Recherches de nom avant / arrière Cisco IOS

10

Je veux configurer nos Ciscos afin qu'ils puissent faire une résolution DNS directe, mais pas une résolution DNS inverse à partir de la CLI.

R01(config)#ip domain-name domain.local
R01(config)#ip name-server 10.1.1.1
R01(config)#ip domain-lookup

Cette configuration fait que le routeur effectue une recherche directe lorsque nous exécutons une commande ping et une recherche inverse sous les commandes show qui renvoient des adresses IP. Lorsque nous faisons un "show user", le routeur effectue une recherche inversée pour chacune des adresses IP source. Il semble que nous obtenions des recherches directes et inverses lorsque nous activons la «recherche de domaine ip». Existe-t-il un moyen de désactiver les recherches inversées et de laisser les recherches directes activées?

user2339
la source
4
Je ne pense pas que ce soit possible. Vous pouvez cependant ajouter ces hôtes avec la commande ip host s'ils ne figurent pas dans votre DNS. Une raison spécifique pour ne pas ajouter d'enregistrements inversés?
Daniel Dib
3
@DanielDib, pour savoir si c'est possible ... tout ce dont vous avez besoin est no domain-lookupsous le vty ...
Mike Pennington
@MikePennington Nice. Jamais vu cela utilisé sous le VTY.
Daniel Dib
@DanielDib, DNS est contrôlé par un autre groupe et ils refusent de maintenir correctement les enregistrements inversés. C'est un problème dans notre entreprise que personne dans la gestion informatique ne veut aborder parce que la personne qui contrôle le DNS a trop de relations politiques dans l'entreprise, et il est très vindicatif.
user2339

Réponses:

12

Existe-t-il un moyen de désactiver les recherches inversées et de laisser les recherches directes activées?

Résumé:

Utiliser no domain-lookupsous line vty 0 4...

Détails:

Vous avez raison, le comportement par défaut consiste à effectuer et à mettre en cache une recherche directe / inverse pour les adresses dans les commandes show. Cette config démarre comme la vôtre ...

Comportement de base: recherches directes / inverses

HotCoffee#clear host *
HotCoffee#sh runn | i ip domain|ip name|^ +domain|NTP
Time source is NTP, 06:10:42.327 CDT Tue Aug 13 2013
ip domain name pennington.net
ip name-server 172.16.1.5
 domain-name pennington.net
HotCoffee#

Après avoir effacé le cache de l'hôte, il n'y a aucune entrée dedans ...

HotCoffee#show host
Load for five secs: 0%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 06:11:46.864 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
HotCoffee#

Faire un show userou pingremplit le cache d'hôte ...

HotCoffee#sh user
    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 tsunami.pennington.net

  Interface    User               Mode         Idle     Peer Address

HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
HotCoffee#

Il existe maintenant des entrées d'hôte pour la pingcible et show user...

HotCoffee#sh hosts
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:16:32.811 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#

Solution: uniquement les recherches directes

Utilisez no domain-lookupsous les lignes vty / console pour restreindre le comportement IOS aux recherches directes uniquement ...

HotCoffee#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
HotCoffee(config)#line vty 0 4
HotCoffee(config-line)#no domain-lookup
HotCoffee(config-line)#end
HotCoffee#

Je vide d'abord le cache de l'hôte pour un test propre ...

HotCoffee#clear host *
HotCoffee#
HotCoffee#

show user auparavant effectué une recherche inversée sur 172.16.1.5 ainsi que le remplissage du cache d'hôte, mais aucun ne se produit maintenant ...

HotCoffee#sh user
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:00.250 CDT Tue Aug 13 2013

    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 172.16.1.5   <----

  Interface    User               Mode         Idle     Peer Address

HotCoffee#
HotCoffee#sh host
Load for five secs: 2%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:06.729 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
                                                                    <----
HotCoffee#

Juste pour montrer que les recherches directes fonctionnent toujours ...

HotCoffee#
HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
HotCoffee#
HotCoffee#
HotCoffee#
HotCoffee#sh hosts
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:25:43.237 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#
Mike Pennington
la source