Verständnis des Betriebs von DNS auf ASA bei Verwendung von FQDN-Objekten
Einleitung
In diesem Dokument wird der Betrieb des Domain Name System (DNS) auf der Cisco Adaptive Security Appliance (ASA) bei Verwendung von FDQN-Objekten beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse der Cisco ASA verfügen.
Verwendete Komponenten
Um die Funktionsweise des DNS klarzustellen, wenn mehrere vollqualifizierte Domänennamen (FQDNs) auf der ASA in einer simulierten Produktionsumgebung konfiguriert werden, wurde eine ASAv mit einer Schnittstelle zum Internet und einer Schnittstelle, die mit einem auf dem ESXi-Server gehosteten PC-Gerät verbunden ist, eingerichtet. Für diese Simulation wurde der ASAv-Zwischencode 9.8.4(10) verwendet.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Netzwerkdiagramm
Die Topologie-Konfiguration ist hier dargestellt.
Hintergrundinformationen
Wenn auf einem ASA mehrere vollqualifizierte Domänennamenobjekte konfiguriert werden, beobachtet ein Endbenutzer, der versucht, auf eine der in den FQDN-Objekten definierten URLs zuzugreifen, mehrere von der ASA gesendete DNS-Abfragen. Ziel dieses Dokuments ist es, besser zu verstehen, warum ein solches Verhalten beobachtet wird.
Konfigurieren
Auf dem Client-PC wurden diese IP-Adressen, Subnetzmasken und Namensserver für die DNS-Auflösung konfiguriert.
Auf der ASA wurden zwei Schnittstellen konfiguriert: eine interne Schnittstelle mit einer Sicherheitsstufe von 100, mit der der PC verbunden war, und eine externe Schnittstelle, die über eine Verbindung zum Internet verfügt.
Hier ist die Gig0/1-Schnittstelle die externe Schnittstelle mit einer Schnittstellen-IP-Adresse von 10.197.223.9, und die Gig0/3-Schnittstelle ist die interne Schnittstelle mit einer Schnittstellen-IP-Adresse von 10.10.10.1 und mit dem PC am anderen Ende verbunden.
Konfigurieren Sie das DNS-Setup auf der ASA wie folgt:
Konfigurieren Sie vier FQDN-Objekte für www.facebook.com, www.google.com, www.instagram.com und www.twitter.com.
Richten Sie auf der externen ASA-Schnittstelle eine Erfassung ein, um den DNS-Verkehr zu erfassen. Versuchen Sie dann, vom Client-PC aus über einen Browser auf www.google.com zuzugreifen.
Was beobachten Sie? Sehen Sie sich die Paketerfassung an.
Hier sehen Sie, dass, obwohl Sie nur versucht haben, www.google.com aufzulösen, für alle FQDN-Objekte DNS-Abfragen gesendet wurden.
Sehen Sie sich nun an, wie DNS-Caching für IPs auf der ASA funktioniert, um zu verstehen, warum dies geschieht.
- Wenn www.google.com in den Webbrowser des Client-PCs eingegeben wird, sendet der PC eine DNS-Abfrage, um die URL in eine IP-Adresse aufzulösen.
- Der DNS-Server löst dann die PC-Anforderung auf und gibt eine IP-Adresse zurück, die google.com angibt und sich am angegebenen Speicherort befindet.
- Der PC initiiert dann eine TCP-Verbindung zur aufgelösten IP-Adresse von google.com. Wenn das Paket jedoch die ASA erreicht, verfügt es nicht über eine ACL-Regel, die besagt, dass die angegebene IP zulässig ist oder abgelehnt wird.
- Die ASA weiß jedoch, dass sie über 4 FQDN-Objekte verfügt und dass eines der FQDN-Objekte möglicherweise in die betreffende IP aufgelöst werden kann.
- Daher sendet die ASA DNS-Abfragen für alle FQDN-Objekte, da sie nicht weiß, welches FQDN-Objekt an die betreffende IP aufgelöst werden kann. (Aus diesem Grund wurden mehrere DNS-Abfragen beobachtet.)
- Der DNS-Server löst die FQDN-Objekte mit den entsprechenden IP-Adressen auf. Das FQDN-Objekt kann mit derselben öffentlichen IP-Adresse aufgelöst werden, die auch vom Client aufgelöst wurde. Andernfalls erstellt die ASA einen dynamischen Zugriffslisteneintrag für eine andere IP-Adresse als die, die der Client zu erreichen versucht. Daher verwirft die ASA das Paket. Wenn der Benutzer beispielsweise google.com in 10.0.113.1 aufgelöst hat und die ASA dies in 10.0.113.2 auflöst, erstellt die ASA einen neuen dynamischen Zugriffslisteneintrag für 10.0.113.2, und der Benutzer kann nicht auf die Website zugreifen.
- Wenn das nächste Mal eine Anforderung eingeht, die die Auflösung einer bestimmten IP anfordert, fragt diese bestimmte IP, wenn sie auf der ASA gespeichert ist, nicht mehr alle FQDN-Objekte ab, da nun ein dynamischer ACL-Eintrag vorhanden wäre.
- Wenn ein Client Bedenken hinsichtlich der großen Anzahl von DNS-Abfragen hat, die von der ASA gesendet werden, erhöhen Sie das Ablaufdatum des DNS-Timers, und der bereitgestellte End-Host versucht, auf die Ziel-IP-Adressen zuzugreifen, die sich im DNS-Cache befinden. Wenn der PC eine IP anfordert, die nicht im DNS-Cache der ASA gespeichert ist, werden DNS-Abfragen gesendet, um alle FQDN-Objekte aufzulösen.
- Eine mögliche Problemumgehung hierfür wäre, wenn Sie die Anzahl der DNS-Abfragen weiter reduzieren wollen, entweder die Anzahl der FQDN-Objekte zu reduzieren oder den gesamten Bereich der öffentlichen IPs zu definieren, in die Sie den FQDN auflösen würden, was jedoch den Zweck eines FQDN-Objekts von vornherein umgeht. Cisco FirePOWER Threat Defense (FTD) ist die bessere Lösung für diesen Anwendungsfall.
Überprüfung
Um zu überprüfen, welche IPs im DNS-Cache der ASAs vorhanden sind, in den jedes der FQDN-Objekte aufgelöst wird, kann der Befehl ASA# sh dns verwendet werden.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
3.0 |
14-Nov-2024 |
PII entfernt.
Aktualisierter Alternativer Text, maschinelle Übersetzung und Formatierung. |
2.0 |
22-Mar-2023 |
Alternativer Text hinzugefügt.
Aktualisierter Titel, Einführung, SEO, maschinelle Übersetzung, Gerunds und Formatierung. |
1.0 |
05-Jan-2021 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)