FQDNs in Crypto Maps und AAA-Servern mit dynamischer DNS-Auflösung möglich? Cisco ASA

8

Kann ich FQDNs in Crypto Maps verwenden, wenn ich einen Peer einstelle (wo ich normalerweise eine IP verwenden würde), und kann ich FQDNs verwenden, wenn ich einen LDAP-Server oder einen anderen AAA-Server in einer Servergruppe definiere? In beiden Fällen müssten die FQDNs durch Aufrufe eines externen DNS-Servers (FQDN-Objekte) aufgelöst werden.

Wenn die Antwort Ja lautet, geben Sie bitte ein kurzes Beispiel dafür. Ich weiß bereits, wie man FQDNs in ACLs verwendet, externes DNS einrichtet und überprüft, ob der ASA diese ordnungsgemäß löst.

AL
quelle
AL, fragen Sie sich, ob es möglich ist, dass der ASA den vollqualifizierten Domänennamen von Zeit zu Zeit neu auflöst (wie dies bei dynamischen ACLs der Fall ist)? Es wäre hilfreich, wenn Sie ein konkretes Beispiel dafür geben würden, wo der FQDN definiert ist und unter welchen Umständen der ASA dies überprüfen soll.
Mike Pennington
Hey Mike, ja genau darüber spreche ich. In diesen Fällen haben wir eine vom Hersteller angegebene URL, die wir in einer AAA-Server-Konfiguration und auch für eine Peer-IP in einer Krypto-Map für einen L2L-IPSec-Tunnel verwenden müssen. Ich bin mir nicht sicher, wie viel mehr ich in die Frage stellen soll, um das zu vermitteln.
AL
Ok, wenn Sie die TTL im DNS-Eintrag genau angeben können, ist dies hilfreich. Überprüfen Sie die TTL mit nslookup(Windows) oder dig(Linux / Windows)
Mike Pennington
Der bestimmte Datensatz, den ich auflösen muss, hat eine TTL von 58 Sekunden, daher müssen wir die in diesen Fällen verwendeten Namen idealerweise alle 58 Sekunden oder weniger auflösen.
AL

Antworten:

4

Ja, gemäß der Cisco-Dokumentation (Version 8.4) können Sie an den meisten Stellen, an denen Sie eine IP-Adresse verwenden, einen Hostnamen verwenden.

Hier ist ein Beispiel aus der Dokumentation:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
quelle
Ich hätte die Frage überarbeiten sollen. FQDN, der dynamisch über externes DNS aufgelöst wird. Ich kann Dinge statisch problemlos zuordnen, ich habe mich auf FQDN-Objekte bezogen. Irgendwelche Gedanken da?
AL
@AL Ich habe es noch nicht ausprobiert, aber laut Dokumentation ist es ASA egal, auf welcher Schnittstelle sich der DNS-Server befindet. Siehe goo.gl/3zr9cB
Ron Trunk
Hey Ron, ja, ich verwende derzeit externes DNS in einigen ACL-Einträgen, daher ist die Konfiguration von externem DNS nicht das Problem. Das Problem ist, dass Sie bei Verwendung von FQDNs ein Netzwerkobjekt erstellen müssen, das diese enthält, und ich bin mir nicht sicher, ob dieser Netzwerkobjekttyp in Krypto-Maps oder in aaa-Server-Konfigurationen verwendet werden kann.
AL
@AL Wie gesagt, ich habe keinen Ersatz-ASA zum Testen. Es wäre wahrscheinlich am schnellsten, es einfach zu versuchen.
Ron Trunk
Ich konnte endlich einen Test in Gang bringen und kann Ihren Vorschlag bestätigen! Solange die Schnittstelle, die Sie auf dem aaa-Server festgelegt haben, über einen passenden DNS-Lookup-INTNAME und einen Nameserver auf derselben Schnittstelle verfügt, die Ihren Hostnamen auflösen können, sind Sie gut. Es funktionierte auch für Kryptokarten. Gutes Zeug, danke für die Hilfe!
AL