FQDN di peta crypto dan server AAA mungkin dengan resolusi DNS dinamis? Cisco ASA

8

Dapatkah saya menggunakan FQDN di peta crypto ketika mengatur peer (di mana saya biasanya menggunakan IP), dan dapatkah saya menggunakan FQDN ketika mendefinisikan LDAP Server atau Server AAA lainnya dalam grup server? Dalam kedua kasus, FQDN harus diselesaikan dengan panggilan ke server DNS eksternal (objek FQDN).

Jika jawabannya ya, berikan contoh cepat tentang cara melakukannya. Saya sudah tahu cara menggunakan FQDN di ACL, mengatur DNS eksternal dan memvalidasi ASA menyelesaikannya dengan benar.

cisco cisco-asa firewall aaa AL
sumber
AL, apakah Anda bertanya apakah mungkin ASA menyelesaikan kembali FQDN begitu sering (seperti yang mereka lakukan untuk ACL dinamis) ?. Akan membantu jika Anda memberikan contoh konkret tentang di mana FQDN ditentukan, dan keadaan yang Anda ingin ASA periksa.
Mike Pennington
Hei Mike, ya, itulah yang saya bicarakan. Dalam kasus ini - kami memiliki vendor yang memberikan url, yang harus kami gunakan dalam konfigurasi AAA-server dan juga untuk IP peer dalam peta kripto untuk terowongan IP2 Ls L2L. Tidak yakin berapa banyak lagi yang harus dimasukkan dalam pertanyaan untuk menyampaikannya.
AL
Ok, jika Anda bisa spesifik tentang TTL pada catatan DNS, itu akan membantu. Periksa TTL dengan nslookup(Windows) atau dig(Linux / Windows)
Mike Pennington
Catatan khusus yang harus saya selesaikan memiliki TTL 58 detik, jadi kami harus menyelesaikan nama yang digunakan dalam kasus ini setiap 58s atau kurang idealnya.
AL

Jawaban:

4

Ya, menurut dokumentasi Cisco (v8.4) , Anda dapat menggunakan nama host sebagian besar tempat Anda menggunakan alamat IP.

Berikut ini contoh yang diambil dari dokumentasi:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
sumber
Saya harus merevisi pertanyaan itu. FQDN yang diselesaikan secara dinamis melalui DNS luar. Saya dapat memetakan hal-hal secara statis tanpa masalah, saya merujuk pada objek FQDN. Adakah pemikiran di sana?
AL
@ AA Aku belum benar-benar mencobanya, tetapi menurut dokumen, ASA tidak peduli apa antarmuka server DNS aktif. Lihat goo.gl/3zr9cB
Ron Trunk
Hai Ron, ya saya saat ini menggunakan DNS eksternal dalam beberapa entri ACL, jadi mengonfigurasi DNS eksternal bukanlah masalahnya. Masalahnya adalah ketika Anda menggunakan FQDN, Anda harus membuat objek jaringan yang berisi mereka, dan saya tidak yakin apakah tipe objek-jaringan itu dapat digunakan dalam peta kripto atau dalam konfigurasi aaa-server.
AL
@AL Seperti yang saya katakan, saya tidak punya ASA cadangan untuk diuji. Mungkin akan lebih cepat hanya untuk mencobanya.
Ron Trunk
Saya akhirnya bisa menjalani tes, dan dapat mengkonfirmasi saran Anda! selama antarmuka yang Anda atur di aaa-server memiliki INTNAME dns-lookup yang cocok dan nama-server pada antarmuka yang sama yang dapat menyelesaikan nama host Anda, Anda baik. Ini bekerja untuk peta crypto juga. Bagus, terima kasih atas bantuannya!
AL