Was passiert mit FQDNs in einer Sicherheitsrichtlinie, wenn DNS-Time-to-Live abläuft und Gerät nicht kann erreichen DNS-Server?
Resolution
Um den Umgang mit auf dem Gerät, wenn der DNS-TTL abgelaufen ist oder wenn die Firewall nicht, die DNS-Server erreichen kann FQDN zu demonstrieren, verwenden Sie das folgende Beispiel:
- DNS-Server verwendet: 172.17.132.52
- Zwei Dummy-FQDNs für Auflösung:
- dummy1: box34.plano2003.com beschließt, 172.17.128.34
- dummy2: pa29.plano2003.com beschließt, 172.17.128.29
Diese FQDNs zur Konfiguration hinzugefügt werden und verwendet in der Regel sobald Config begangen wurde, sehen wir, das Gerät hat die FQDN Auflösungen gespeichert und relevanten TTLs zugewiesen:
Admin@PA-500-37 > System Fqdn Show anfordern
FQDN Tabelle: Letzte Bitte mal Tue Dec 11 16:12:28 2012
--------------------------------------------------------------------------------
IP-Adresse, die verbleibenden TTL Secs seit aktualisiert
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3510 90
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3510 90
Bestätigen Sie, dass der DNS-Server noch erreichbar ist:
Admin@PA-500-37 > Ping Host 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) Byte an Daten.
64 Byte aus 172.17.132.52: Icmp_seq = 1 Ttl = 127 Zeit = 0,941 ms
Erzwingen Sie eine Aktualisierung des FQDN zu bestätigen, dass im Falle der Server erreichbar ist, FQDNs aktualisiert werden:
Admin@PA-500-37 > System Fqdn aktualisieren Kraft ja anfordern
Letzte Aktualisierung Zeit Updates zu überprüfen:
Admin@PA-500-37 > System Fqdn Show anfordern
FQDN Tabelle: Letzte Bitte mal Tue Dec 11 16:12:28 2012
--------------------------------------------------------------------------------
IP-Adresse, die verbleibenden TTL Secs seit aktualisiert
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3510 90
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3510 90
Stellen Sie den DNS-Server nicht erreichbar über MGT-Schnittstelle:
Admin@PA-500-37 > Ping Host 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) Byte an Daten.
Von 172.17.128.37 Icmp_seq = 1 Destination Host Unreachable
TTL weiter rückwärts zu laufen, doch Eintrag nicht gelöscht, wenn der Server nicht erreichbar ist.
Admin@PA-500-37 > System Fqdn Show anfordern
FQDN Tabelle: Letzte Bitte mal Tue Dec 11 16:20:03-2012
--------------------------------------------------------------------------------
IP-Adresse, die verbleibenden TTL Secs seit aktualisiert
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3271-329
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3271-329
Lassen Sie TTL ablaufen lassen DNS-Server nicht erreichbar, wir sehen der TTL-Wert nimmt einen negativen Wert, Countdown weiterhin noch nicht gelöscht:
Admin@PA-500-37 > System Fqdn Show anfordern
FQDN Tabelle: Letzte Bitte mal Tue Dec 11 16:52:41 2012
--------------------------------------------------------------------------------
IP-Adresse, die verbleibenden TTL Secs seit aktualisiert
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34-33 3633
pa29.plano2003.com (Objectname dummy2):
172.17.128.29-33 3633
Das Gerät versucht, die FQDNs an den konfigurierten vollqualifizierten Domänennamen Aktualisierung Timer aktualisieren. Standard-Refresh-Timer ist 30 Minuten. Mit dem folgenden Befehl geändert werden, ein Commit nach der Änderung erforderlich ist.
Admin@PA-500-37# einstellen Deviceconfig System Fqdn-Refresh-Zeit
<value><1800-14399>Sekunden für periodische Timer aktualisieren, Expi...</1800-14399></value>
Besitzer: Achitwadgi