当“最小FQDN刷新时间”设置为超过 60 秒时，为什么防火墙每 60 秒发送一次 AAAA 的DNS查询？

为什么即使“最小FQDN刷新时间”设置的值超过 60 秒，防火墙仍每 60 秒发送一次 AAAA 的DNS查询？
以下错误消息每 60 秒出现在 dnsproxyd.log 上（较少的 mp-log dnsproxyd.log）。

admin@PA-VM> tail follow yes mp-log dnsproxyd.log
(snip)
18:24:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:25:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:26:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8
18:27:35.013 +0900 Warning:  pan_dnsproxy_log_resolve_fail(pan_dnsproxy_util.c:651): Failed to resolve domain name:www.paloaltonetworks.com AAAA after trying all attempts to name server(s): 8.8.8.8

在这种情况下，“最小FQDN刷新时间”设置为 180 秒。



FQDN地址对象具有IPv4地址。



防火墙不是每 180 秒发送一次 AAAA 的DNS查询，而是每 60 秒发送一次。

• Palo Alto 防火墙
• PAN-OS 9.1 及以上版本
• 与IPv4地址一起使用的FQDN对象
• DNS

1. 防火墙发送 A 和 AAAA 的DNS查询来解析FQDN地址对象。
2. 当防火墙解析了FQDN地址对象并具有其缓存时，防火墙将发送DNS查询以根据“最小FQDN刷新时间”进行刷新。
3. 当FQDN没有IPv6地址且防火墙无法将FQDN地址对象解析为IPv6地址时，防火墙每 60 秒重试发送 AAAA 的DNS查询。

• 此行为与从 PAN-OS 9.0 开始的FQDN刷新增强功能有关。
• 如果网络中未使用IPv6 ，则可以通过禁用IPv6防火墙来避免错误消息。
• 当禁用IPv6防火墙时，防火墙仅发送DNS查询 A 来解析FQDN地址对象，但防火墙不会处理任何IPv6数据包。
• 如何启用和禁用IPv6防火墙