Comprender el funcionamiento de DNS en ASA cuando se utilizan objetos FQDN

Opciones de descarga

  • PDF     (723.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (611.4 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (770.3 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de noviembre de 2024
ID del documento:216553

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el funcionamiento del Sistema de nombres de dominio (DNS) en Cisco Adaptive Security Appliance (ASA) cuando se utilizan objetos FDQN.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimientos de Cisco ASA.

    Componentes Utilizados

    Para dejar claro el funcionamiento del DNS cuando se configuran varios nombres de dominio completos (FQDN) en el ASA en un entorno de producción simulado, se configuró un ASAv con una interfaz orientada a Internet y una interfaz conectada a un dispositivo de PC alojado en el servidor ESXi. Para esta simulación se utilizó el código provisional ASAv 9.8.4(10).

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Diagrama de la red

    Aquí se muestra la configuración de la topología.

    Network Diagram

    Antecedentes

    Cuando se configuran varios objetos Fully Qualified Domain Name en un ASA, un usuario final que intente acceder a cualquiera de las URL definidas en los objetos FQDN observará varias consultas DNS enviadas por el ASA. Este documento tiene como objetivo proporcionar una mejor comprensión de por qué se observa este tipo de comportamiento.

    Configurar

    El equipo cliente se configuró con estos IP, máscara de subred y servidores de nombres para la resolución DNS. 

    Client PC Configured with these IP

    En ASA, se configuraron dos interfaces, una interfaz interna con un nivel de seguridad de 100 a la que se conectó el PC y una interfaz externa que tiene conectividad a Internet.

    Two Interfaces were Configured

    Aquí, la interfaz Gig0/1 es la interfaz externa con una IP de interfaz de 10.197.223.9, y la interfaz Gig0/3 es la interfaz interna con una IP de interfaz de 10.10.10.1 y conectada al PC en el otro extremo.

    Inside and Outside Interfaces

    Configure la configuración de DNS en el ASA como se muestra aquí:

    Configure DNS Setup on the ASA

    Configure 4 objetos FQDN para www.facebook.com, www.google.com, www.instagram.com y www.twitter.com.

    Configure 4FQDN Objects

    Configure una captura en la interfaz externa de ASA para capturar el tráfico DNS. A continuación, desde el PC cliente, intente acceder a www.google.com desde un navegador.

    ¿Qué observas? Eche un vistazo a la captura de paquetes. 

    Packet Capture

     Aquí puede ver que aunque intentó resolver sólo www.google.com, se enviaron consultas DNS para todos los objetos FQDN.

    Ahora eche un vistazo a cómo funciona el almacenamiento en caché de DNS para las IP en ASA para entender por qué sucede esto.

    • Cuando se escribe www.google.com en el explorador web de los PC cliente, el PC envía una consulta DNS para que la URL se resuelva en una dirección IP.
    • El servidor DNS resuelve la solicitud de los PC y devuelve una dirección IP que indica que google.com reside en la ubicación especificada.
    • El PC inicia una conexión TCP a la dirección IP resuelta de google.com. Sin embargo, cuando el paquete llega al ASA, no tiene una regla ACL que establezca que la IP especificada se permite o se niega.
    • Sin embargo, ASA sabe que tiene 4 objetos FQDN y que cualquiera de los objetos FQDN podría resolverse en la IP en cuestión.
    • Por lo tanto, ASA envía consultas DNS para todos los objetos FQDN, ya que no sabe qué objeto FQDN puede resolver a la IP en cuestión. (Esta es la razón por la que se observan varias consultas DNS).
    • El servidor DNS resuelve los objetos FQDN con sus direcciones IP correspondientes. El objeto FQDN se puede resolver en la misma dirección IP pública que resolvió el cliente. De lo contrario, el ASA crea una entrada de lista de acceso dinámica para una dirección IP diferente de la que el cliente intenta alcanzar, de ahí que el ASA termine descartando el paquete. Por ejemplo, si el usuario resolvió google.com a 10.0.113.1 y si ASA lo resuelve a 10.0.113.2, ASA crea una nueva entrada de lista de acceso dinámica para 10.0.113.2 y el usuario no puede acceder al sitio web.

    • La próxima vez que llegue una solicitud que solicite la resolución de una IP en particular, si esa IP en particular está almacenada en el ASA, no volverá a consultar todos los objetos FQDN ya que ahora estaría presente una entrada de ACL dinámica.
    • Si a un cliente le preocupa el gran número de consultas DNS enviadas por ASA, aumente el vencimiento del temporizador DNS y proporcione que el host final intente acceder a las direcciones IP de destino que hay en la memoria caché DNS. Si el equipo solicita una IP no almacenada en la caché DNS de ASA, se envían consultas DNS para resolver todos los objetos FQDN.
    • Una solución alternativa posible para esto, si desea reducir aún el número de consultas DNS, sería reducir el número de objetos FQDN o definir todo el rango de IP públicas a las que resolvería el FQDN, lo que, sin embargo, derrota el propósito de un objeto FQDN en primer lugar. Cisco Firepower Threat Defense (FTD) es una solución más eficaz para este caso práctico.

    Verificación

    Para verificar qué IP están presentes en la memoria caché DNS de ASA a la que se resuelve cada uno de los objetos FQDN, se puede utilizar el comando ASA# sh dns.

    Verify IPs

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    14-Nov-2024
    PII eliminado. Texto alternativo, traducción automática y formato actualizados.
    2.0
    22-Mar-2023
    Texto alternativo agregado. Actualizado Título, Introducción, SEO, Traducción automática, Gerunds y Formato.
    1.0
    05-Jan-2021
    Versión inicial

    Contribución realizada por

    • Aditya Chellam
      Cisco Professional Services

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos