Reduzieren Sie FQDN den Refresh Timer Firewall auf, um intermittierende Verbindungsausfälle zu verhindern AWS
56809
Created On 02/14/19 17:57 PM - Last Modified 03/26/21 17:31 PM
Symptom
AWS ECS Cluster-IP-Adressen ändern Änderungen, die Intervallausfälle aufgrund der mindestens 10-minütigen Aktualisierungszeitgeber verursachen, für FQDN die auf der konfiguriert werden firewall kann.
Environment
PAN-OS 8.0
FQDN
Cause
Vor 9.0 beträgt der Mindestwert, den Sie für die fqdn-Aktualisierungszeit festlegen können, 10 Minuten
> configure # set deviceconfig system fqdn-refresh-time <600-14399> (in seconds) # commit
Resolution
- Upgrade auf 9.0
- Dann von CLI do:
> configure # set deviceconfig system fqdn-refresh-time <value> <0-14399> Minimal seconds for periodic FQDN refresh # commit
oder
- Dann von UI do:
- Wählen Sie Device >Setup >Services >Global (ohne Global auf einer firewall ohne mehrere virtuelle Systemfunktionen) und bearbeiten.
- Konfigurieren Sie die FQDN Timer firewall für:
- Wählen Sie DNS Server oder DNS Proxyobjekt aus.
- Geben Sie die minimale FQDN Aktualisierungszeit (Sek.) in Sekunden ein, um zu begrenzen, wie häufig die Cacheeinträge aktualisiert werden firewall FQDN (Bereich ist 0 bis 14.400; Standardwert ist 30). A Einstellung 0 bedeutet, dass firewall der den Wert im Datensatz basierend auf FQDN TTL DNS aktualisiert; der firewall erzwingt keine minimale FQDN Aktualisierungszeit.
- Geben Sie das FQDN Stale Entry Timeout (min) in Minuten ein, d. h. die Dauer, die weiterhin firewall veraltete FQDN Auflösungen im Falle eines nicht erreichbaren Servers verwendet DNS (Bereich ist 0 bis 10.080; Standardwert ist 1.440). A Wert 0 bedeutet, dass firewall der keinen veralteten FQDN Eintrag verwendet.
- klicken OK
- Commit
Additional Information
Weitere Informationen zu dieser neuen Funktion finden Sie hier:
https://docs.paloaltonetworks.com/ pan-os /9-0/ pan-os -new-features/networking-features/fqdn-refresh-response.html