Qu’arrive-t-il aux noms de domaine complets dans une politique de sécurité lorsque DNS Time-to-Live expire et le périphérique ne peut pas atteindre le serveur DNS ?
Resolution
Pour illustrer le nom de domaine complet de manutention sur l’appareil lorsque la valeur de DNS TTL expire ou lorsque le pare-feu ne peut pas atteindre les serveurs DNS, utilisez l’exemple suivant :
- Serveur DNS utilisé : 172.17.132.52
- Deux Dummy complets disponibles pour la résolution :
- Dummy1 : box34.plano2003.com se résout en 172.17.128.34
- Dummy2 : pa29.plano2003.com se résout en 172.17.128.29
Ces noms de domaine complets sont ajoutées à la config et utilisés en règle générale, une fois la config a été commise, nous voyons l’appareil a enregistré les résolutions de nom de domaine complet et assignés TTLs pertinentes :
admin@PA-500-37 > demander spectacle de nom de domaine complet de système
Table de nom de domaine complet : Dernière demande temps Mar déc 11 à 16:12 :28 2012
--------------------------------------------------------------------------------
Adresse IP reste TTL Secs depuis rafraîchi
--------------------------------------------------------------------------------
VSYS : vsys1
box34.plano2003.com (Objectname dummy1) :
172.17.128.34 3510 90
PA29.plano2003.com (Objectname dummy2) :
172.17.128.29 3510 90
Vérifiez que le serveur DNS est toujours accessible :
admin@PA-500-37 > ping hôte 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) octets de données.
64 octets de 172.17.132.52 : icmp_seq = 1 ttl = 127 temps = 0,941 ms
Forcer une actualisation FQDN pour confirmer que dans le cas où le serveur est accessible, noms de domaine complets sont être actualisées :
admin@PA-500-37 > demander équipe de rafraîchissement pour le nom de domaine complet système Oui
Vérifier les dernières mises à jour de temps de rafraîchissement :
admin@PA-500-37 > demander spectacle de nom de domaine complet de système
Table de nom de domaine complet : Dernière demande temps Mar déc 11 à 16:12 :28 2012
--------------------------------------------------------------------------------
Adresse IP reste TTL Secs depuis rafraîchi
--------------------------------------------------------------------------------
VSYS : vsys1
box34.plano2003.com (Objectname dummy1) :
172.17.128.34 3510 90
PA29.plano2003.com (Objectname dummy2) :
172.17.128.29 3510 90
Le serveur DNS rendre inaccessible via l’interface de gestion :
admin@PA-500-37 > ping hôte 172.17.132.52
PING 172.17.132.52 (172.17.132.52) 56(84) octets de données.
De 172.17.128.37 icmp_seq = 1 Destination Host Unreachable
TTL continue de compter à rebours, mais entrée pas purgés lorsque le serveur est inaccessible.
admin@PA-500-37 > demander spectacle de nom de domaine complet de système
Tableau de nom de domaine complet : Dernière demande fois Tue Dec 11, 16:20 :03 2012
--------------------------------------------------------------------------------
Adresse IP reste TTL Secs depuis rafraîchi
--------------------------------------------------------------------------------
VSYS : vsys1
box34.plano2003.com (Objectname dummy1) :
172.17.128.34 3271 329
PA29.plano2003.com (Objectname dummy2) :
172.17.128.29 3271 329
TTL a laissé expirer laissant serveur DNS inaccessible, nous voyons le TTL prend une valeur négative, continue de compte à rebours mais n’est pas purgé :
admin@PA-500-37 > demander spectacle de nom de domaine complet de système
Table de nom de domaine complet : Dernière demande temps Mar déc 11 à 16:52 :41 2012
--------------------------------------------------------------------------------
Adresse IP reste TTL Secs depuis rafraîchi
--------------------------------------------------------------------------------
VSYS : vsys1
box34.plano2003.com (Objectname dummy1) :
172.17.128.34-33 3633
PA29.plano2003.com (Objectname dummy2) :
172.17.128.29-33 3633
L’appareil tente de rafraîchir les noms de domaine complets à la minuterie de rafraîchissement FQDN configurée. Minuterie d’actualisation par défaut est 30 minutes. Elle peut être modifiée à l’aide de la commande suivante, un commit est nécessaire après le changement.
admin@PA-500-37# la valeur fqdn-actualisation-heure deviceconfig système
<value><1800-14399>Secondes pour minuterie périodique actualiser expi...</1800-14399></value>
propriétaire : achitwadgi