FQDN nelle mappe crittografiche e nei server AAA possibili con risoluzione DNS dinamica? Cisco ASA

8

Posso usare i nomi di dominio completi nelle mappe crittografiche durante l'impostazione di un peer (dove normalmente userei un IP) e posso usare i nomi di dominio completi quando definisco un server LDAP o qualsiasi altro server AAA in un gruppo di server? In entrambi i casi gli FQDN dovrebbero essere risolti mediante chiamate a un server DNS esterno (oggetti FQDN).

Se la risposta è sì, fornisci un rapido esempio di come farlo. So già come utilizzare i nomi di dominio completi in ACL, impostare DNS esterni e verificare che ASA li risolva correttamente.

cisco  cisco-asa  firewall  aaa 
AL
fonte
AL, stai chiedendo se è possibile fare in modo che l'ASA risolva nuovamente il nome di dominio completo ogni tanto (come fanno per gli ACL dinamici) ?. Sarebbe utile se fornissi un esempio concreto di dove è definito il nome di dominio completo (FQDN) e le circostanze che desideri vengano verificate da ASA.
Mike Pennington,
Ehi Mike, sì, è esattamente di questo che sto parlando. In questi casi - abbiamo un URL fornito dal fornitore, che dobbiamo usare in una configurazione del server AAA e anche per un IP peer in una mappa crittografica per un tunnel IPsec L2L. Non sono sicuro di quanto altro porre nella domanda per farcela.
AL
Ok, se puoi essere specifico riguardo al TTL sul record DNS, sarebbe di aiuto. Controlla il TTL con nslookup(Windows) o dig(Linux / Windows)
Mike Pennington
Il record particolare che dovrei risolvere ha un TTL di 58 secondi, quindi dovremmo risolvere i nomi usati in questi casi ogni 58 secondi o meno idealmente.
AL

Risposte:

4

Sì, secondo la documentazione Cisco (v8.4) , è possibile utilizzare un nome host nella maggior parte dei luoghi in cui si utilizza un indirizzo IP.

Ecco un esempio tratto dalla documentazione:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
fonte
Avrei dovuto rivedere la domanda. FQDN risolto dinamicamente tramite DNS esterno. Posso mappare le cose staticamente senza problemi, mi riferivo agli oggetti FQDN. Qualche pensiero lì?
AL
@AL Non l'ho ancora provato, ma secondo i documenti, ad ASA non importa quale interfaccia si trovi sul server DNS. Vedi goo.gl/3zr9cB
Ron Trunk
Ehi Ron, sì, attualmente uso DNS esterno in alcune voci ACL, quindi la configurazione di DNS esterno non è il problema. Il problema è che quando si utilizzano i nomi di dominio completi è necessario creare un oggetto di rete che li contenga e non sono sicuro che quel tipo di oggetto di rete possa essere utilizzato nelle mappe crittografiche o nelle configurazioni aaa-server.
AL
@AL Come ho detto, non ho un ASA di riserva da testare. Probabilmente sarebbe più veloce solo provarlo.
Ron Trunk,
Finalmente sono stato in grado di avviare un test e posso confermare il tuo suggerimento! fintanto che l'interfaccia impostata nel server aaa ha un INTNAME di ricerca DNS corrispondente e un server dei nomi sulla stessa interfaccia in grado di risolvere il nome host, si è bravi. Ha funzionato anche per le mappe crittografiche. Roba buona, grazie per l'aiuto!
AL
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.