Firepower Threat Defense（FMCマネージド）のFQDN機能について

はじめに

このドキュメントでは、Firepower Management Center(FMC)およびFirepower Threat Defense(FTD)へのFQDN機能（v6.3.0時点）の設定について説明します。

前提条件

要件 

次の項目に関する知識があることが推奨されます。

• Firepower Management Center

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。

• ソフトウェアバージョン6.3.0が稼働するCisco Firepower Threat Defense(FTD)Virtual
• ソフトウェアバージョン6.3.0が稼働するFirepower Management Center Virtual(vFMC) 
  
  

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

このドキュメントでは、ソフトウェアバージョン6.3.0で導入されたFirepower Management Center(FMC)およびFirepower Threat Defense(FTD)の完全修飾ドメイン名(FQDN)機能の設定について説明します。

この機能は、Cisco適応型セキュリティアプライアンス(ASA)に含まれていますが、FTDの初期ソフトウェアリリースには含まれていませんでした。

FQDNオブジェクトを設定する前に、次の条件が満たされていることを確認してください。

• Firepower Management Center(FMC)は、バージョン6.3.0以降を実行する必要があります。物理または仮想
• Firepower Threat Defense(FTD)は、バージョン6.3.0以降を実行する必要があります。物理または仮想

機能の概要

この機能は、FQDNをIPアドレスに解決し、アクセスコントロールルールまたはプレフィルタポリシーによって参照される際に、FQDNを使用してトラフィックをフィルタリングします。

6.3より前のバージョンはどうですか。

•  6.3.0より前のバージョンを実行するFMCおよびFTDは、FQDNオブジェクトを設定できません。

• FMCがバージョン6.3以降を実行していて、FTDが6.3より前のバージョンを実行している場合、ポリシーを展開すると次のエラーが表示されます。

• さらに、FlexConfigを介してDNSオブジェクトを設定する場合、次の警告が表示されます。

設定

ネットワーク図

アーキテクチャ – 重要なポイント

• DNS解決（DNSからIP）はLINAで行われます。
• LINAはマッピングをデータベースに保存します
• 接続ごとに、このマッピングはLINAからSnortに送信されます
• FQDNの解決は、ハイアベイラビリティやクラスタ設定とは無関係に行われます

設定手順

ステップ 1：「DNSサーバグループオブジェクト」の設定 

• DNSサーバーグループ名は63文字以内でなければなりません
• マルチドメイン展開では、オブジェクト名はドメイン階層内で一意である必要があります。現在のドメインで表示できないオブジェクトの名前との競合を識別できます
• Default Domain（オプション）は、完全修飾されていないホスト名に追加するために使用されます
• デフォルトの再試行とタイムアウトの値は事前に入力されています。

  • Retries：システムが応答を受信しないときに、DNSサーバのリストを再試行する回数(0 ～ 10)。デフォルト値は 2 です。

  • Timeout：次のDNSサーバへ次の試行が行われるまでの秒数(1 ～ 30)。デフォルト値は 2 秒です。システムがサーバのリストを再試行するたびに、このタイムアウトは2倍になります。

• このグループに属するDNSサーバを入力します。これは、カンマ区切り値としてIPv4形式またはIPv6形式のいずれかになります
• DNSサーバグループは、インターフェイスオブジェクトまたはプラットフォーム設定で設定されたオブジェクトによる解決に使用されます
• DNSサーバグループオブジェクトCRUDのREST APIをサポート

ステップ 2：DNSの構成（プラットフォーム設定） 

• （オプション）Expiry Entry TimerとPoll Timerの値を分単位で変更します。

expiry entry timerオプションは、解決済みFQDNのTime-to-Live（TTL；存続可能時間）の満了後にDNSルックアップテーブルからIPアドレスを削除する制限時間を指定します。エントリを削除するにはテーブルを再コンパイルする必要があるため、削除を頻繁に行うとデバイスのプロセス負荷が増大する可能性があります。この設定により、TTLが実質的に拡張されます。

poll timerオプションは、ネットワークオブジェクトグループで定義されたFQDNを解決するためにデバイスがDNSサーバに照会するまでの時間制限を指定します。FQDNは、ポーリングタイマーが時間切れになるか、解決済みIPエントリのTTLが時間切れになるか、どちらか早い方で定期的に解決されます。

• （オプション）使用可能なリストから必要なインターフェイスオブジェクトを選択し、それらを[選択したインターフェイスオブジェクト]リストに追加して、選択したインターフェイスを介してDNSサーバに到達できるようにします。

Firepower Threat Defense(FTD)6.3.0デバイスでは、インターフェイスが選択されておらず、診断インターフェイスでDNSルックアップが無効になっている場合、診断インターフェイスを含むすべてのインターフェイスでDNS解決が発生します（コマンドdnsdomain-lookup anyが適用されます）。

インターフェイスを指定せず、診断インターフェイスでDNSルックアップを有効にしない場合、FTDはデータルーティングテーブルを使用してインターフェイスを決定します。一致するエントリがない場合は、管理ルーティングテーブルが使用されます。

• （オプション）Enable DNS Lookup via the diagnostic interface alsoチェックボックスを選択します

有効にすると、Firepower Threat Defenseは選択されたデータインターフェイスと診断インターフェイスの両方を使用してDNS解決を行います。Devices > Device Management > edit device > Interfacesページで、診断インターフェイスのIPアドレスを必ず設定してください。

ステップ 3： オブジェクトネットワークFQDNの設定 

Objects > Object Managementに移動し、ネットワークオブジェクト内でFQDNオプションを選択します。

• ユーザがFQDNオブジェクトを作成すると、32ビットの一意のIDが生成されます
• このIDはFMCからLINAとSnortの両方にプッシュされます。
• LINAでは、このIDはオブジェクトに関連付けられます
• Snortでは、このIDは、そのオブジェクトを保持するアクセスコントロールルールに関連付けられます

ステップ 4：アクセスコントロールルールの作成

前のFQDNオブジェクトを使用してルールを作成し、ポリシーを展開します。

注：FQDN解決の最初のインスタンスは、FQDNオブジェクトがアクセスコントロールポリシーに展開されるときに発生します

確認

ここでは、設定が正常に動作していることを確認します。

• FQDNが展開される前のFTDの初期設定を次に示します。

aleescob# show run dns
DNS server-group DefaultDNS

• FQDNを展開した後の設定を次に示します。

aleescob# show run dns
dns domain-lookup wan_1557
DNS server-group DNS_Test
    retries 3
    timeout 5
    name-server 172.31.200.100
    domain-name aleescob.cisco.com
DNS server-group DefaultDNS
dns-group DNS_Test

• LINAでは、FQDNオブジェクトは次のように表示されます。

object network obj-talosintelligence.com
 fqdn talosintelligence.com id 268434436

• すでに展開されている場合、FQDNアクセスリストはLINAで次のように表示されます。

access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start

• Snort(ngfw.rules)では次のように表示されます。

# Start of AC rule.
268434437 deny 1 any  any 2 any  any any any  (log dcforward flowstart) (dstfqdn 268434436)
# End rule 268434437

注：このシナリオでは、宛先にFQDNオブジェクトが使用されているため、dstfqdnとしてリストされます。

• show dnsコマンドとshow fqdnコマンドを確認すると、機能がtallosintelligenceのIPの解決を開始していることがわかります。

aleescob# show dns
Name: talosintelligence.com
  Address: 2001:DB8::6810:1b36                          TTL 00:05:43
  Address: 2001:DB8::6810:1c36                          TTL 00:05:43
  Address: 2001:DB8::6810:1d36                          TTL 00:05:43
  Address: 2001:DB8::6810:1a36                          TTL 00:05:43
  Address: 2001:DB8::6810:1936                          TTL 00:05:43
  Address: 192.168.27.54                                  TTL 00:05:43
  Address: 192.168.29.54                                  TTL 00:05:43
  Address: 192.168.28.54                                  TTL 00:05:43
  Address: 192.168.26.54                                  TTL 00:05:43
  Address: 192.168.25.54                                  TTL 00:05:43


aleescob# show fqdn
FQDN IP Table:
ip = 2001:DB8::6810:1b36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2001:DB8::6810:1c36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2001:DB8::6810:1d36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2001:DB8::6810:1a36, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 2001:DB8::6810:1936, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 192.168.27.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 192.168.29.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 192.168.28.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 192.168.26.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

ip = 192.168.25.54, object = obj-talosintelligence.com, domain = talosintelligence.com
        FQDN-ID = 268434436

FQDN ID Detail:
FQDN-ID = 268434436, object = obj-talosintelligence.com, domain = talosintelligence.com
        ip = 2001:DB8::6810:1b36, 2001:DB8::6810:1c36, 2001:DB8::6810:1d36, 2001:DB8::6810:1a36, 2001:DB8::6810:1936, 192.168.27.54, 192.168.29.54, 192.168.28.54, 192.168.26.54, 192.168.25.54

• LINAでshow access-listにチェックマークを入れると、各解決とヒットカウントのエントリが展開されていることがわかります。

firepower# show access-list  
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.28.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.26.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.25.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

• 図に示すように、アクセスリスト内にFQDNに一致するものがあるため、talosintelligence.comへのpingは失敗します。ICMPパケットがFTDによってブロックされて以来、DNS解決は機能しています。

• 以前に送信したICMPパケットのLINAからのヒットカウント：

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2001:DB8::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.28.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.26.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
  access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 192.168.25.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

• ICMP要求がキャプチャされ、入力インターフェイスでドロップされていることが示されます。

aleescob# show cap in 13 packets captured 1: 18:03:41.558915 192.168.56.132 > 172.31.200.100 icmp: 192.168.56.132 udp port 59396 unreachable 2: 18:04:12.322126 192.168.56.132 > 172.31.4.16 1 icmp：エコー要求3: 18:04:12.479162 172.31.4.161 > 192.168.56.132 icmp：エコー応答4: 18:04:13.309966 192.168.56.132 > 172.31.4.161 icmp：エコー要求5: 18:04:13.462149 172.31.4 61 > 192.168.56.132 icmp：エコー応答6: 18:04:14.308425 192.168.56.132 > 172.31.4.161 icmp：エコー要求7: 18:04:14.475424 172.31.4.161> 192.168.56.132 icmp：エコー応答1: 8:04:15.306823 192.168.56.132 > 172.31.4.161 icmp：エコー要求9: 18:04:15.463339 172.31.4.161 > 192.168.56.132 icmp：エコー応答10: 18:04:25.713662 192.168.56.13 > 192.168.27.54 icmp：エコー要求11: 18:04:30.704232 192.168.56.132 > 192.168.27.54 icmp：エコー要求12: 18:04:35.711480 192.168.56.132 > 192.168.27.54 icmp：エコー1 3: 18:04:40.707528 192.168.56.132 > 192.168.27.54 icmp: echo request aleescob# sho cap asp | 192.168.27.54 162:18:04:25.713799 192.168.56.132 > 192.168.27.54 icmp：エコー要求165:18:04:30.704355 192.168.56.132 > 192.168.27.54 icmp：エコー要求68: 18:04:35.711556 192.168.56.132 > 192.168.27.54 icmp：エコー要求176: 18:04:40.707589 192.168.56.132 > 192.168.27.54 icmp：エコー要求

• トレースでは、次のいずれかのICMPパケットが検索されます。

aleescob# sho cap in packet-number 10 trace
 
13 packets captured

  10: 18:04:25.713662       192.168.56.132 > 192.168.27.54 icmp: echo request
Phase: 1
Type: CAPTURE
Subtype:
Result: ALLOW
Config:
Additional Information:
MAC Access list

Phase: 2
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface
Result: ALLOW
Config:
Additional Information:
found next-hop 192.168.57.254 using egress ifc  wan_1557

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-talosintelligence.com rule-id 268434437 event-log flow-start
access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory
access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL
Additional Information:

Result:
input-interface: lan_v1556
input-status: up
input-line-status: up
output-interface: wan_1557
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

• アクセスコントロールルールのアクションがAllowの場合の出力例を次に示します。system support firewall-engine-debug

> system support firewall-engine-debug

Please specify an IP protocol: icmp
Please specify a client IP address: 192.168.56.132
Please specify a server IP address:
Monitoring firewall engine debug messages

192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 new firewall session
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 DAQ returned DST FQDN ID: 268434436
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 Starting with minimum 2, 'FQDN-ACL', and SrcZone first with zones 1 -> 2, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 Match found for FQDN id: 268434436
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 match rule order 2, 'FQDN-ACL', action Allow
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 MidRecovery data sent for rule id: 268434437,rule_action:2, rev id:2096384604, rule_match flag:0x0
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 allow action
192.168.56.132-8 > 192.168.29.54-0 1 AS 1 I 0 deleting firewall session

• FQDNがプレフィルタ(Fastpath)の一部として展開される場合、ngfw.rulesでは次のように表示されます。

iab_mode Off
# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268434439 fastpath any any  any any any  any any any  (log dcforward both) (tunnel -1)
268434438 allow any any  1025-65535 any any  3544 any 17  (tunnel -1)
268434438 allow any any  3544 any any  1025-65535 any 17  (tunnel -1)
268434438 allow any any  any any any  any any 47  (tunnel -1)
268434438 allow any any  any any any  any any 41  (tunnel -1)
268434438 allow any any  any any any  any any 4  (tunnel -1)
# End of tunnel and priority rules.

• トレースされたパケットのLINAの観点から：

Phase: 4
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip any object obj-talosintelligence.com rule-id 268434439 event-log both
access-list CSM_FW_ACL_ remark rule-id 268434439: PREFILTER POLICY: Prefilter-1
access-list CSM_FW_ACL_ remark rule-id 268434439: RULE: FQDN_Prefilter
Additional Information:

トラブルシュート

1. FMCからの設定

• ポリシーとDNSサーバ設定が正しく設定されていることを確認します。
• 導入が正常に行われたことを確認します。

2. FTDでのチェックの導入

• show dnsとshow access-listを実行して、FQDNが解決され、ACルールが展開されているかどうかを確認します
• show run object networkを実行し、オブジェクトに関連付けられているID（たとえば、ソースの場合はX）をメモします。
• show fqdn id Xを実行して、FQDNが送信元IPに正しく解決されているかどうかを確認します
• ngfw.rulesファイルに、送信元としてFQDN ID Xを持つACルールがあるかどうかを確認します
• システムサポートのfirewall-engine-debugを実行し、Snortの判定を確認する

FMCのトラブルシューティングファイルの収集 

必要なすべてのログは、FMCのトラブルシューティングから収集されます。FMCからすべての重要なログを収集するには、FMC GUIからトラブルシューティングを実行します。それ以外の場合は、FMC Linuxプロンプトからsf_troubleshoot.plを実行します。問題が見つかった場合は、FMCトラブルシューティングをレポートとともにCisco Technical Assistance Center(TAC)に送信してください。

FMCログ

/opt/CSCOpx/MDC/log/operation/vmsshareddsvcs.log

/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

/opt/CSCOpx/MDC/log/operation/vmsbesvcs.log

/opt/CSCOpx/MDC/tomcat/logs/stdout.log

/var/log/mojo.log

/var/log/CSMAgent.log

/var/log/action_queue.log

一般的な問題およびエラーメッセージ

FQDNとDNSサーバグループオブジェクト、およびDNS設定のUIに表示されるエラー/警告は次のとおりです。

導入の失敗

ACポリシー/プレフィルタポリシー以外のポリシーでFQDNを使用すると、次のエラーが発生し、FMC UIに表示されます。

推奨されるトラブルシューティング手順

1)ログファイルを開く：/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

2)次のような検証メッセージを確認します。

“無効なネットワークが設定されています。デバイス[DeviceNames]で構成されたネットワーク[NetworksContainingFQDN]はFQDNを参照しています。 

3)推奨されるアクション：

以下に示す1つ以上のポリシーが、FQDNオブジェクトを含むFQDNまたはグループで既に構成されているかどうかを確認し、これらのオブジェクトを削除した後で展開を再試行してください。

    a)アイデンティティポリシー

    b) ACポリシーに適用されるFQDNを含む変数セット

アクティブ化されたFQDNがありません

システムはFTD CLIを使用して次のメッセージを表示できます。

> show dns INFO：アクティブなFQDNがありません

定義されたfqdnを持つオブジェクトが適用されるまで、DNSはアクティブ化されません。オブジェクトが適用されると、この問題は解決されます。

Q&A

Q:FQDN付きのパケットトレーサは、問題をトラブルシューティングするための有効なテストですか。
A：はい。fqdnオプションをpacket-tracerで使用できます。

Q: FQDNルールによってサーバのIPアドレスが更新される頻度はどのくらいですか。
A：これは、DNS応答のTTL値によって異なります。TTL値が期限切れになると、FQDNは新しいDNSクエリによって再度解決されます。
これは、DNSサーバの設定で定義されているPoll Timer属性によっても異なります。FQDNルールは、Poll DNSタイマーが時間切れになるか、解決されたIPエントリのTTLが時間切れになるか、どちらか早いほうの時点で、定期的に解決されます。

Q：これはラウンドロビンDNSで機能しますか。
A：この機能はDNSクライアントを使用するFMC/FTDで動作し、ラウンドロビンDNS設定はDNSサーバ側にあるため、ラウンドロビンDNSはシームレスに動作します。

Q：低いTTLのDNS値に制限はありますか。
A: DNS応答に0のTTLが含まれている場合、FTDデバイスはこれに60秒を追加します。この場合、TTL値は最小60秒です。

Q：デフォルトでは、FTDは60秒のデフォルト値を維持しているのですか。
A：ユーザは、DNSサーバのExpire Entry Timer設定でTTLを常に上書きできます。

Q：エニーキャストDNS応答とどのように相互運用しますか。たとえば、DNSサーバは要求元に対して位置情報に基づいて異なるIPアドレスを提供できます。FQDNのすべてのIPアドレスを要求できますか。Unixのdigコマンドと同様ですか。
A：はい。FQDNが複数のIPアドレスを解決できる場合は、すべてがデバイスにプッシュされ、ACルールがそれに応じて拡張されます。

Q：導入が変更される前にコマンドがプッシュされたことを示すプレビューオプションを含める予定はありますか。
A：これは、Flex Configで利用可能なPreview configオプションの一部です。プレビューはすでに存在しますが、Flex Configポリシーでは非表示になっています。今後は移行して汎用化する予定です。

Q: DNSルックアップの実行に使用されるのは、FTDのどのインターフェイスですか。
A：設定可能です。インターフェイスが設定されていない場合、FTDのすべての名前付きインターフェイスでDNSルックアップが有効になります。

Q：同じFQDNオブジェクトを持つすべての管理対象NGFWに同じアクセスポリシーが適用されている場合でも、管理対象の各NGFWは独自のDNS解決とFQDN IP変換を個別に実行しますか。
A：はい。

Q：トラブルシューティングのためにFQDN ACLのDNSキャッシュをクリアできますか。
A：はい、デバイスでclear dnsコマンドとclear dns-hosts cacheコマンドを実行できます。

Q:FQDN解決がトリガーされるのは、正確にはいつですか。
A: FQDN解決は、FQDNオブジェクトがACポリシーに導入されるときに行われます。

Q：単一サイトのキャッシュのみをパージできますか。
A：はい。ドメイン名またはIPアドレスがわかっている場合は、クリアできますが、ACLの観点からは、そのようなコマンドはありません。たとえば、clear dns host agni.tejas.comコマンドは、dns host agni.tejas.comのように、ホストごとにキーワードhostを使用してキャッシュをクリアするために存在します。

Q: *.microsoft.comのようにワイルドカードを使用できますか。
A：いいえ。FQDNの先頭と末尾は数字または文字である必要があります。内部文字として使用できるのは、文字、数字、ハイフンのみです。

Q：名前解決は最初の要求または後続の要求の時点ではなく、ACのコンパイル時に実行されるのですか。TTLが低い（ACコンパイル時間やファストフラックスよりも短い）場合、IPアドレスの一部が失われることはありますか。
A：名前解決は、ACポリシーが展開されるとすぐに行われます。TTL時間の期限切れにより、更新が行われます。

Q: Microsoft Office 365クラウドのIPアドレス(XML)リストを処理できる予定はありますか。
A：現時点ではサポートされていません。

Q: FQDNはSSLポリシーで使用できますか。
A：現時点ではサポートされていません（ソフトウェアバージョン6.3.0）。FQDNオブジェクトは、ACポリシーの送信元および宛先ネットワークでのみサポートされます。

Q：解決されたFQDNに関する情報を提供できる履歴ログはありますか。たとえば、LINA syslogなどです。
A：特定の宛先に対するFQDNのトラブルシューティングを行うには、system support traceコマンドを使用できます。トレースは、パケットのFQDN IDを示します。IDを比較してトラブルシューティングできます。Syslogメッセージ746015および746016を有効にして、FQDN dns解決アクティビティを追跡することもできます。

Q：デバイスログの接続テーブルに、解決されたIPアドレスのFQDNが記録されていますか。
A：特定の宛先に対するFQDNのトラブルシューティングを行うには、system support traceコマンドを使用できます。このトレースでは、パケットのFQDN IDが示されます。IDを比較してトラブルシューティングできます。将来的には、FMCのイベントビューアにFQDNログが記録される予定です。

Q:FQDNルール機能の欠点は何ですか。

A:IPアドレスが頻繁に変更される宛先（たとえば、TTL期限切れ0のインターネットサーバ）でFQDNルールが使用されている場合、この機能は拡張されず、ワークステーションではFTD DNSキャッシュと一致しなくなった新しいIPアドレスが使用される可能性があります。その結果、ACPルールと一致しません。デフォルトでは、FTDはDNS応答から受信したTTL期限切れに加えて1分を追加します。0に設定することはできません。このような状況では、この使用例に最適なURLフィルタリング機能を使用することを強く推奨します。