FQDN dans les cartes cryptographiques et les serveurs AAA possibles avec une résolution DNS dynamique? Cisco ASA

8

Puis-je utiliser des FQDN dans des cartes cryptographiques lors de la définition d'un homologue (où j'utiliserais normalement une adresse IP), et puis-je utiliser des FQDN lors de la définition d'un serveur LDAP ou de tout autre serveur AAA dans un groupe de serveurs? Dans les deux cas, les FQDN devraient être résolus par des appels à un serveur DNS externe (objets FQDN).

Si la réponse est oui, veuillez fournir un exemple rapide de la façon de procéder. Je sais déjà comment utiliser le FQDN dans les ACL, configurer le DNS externe et valider que l'ASA les résout correctement.

cisco cisco-asa firewall aaa AL
la source
AL, demandez-vous s'il est possible que l'ASA résout le FQDN de temps en temps (comme ils le font pour les ACL dynamiques)?. Il serait utile que vous donniez un exemple concret de la définition du FQDN et des circonstances que vous souhaitez que l'ASA vérifie.
Mike Pennington
Hé Mike, oui, c'est exactement ce dont je parle. Dans ces cas - nous avons une URL donnée par le fournisseur, que nous devons utiliser dans une configuration de serveur AAA et également pour une adresse IP homologue dans une carte cryptographique pour un tunnel IPsec L2L. Je ne sais pas combien de temps il faut ajouter à la question pour le faire comprendre.
AL
Ok, si vous pouvez être précis sur le TTL sur l'enregistrement DNS, cela aiderait. Vérifiez le TTL avec nslookup(Windows) ou dig(Linux / Windows)
Mike Pennington
L'enregistrement particulier que je devrais résoudre a un TTL de 58 secondes, nous devons donc résoudre les noms utilisés dans ces cas toutes les 58 secondes ou moins idéalement.
AL

Réponses:

4

Oui, selon la documentation Cisco (v8.4) , vous pouvez utiliser un nom d'hôte dans la plupart des endroits où vous utilisez une adresse IP.

Voici un exemple tiré de la documentation:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
la source
J'aurais dû réviser la question. FQDN résolu dynamiquement via DNS extérieur. Je peux cartographier les choses statiquement sans problème, je faisais référence aux objets FQDN. Des pensées là-bas?
AL
@AL Je ne l'ai pas essayé, mais selon les documents, ASA ne se soucie pas de l'interface du serveur DNS. Voir goo.gl/3zr9cB
Ron Trunk
Hé Ron, oui, j'utilise actuellement un DNS externe dans quelques entrées ACL, donc la configuration du DNS externe n'est pas le problème. Le problème est que lorsque vous utilisez des noms de domaine complets, vous devez créer un objet réseau les contenant, et je ne sais pas si ce type d'objet réseau peut être utilisé dans des cartes cryptographiques ou dans des configurations aaa-server.
AL
@AL Comme je l'ai dit, je n'ai pas d'ASA de rechange à tester. Il serait probablement plus rapide de l'essayer.
Ron Trunk
J'ai finalement pu passer un test et je peux confirmer votre suggestion! tant que l'interface que vous définissez dans le serveur aaa a un INTNAME de recherche DNS correspondant et un serveur de noms sur la même interface qui peut résoudre votre nom d'hôte, vous êtes bon. Cela a également fonctionné pour les cartes cryptographiques. De bonnes choses, merci pour l'aide!
AL