは次の Anycast 再帰型 Cisco Umbrella 統合サーバーを使用します。

• 208.67.222.222

• 208.67.220.220

• 2620:119:53::53

• 2620:119:35::35

次の図は、Cisco Umbrella 統合のトポロジを示します。

Cisco Umbrella 統合により、DNS レベルでセキュリティとポリシーを適用できます。これにより、管理者は DNS トラフィックを分割して、目的の DNS トラフィックの一部を特定の DNS サーバ（エンタープライズ ネットワーク内にある DNS サーバ）に直接送信することができます。これにより、管理者は Cisco Umbrella 統合をバイパスできます。

Cisco Umbrella Connector を設定するには、次の手順を実行します。

• Cisco Umbrella 登録サーバーから API トークンを取得します。

• Cisco Umbrella 登録サーバとの間で HTTPS 接続を確立するために、ルート証明書を取得します。crypto pki trustpool import terminal コマンドを使用して、以下に示す DigiCert のルート証明書をデバイスにインポートします。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

• PEM インポートが正常に行われたことを確認します。証明書をインポートすると、メッセージが表示されます。

enable
configure terminal
parameter-map type umbrella global
	token AABBA59A0BDE1485C912AFE472952641001EEECC
		
exit

Cisco Umbrella タグを登録するには、次の手順を実行します。

1. 前の項で示したように Cisco Umbrella パラメータマップを設定します。

2. WAN インターフェイスで umbrella out を設定します。

   interface gigabitEthernet 0/0/1
    umbrella out 

3. LANインターフェイスで umbrella in を設定します。

   interface gigabitEthernet 0/0/0.4
    umbrella in mydevice_tag 

   （注）	Cisco デバイスの場合、ホスト名と umbrella タグは 49 文字以内で指定します。

4. umbrella in mydevice_tag コマンドを使用してタグと umbrella in を設定すると、デバイスによって Cisco Umbrella Integration ポータルにタグが登録されます。

5. デバイスが api.opendns.com を解決して登録プロセスを開始します。FQDN の解決を成功させるために、デバイスにネームサーバー（ip name-server x.x.x.x）とドメインルックアップ（ip domain-lookup）が設定されている必要があります。

   （注）	umbrella in コマンドを設定する前に、umbrella out コマンドを設定してください。登録は、ポート 443 が「オープン」状態にあり、既存のファイアウォールへのトラフィックのパススルーが許可される場合にのみ成功します。

ドメイン名を使用して、バイパスされるトラフィックを特定することができます。Cisco デバイスでは、正規表現形式でこれらのドメインを定義できます。デバイスによってキャッチされる DNS クエリが、設定済みの正規表現の 1 つにマッチすると、このクエリはバイパスされ、Cisco Umbrella クラウドにリダイレクトされずに、指定された DNS サーバーに送信されます。次の設定例は、目的のドメイン名と正規表現で regex parameter-map を定義する方法を示しています。

Device# configure terminal
Device(config)# parameter-map type regex dns_bypass
Device(config)# pattern www.fisco.com
Device(config)# pattern .*engineering.fisco.* 

Attach the regex param-map with the openDNS global configuration as shown below:

Device(config)# parameter-map type umbrella global
Device(config-profile)# token AADDD5FF6E510B28921A20C9B98EEEFF 
Device(config-profile)# local-domain dns_bypass

• DNSCrypt

• リゾルバ IP

• 公開キー

上記のパラメータは、ラボで特定のテストを実行するときのみ変更することをお勧めします。これらのパラメータは今後の利用のために予約されています。これらのパラメータを変更すると、デバイスの正常な機能に影響が及ぶことがあります。

リゾルバ

次のコマンドは、DNS パケットのリダイレクションを Cisco デバイスから Cisco Umbrella クラウドに変更します。

• resolver ipv4 1.1.1.1

• resolver ipv4 1.1.1.2

• resolver ipv6 1234::1

• resolver ipv6 2345::1

この例では、すべての IPv4 DNS パケットが 1.1.1.1 または 1.1.1.2 にリダイレクトされ、IPv6 DNS パケットが 1234::1 または 2345::1 にリダイレクトされます。リゾルバのデフォルト値に戻すには、IP アドレスを削除する必要があります。リゾルバ IP アドレスを変更すると、次のメッセージが表示されます。

User configured would overwrite defaults
Defaults are restored when no more user configured are present

208.67.222.222 および 208.67.220.220 のデフォルト値を使用すると、すべての DNS パケットが Cisco Umbrella Anycast リゾルバにリダイレクトされます。デバイスは、すべてのリダイレクションに最初のデフォルトリゾルバ IP アドレスを使用します。Cisco デバイスは、3 つの連続する DNS クエリの応答を受信しない場合、別のリゾルバ IP アドレスに自動的に切り替えます。この動作は、IPv6 リゾルバ アドレスの場合も同じです。

（注）	IPv6 リダイレクションは延期され、すべての IPV6 DNS パケットは Cisco Umbrella Anycast サーバーにリダイレクトされません。

Cisco Umbrella Connector の設定を確認するには、次のコマンドを実行します。

Router# show umbrella config
Umbrella Configuration                                                             
==================                                                           
   Token:  AAC1A2555C11B2B798FFF3AF27C2FB8F001CB7B2 
   OrganizationID: 1882034                                 
   Local Domain Regex parameter-map name: NONE                                     
   DNSCrypt: Enabled                                                               
   Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79                                                                        
   UDP Timeout: 5 seconds                                                          
   Resolver address:                                                               
       1. 208.67.220.220                                                           
       2. 208.67.222.222                                                           
       3. 2620:119:53::53                                                          
       4. 2620:119:35::35                                                          
   Umbrella Interface Config:
       Number of interfaces with "opendns out" config: 1
         1. GigabitEthernet0/0/0                        
             Mode     :  OUT                            
             VRF      : global(Id: 0)                   
       Number of interfaces with "opendns in" config: 1 
         1. GigabitEthernet0/0/1                        
             Mode      : IN                              
             Tag       : test                            
             Device-id : 010a6aef0b443f0f
             VRF       : global(Id: 0)

Device# show umbrella deviceid
Device registration details
Interface Name          Tag       Status   Device-id
GigabitEthernet0/0/1     guest  200 SUCCESS 010a7ba73bd216d1


Device#show umbrella dnscrypt
    DNSCrypt: Enabled
Public-key: B735:1140:206F:225D:3E2B:D822:D7FD:691E:A1C3:3CC8:D666:8D0C:BE04:BFAB:CA43:FB79
Certificate Update Status:
Last Successful Attempt : 10:55:40 UTC Apr 14 2016
Last Failed Attempt : 10:55:10 UTC Apr 14 2016
Certificate Details:
Certificate Magic : DNSC
Major Version : 0x0001
Minor Version : 0x0000
Query Magic : 0x717744506545635A
Serial Number : 1435874751
Start Time : 1435874751 (22:05:51 UTC Jul 2 2015)
End Time : 1467410751 (22:05:51 UTC Jul 1 2016)
Server Public Key :
ABA1:F000:D394:8045:672D:73E0:EAE6:F181:19D0:2A62:3791:EFAD:B04E:40B7:B6F9:C40B
Client Secret Key Hash :
BBC3:409F:5CB5:C3F3:06BD:A385:78DA:4CED:62BC:3985:1C41:BCCE:1342:DF13:B71E:F4CF
Client Public key :
ECE2:8295:2157:6797:6BE2:C563:A5A9:C5FC:C20D:ADAF:EB3C:A1A2:C09A:40AD:CAEA:FF76
NM key Hash :
F9C2:2C2C:330A:1972:D484:4DD8:8E5C:71FF:6775:53A7:0344:5484:B78D:01B1:B938:E884

次のコマンドを使用して、Cisco Umbrella 機能の有効化に関連する問題のトラブルシューティングを行うことができます。

• debug umbrella device-registration

• debug umbrella config

• debug umbrella dnscrypt

OS に応じて、クライアントデバイスから次の 2 つのコマンドのいずれかを実行します。

• Windows マシンのコマンドプロンプトから nslookup -type=txt debug.umbrella.com コマンドを実行します

• Linux マシンのターミナルウィンドウまたはシェルから nslookup -type=txt debug.umbrella.com コマンドを実行します

nslookup -type=txt debug.opendns.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
debug.opendns.com text = "server r6.mum1"
debug.opendns.com text = "device 010A826AAABB6C3D"
debug.opendns.com text = "organization id 1892929"
debug.opendns.com text = "remoteip 171.168.1.7"
debug.opendns.com text = "flags 436 0 6040 39FF000000000000000"
debug.opendns.com text = "originid 119211936"
debug.opendns.com text = "orgid 1892929"
debug.opendns.com text = "orgflags 3"
debug.opendns.com text = "actype 0"
debug.opendns.com text = "bundle 365396"
debug.opendns.com text = "source 72.163.220.18:36914"
debug.opendns.com text = "dnscrypt enabled (713156774457306E)"

次に、Cisco Umbrella 統合を有効にする例を示します。