Pesquisas de nome de encaminhamento / reversão do Cisco IOS

10

Quero configurar nossos Ciscos para que eles possam encaminhar a resolução de DNS, mas não reverter a resolução de DNS da CLI.

R01(config)#ip domain-name domain.local
R01(config)#ip name-server 10.1.1.1
R01(config)#ip domain-lookup

Essa configuração faz com que o roteador faça uma pesquisa direta quando fizermos ping e inverta a pesquisa em comandos show que retornam endereços IP. Quando fazemos um "show user", o roteador faz uma pesquisa inversa para cada um dos endereços IP de origem. Parece que obtemos pesquisas direta e inversa quando ativamos a "pesquisa de domínio ip". Existe uma maneira de desativar as pesquisas reversas e ativar as pesquisas avançadas?

user2339
fonte
4
Eu não acho isso possível. Você pode adicionar esses hosts com o comando ip host, se eles não estiverem no seu DNS. Algum motivo específico para não adicionar registros reversos?
Daniel Dib
3
@DanielDib, sobre se é possível ... tudo que você precisa é no domain-lookupsob o vty ...
Mike Pennington
@MikePennington Nice. Nunca vi isso usado sob o VTY.
precisa
@DanielDib, o DNS é controlado por outro grupo e eles se recusam a manter os registros reversos atualizados corretamente. É um problema em nossa empresa que ninguém no gerenciamento de TI deseja resolver porque a pessoa que controla o DNS tem muitas conexões políticas na empresa e é muito vingativa.
user2339

Respostas:

12

Existe uma maneira de desativar as pesquisas reversas e ativar as pesquisas avançadas?

Resumo:

Use no domain-lookupem line vty 0 4...

Detalhes:

Você está certo, o comportamento padrão é executar e armazenar em cache uma pesquisa direta / reversa para os endereços nos comandos show. Esta configuração começa semelhante à sua ...

Comportamento da linha de base: pesquisas avançadas / reversas

HotCoffee#clear host *
HotCoffee#sh runn | i ip domain|ip name|^ +domain|NTP
Time source is NTP, 06:10:42.327 CDT Tue Aug 13 2013
ip domain name pennington.net
ip name-server 172.16.1.5
 domain-name pennington.net
HotCoffee#

Depois de limpar o cache do host, não há entradas nele ...

HotCoffee#show host
Load for five secs: 0%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 06:11:46.864 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
HotCoffee#

Fazendo show userou pingpreenche o cache do host ...

HotCoffee#sh user
    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 tsunami.pennington.net

  Interface    User               Mode         Idle     Peer Address

HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
HotCoffee#

Agora, existem entradas de host para o pingdestino e show user...

HotCoffee#sh hosts
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:16:32.811 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#

Solução: Somente pesquisas avançadas

Use no domain-lookupsob as linhas vty / console para restringir o comportamento do IOS apenas para encaminhar pesquisas ...

HotCoffee#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
HotCoffee(config)#line vty 0 4
HotCoffee(config-line)#no domain-lookup
HotCoffee(config-line)#end
HotCoffee#

Primeiro, limpo o cache do host para um teste limpo ...

HotCoffee#clear host *
HotCoffee#
HotCoffee#

show user anteriormente executou uma pesquisa inversa em 172.16.1.5, além de preencher o cache do host, mas nada acontece agora ...

HotCoffee#sh user
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:00.250 CDT Tue Aug 13 2013

    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 172.16.1.5   <----

  Interface    User               Mode         Idle     Peer Address

HotCoffee#
HotCoffee#sh host
Load for five secs: 2%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:06.729 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
                                                                    <----
HotCoffee#

Apenas para mostrar que as pesquisas futuras ainda funcionam ...

HotCoffee#
HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
HotCoffee#
HotCoffee#
HotCoffee#
HotCoffee#sh hosts
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:25:43.237 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#
Mike Pennington
fonte