减少 FQDN 刷新定时器 Firewall ,以防止间歇性 AWS 连接中断
67694
Created On 02/14/19 17:57 PM - Last Modified 03/26/21 17:32 PM
Symptom
AWS ECS 聚类 ip 地址更改导致间隔中断,由于最少 10 分钟的刷新定时器 FQDN ,可以配置在 firewall 。
Environment
PAN-OS 8.0
FQDN
Cause
在 9.0 之前,您可以为 fqdn 刷新时间设置的最小值为 10 分钟
> configure # set deviceconfig system fqdn-refresh-time <600-14399> (in seconds) # commit
Resolution
- 升级到 9.0
- 然后从 CLI 做:
> configure # set deviceconfig system fqdn-refresh-time <value> <0-14399> Minimal seconds for periodic FQDN refresh # commit
或
- 然后从 UI 做:
- 选择设备>设置>服务>全球( firewall 在没有多个虚拟系统功能的情况下省略Global)并进行编辑。
- 为 FQDN firewall :
- 选择 DNS 服务器或 DNS 代理对象。
- FQDN在几秒钟内输入最小刷新时间 (秒),以限制 firewall 刷新 FQDN 缓存条目的频率(范围为 0 到 14,400;默认值为 30)。 A 设置0表示 firewall 将 FQDN 根据 TTL 记录中的值刷新 DNS ; firewall 不执行最小 FQDN 刷新时间。
- FQDN在几分钟内输入过时输入超时(分钟),即 firewall FQDN 在无法访问服务器时继续使用过时分辨率的时间长度 DNS (范围为 0 到 10,080;默认值为 1,440)。 A 0值表示 firewall 不使用过时的 FQDN 条目。
- 点击 OK
- 提交
Additional Information
有关此新功能的更多信息,可在此处找到
pan-os :https://docs.paloaltonetworks.com//9-0/-new-features/networking-features/fqdn-refresh-response.html pan-os