¿Qué pasa con el FQDN en una política de seguridad al DNS Time-to-Live expira y no puede llegar a DNS servidor de dispositivos?
Resolution
Para demostrar el FQDN de manipulación en el dispositivo cuando el TTL de DNS expire o cuando el servidor de seguridad no puede llegar a los servidores DNS, utilice el siguiente ejemplo:
- Servidor DNS utilizado: 172.17.132.52
- Dos disponibles para la resolución de maniquí FQDN:
- dummy1: box34.plano2003.com decide 172.17.128.34
- dummy2: pa29.plano2003.com decide 172.17.128.29
Estos FQDN se agregan a config y utilizados en una regla, una vez que configuración se cometió, vemos el dispositivo ha salvado las resoluciones FQDN y asignado TTLs pertinentes:
admin@PA-500-37 > solicitar demostración de nombre de dominio completo del sistema
Tabla FQDN: Última petición tiempo Tue 11 de Dec 16:12:28 2012
--------------------------------------------------------------------------------
Dirección IP restante TTL segundos desde renovados
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3510 90
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3510 90
Confirme que el servidor DNS es todavía alcanzable:
admin@PA-500-37 > host ping 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) bytes de datos.
64 bytes de 172.17.132.52: icmp_seq = 1 ttl = 127 tiempo = 0,941 ms
Forzar una actualización de nombre de dominio completo para confirmar que en caso de que el servidor está accesible, se está actualizan FQDN:
admin@PA-500-37 > solicitud sistema fqdn actualización fuerza sí
Verificar actualizaciones actualización pasadas:
admin@PA-500-37 > solicitar demostración de nombre de dominio completo del sistema
Tabla FQDN: Última petición tiempo Tue 11 de Dec 16:12:28 2012
--------------------------------------------------------------------------------
Dirección IP restante TTL segundos desde renovados
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3510 90
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3510 90
Hacer que el servidor DNS inalcanzable vía interfaz de administración:
admin@PA-500-37 > host ping 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) bytes de datos.
De 172.17.128.37 icmp_seq = 1 destino Host inalcanzable
TTL continúa la cuenta regresiva, sin embargo, la entrada no purgó al servidor es inalcanzable.
admin@PA-500-37 > solicitar demostración de nombre de dominio completo del sistema
Tabla FQDN: Última petición tiempo Tue 11 de Dec 16:20:03 2012
--------------------------------------------------------------------------------
Dirección IP restante TTL segundos desde renovados
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34 3271 329
pa29.plano2003.com (Objectname dummy2):
172.17.128.29 3271 329
Dejó TTL caducan dejando servidor DNS inalcanzable, vemos el TTL toma un valor negativo, sigue cuenta regresiva pero no es purgado:
admin@PA-500-37 > solicitar demostración de nombre de dominio completo del sistema
Tabla FQDN: Última petición tiempo Tue 11 de Dec 16:52:41 de 2012
--------------------------------------------------------------------------------
Dirección IP restante TTL segundos desde renovados
--------------------------------------------------------------------------------
VSYS: vsys1
box34.plano2003.com (Objectname dummy1):
172.17.128.34-33 3633
pa29.plano2003.com (Objectname dummy2):
172.17.128.29-33 3633
El dispositivo intenta actualizar el FQDN en el temporizador de actualización FQDN configurado. Temporizador de actualización por defecto es 30 minutos. Puede modificarse mediante el comando siguiente, se necesita una confirmación después del cambio.
admin@PA-500-37# sistema deviceconfig sistema fqdn-actualización-tiempo
<value><1800-14399>Segundos para temporizador periódico actualizar expi...</1800-14399></value>
Propietario: achitwadgi