Suche nach Vorwärts- / Rückwärtsnamen von Cisco IOS

10

Ich möchte unsere Ciscos so konfigurieren, dass sie die DNS-Auflösung weiterleiten können, aber die DNS-Auflösung nicht über die CLI rückgängig machen.

R01(config)#ip domain-name domain.local
R01(config)#ip name-server 10.1.1.1
R01(config)#ip domain-lookup

Diese Konfiguration veranlasst den Router, beim Ping eine Vorwärtssuche durchzuführen und unter show-Befehlen, die IP-Adressen zurückgeben, eine Rückwärtssuche durchzuführen. Wenn wir einen "show user" ausführen, führt der Router eine umgekehrte Suche für jede der Quell-IP-Adressen durch. Es sieht so aus, als würden wir sowohl Vorwärts- als auch Rückwärts-Lookups erhalten, wenn wir "IP-Domain-Lookup" aktivieren. Gibt es eine Möglichkeit, Reverse-Lookups zu deaktivieren und Forward-Lookups aktiviert zu lassen?

user2339
quelle
4
Ich denke nicht, dass das möglich ist. Sie können diese Hosts jedoch mit dem Befehl ip host hinzufügen, wenn sie sich nicht in Ihrem DNS befinden. Gibt es einen bestimmten Grund, warum keine umgekehrten Datensätze hinzugefügt werden?
Daniel Dib
3
@ DanielDib, in Bezug darauf, ob es möglich ist ... alles, was Sie brauchen, ist no domain-lookupunter der vty ...
Mike Pennington
@ MikePennington Schön. Nie gesehen, dass unter dem VTY verwendet.
Daniel Dib
@DanielDib, DNS wird von einer anderen Gruppe gesteuert und sie weigern sich, Reverse-Datensätze korrekt zu aktualisieren. Es ist ein Problem in unserem Unternehmen, das niemand im IT-Management ansprechen möchte, weil die Person, die DNS kontrolliert, zu viele politische Verbindungen im Unternehmen hat und sehr rachsüchtig ist.
user2339

Antworten:

12

Gibt es eine Möglichkeit, Reverse-Lookups zu deaktivieren und Forward-Lookups aktiviert zu lassen?

Zusammenfassung:

Verwenden Sie no domain-lookupunter line vty 0 4...

Einzelheiten:

Sie haben Recht, das Standardverhalten besteht darin, eine Vorwärts- / Rückwärtssuche für die Adressen in show-Befehlen durchzuführen und zwischenzuspeichern. Diese Konfiguration beginnt ähnlich wie Ihre ...

Basisverhalten: Vorwärts- / Rückwärtssuche

HotCoffee#clear host *
HotCoffee#sh runn | i ip domain|ip name|^ +domain|NTP
Time source is NTP, 06:10:42.327 CDT Tue Aug 13 2013
ip domain name pennington.net
ip name-server 172.16.1.5
 domain-name pennington.net
HotCoffee#

Nach dem Löschen des Host-Cache befinden sich keine Einträge darin ...

HotCoffee#show host
Load for five secs: 0%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 06:11:46.864 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
HotCoffee#

Durch Ausführen eines show useroder wird pingder Host-Cache gefüllt ...

HotCoffee#sh user
    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 tsunami.pennington.net

  Interface    User               Mode         Idle     Peer Address

HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
HotCoffee#

Jetzt gibt es Host-Einträge sowohl für das pingZiel als auch für show user...

HotCoffee#sh hosts
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:16:32.811 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#

Lösung: Nur Forward-Lookups

Verwenden Sie diese no domain-lookupOption unter den Zeilen vty / console, um das IOS-Verhalten so einzuschränken, dass nur Lookups weitergeleitet werden ...

HotCoffee#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
HotCoffee(config)#line vty 0 4
HotCoffee(config-line)#no domain-lookup
HotCoffee(config-line)#end
HotCoffee#

Zuerst lösche ich den Host-Cache für einen sauberen Test ...

HotCoffee#clear host *
HotCoffee#
HotCoffee#

show user führte früher eine Reverse-Lookup-Funktion für 172.16.1.5 durch und füllte den Host-Cache, aber jetzt passiert beides nicht ...

HotCoffee#sh user
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:00.250 CDT Tue Aug 13 2013

    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 172.16.1.5   <----

  Interface    User               Mode         Idle     Peer Address

HotCoffee#
HotCoffee#sh host
Load for five secs: 2%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:06.729 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
                                                                    <----
HotCoffee#

Nur um zu zeigen, dass Forward Lookups immer noch funktionieren ...

HotCoffee#
HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
HotCoffee#
HotCoffee#
HotCoffee#
HotCoffee#sh hosts
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:25:43.237 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#
Mike Pennington
quelle