"최소 FQDN 새로 고침 시간"이 60초 이상으로 설정된 경우 방화벽 60초마다 AAAA에 대한 DNS 쿼리를 보내는 이유는 무엇입니까?

최소 FQDN 새로 고침 시간이 60초보다 큰 값으로 설정되어 있음에도 불구하고 방화벽 60초마다 AAAA에 대한 DNS 쿼리를 보내는 이유는 무엇입니까?
다음 오류 메시지는 dnsproxyd.log(mp-log dnsproxyd.log 제외)에 60초마다 나타납니다.

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

이 경우 ?최소 FQDN 새로 고침 시간?은 180초로 설정됩니다.



FQDN 주소 개체에는 IPv4 주소가 있습니다.



방화벽 AAAA에 대한 DNS 쿼리를 180초마다가 아니라 60초마다 보냅니다.

• 팔로 알토 방화벽
• PAN-OS 9.1 이상
• IPv4 주소와 함께 사용되는 FQDN 개체
• DNS

1. 방화벽은 FQDN 주소 객체를 확인하기 위해 A와 AAAA 모두에 대한 DNS 쿼리를 전송합니다.
2. 방화벽 FQDN 주소 개체를 확인하고 캐시를 가지고 있는 경우, 방화벽 "최소 FQDN 새로 고침 시간"에 따라 해당 개체를 새로고침 위해 DNS 쿼리를 전송합니다.
3. FQDN IPv6 주소가 없고 방화벽 FQDN 주소 객체를 IPv6 주소로 확인할 수 없는 경우 방화벽 60초마다 AAAA에 대한 DNS 쿼리를 보내려고 재시도합니다.

• 이 동작은 PAN-OS 9.0부터 적용되는 FQDN 새로 고침 향상 기능과 관련이 있습니다.
• 네트워크에서 IPv6 사용하지 않는 경우 IPv6 방화벽을 비활성화하면 오류 메시지가 나타나지 않습니다.
• IPv6 방화벽이 비활성화되면 방화벽 FQDN 주소 객체를 확인하기 위해 A에 대한 DNS 쿼리만 보내지만 방화벽 패킷 IPv6 처리하지 않습니다.
• IPv6 방화벽을 활성화 및 비활성화하는 방법