FQDN có trong bản đồ mật mã và máy chủ AAA có thể có độ phân giải DNS động không? Cisco ASA

8

Tôi có thể sử dụng FQDN trong bản đồ mật mã khi đặt ngang hàng (nơi tôi thường sử dụng IP) và tôi có thể sử dụng FQDN khi xác định Máy chủ LDAP hoặc bất kỳ Máy chủ AAA nào khác trong nhóm máy chủ không? Trong cả hai trường hợp, FQDN sẽ phải được giải quyết bằng các cuộc gọi đến máy chủ DNS bên ngoài (đối tượng FQDN).

Nếu câu trả lời là có, vui lòng cung cấp một ví dụ nhanh về cách thực hiện điều đó. Tôi đã biết cách sử dụng FQDN trong ACL, thiết lập DNS bên ngoài và xác thực ASA đang giải quyết chúng một cách chính xác.

cisco  cisco-asa  firewall  aaa 
AL
nguồn
AL, bạn có hỏi liệu ASA có thể giải quyết lại FQDN thường xuyên không (như họ làm với ACL động)?. Sẽ rất hữu ích nếu bạn đưa ra một ví dụ cụ thể về nơi FQDN được xác định và hoàn cảnh mà bạn muốn ASA kiểm tra.
Mike Pennington
Này Mike, vâng, đó chính xác là những gì tôi đang nói. Trong những trường hợp này - chúng tôi có một url do nhà cung cấp cung cấp, chúng tôi phải sử dụng cấu hình máy chủ AAA và cả IP ngang hàng trong bản đồ mật mã cho đường hầm L2s IPsec. Không chắc chắn bao nhiêu nữa để đặt câu hỏi để có được điều đó.
AL
Ok, nếu bạn có thể cụ thể về TTL trên bản ghi DNS, điều đó sẽ giúp ích. Kiểm tra TTL bằng nslookup(Windows) hoặc dig(Linux / Windows)
Mike Pennington
Bản ghi cụ thể mà tôi cần giải quyết có chỉ số TTL là 58 giây, vì vậy chúng tôi cần giải quyết các tên được sử dụng trong các trường hợp này cứ sau 58 giây hoặc ít hơn lý tưởng.
AL

Câu trả lời:

4

Có, theo tài liệu của Cisco (v8.4) , bạn có thể sử dụng tên máy chủ hầu hết các địa điểm bạn sử dụng địa chỉ IP.

Dưới đây là một ví dụ được lấy từ tài liệu:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
nguồn
Tôi nên sửa đổi câu hỏi. FQDN được giải quyết linh hoạt thông qua DNS bên ngoài. Tôi có thể ánh xạ mọi thứ một cách tĩnh mà không có vấn đề gì, tôi đã đề cập đến các đối tượng FQDN. Có suy nghĩ nào không?
AL
@AL Tôi chưa thực sự thử nó, nhưng theo các tài liệu, ASA không quan tâm máy chủ DNS đang bật giao diện nào. Xem goo.gl/3zr9cB
Ron Trunk
Xin chào Ron, vâng Tôi hiện đang sử dụng DNS bên ngoài trong một vài mục ACL, vì vậy cấu hình DNS bên ngoài không phải là vấn đề. Vấn đề là khi bạn sử dụng FQDN, bạn phải tạo một đối tượng mạng có chứa chúng và tôi không chắc loại đối tượng mạng đó có thể được sử dụng trong bản đồ mật mã hay trong cấu hình máy chủ aaa không.
AL
@AL Như tôi đã nói, tôi không có ASA dự phòng để kiểm tra. Có lẽ sẽ nhanh nhất chỉ để thử nó.
Ron Trunk
Cuối cùng tôi đã có thể làm một bài kiểm tra đi, và có thể xác nhận đề xuất của bạn! miễn là giao diện bạn đặt trong máy chủ aaa có INTns tìm kiếm dns và máy chủ tên trên cùng một giao diện có thể giải quyết tên máy chủ của bạn là tốt. Nó cũng làm việc cho bản đồ tiền điện tử. Tốt thứ, cảm ơn sự giúp đỡ!
AL
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.