FQDNs em mapas de criptografia e servidores AAA são possíveis com resolução DNS dinâmica? Cisco ASA

8

Posso usar FQDNs em mapas criptográficos ao definir um ponto (onde normalmente eu usaria um IP) e posso usar FQDNs ao definir um servidor LDAP ou qualquer outro servidor AAA em um grupo de servidores? Nos dois casos, os FQDNs precisariam ser resolvidos por chamadas para um servidor DNS externo (objetos FQDN).

Se a resposta for sim, forneça um exemplo rápido de como fazer isso. Eu já sei como usar FQDN's nas ACLs, configurar o DNS externo e validar se o ASA está resolvendo esses corretamente.

cisco cisco-asa firewall aaa AL
fonte
AL, você está perguntando se é possível que o ASA re-resolva o FQDN de vez em quando (como fazem para ACLs dinâmicas) ?. Ajudaria se você desse um exemplo concreto de onde o FQDN está definido e as circunstâncias que você deseja que o ASA verifique.
Mike Pennington
Ei Mike, sim, é exatamente disso que estou falando. Nesses casos - temos um URL fornecido pelo fornecedor, que devemos usar em uma configuração do servidor AAA e também para um IP de mesmo nível em um mapa criptográfico para um túnel IPsec L2L. Não sei quanto mais colocar na pergunta para transmitir isso.
AL
Ok, se você puder ser específico sobre o TTL no registro DNS, ajudaria. Verifique o TTL com nslookup(Windows) ou dig(Linux / Windows)
Mike Pennington
O registro específico que eu precisaria resolver possui um TTL de 58 segundos, portanto, precisamos resolver os nomes usados ​​nesses casos a cada 58s ou menos idealmente.
AL

Respostas:

4

Sim, de acordo com a documentação da Cisco (v8.4) , você pode usar um nome de host na maioria dos locais onde usa um endereço IP.

Aqui está um exemplo retirado da documentação:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
fonte
Eu deveria ter revisado a pergunta. FQDN resolvido dinamicamente via DNS externo. Eu posso mapear as coisas estaticamente sem problemas, eu estava me referindo a objetos FQDN. Algum pensamento aí?
AL
@AL Na verdade, eu ainda não tentei, mas de acordo com os documentos, o ASA não se importa com a interface do servidor DNS. Veja goo.gl/3zr9cB
Ron Trunk
Ei Ron, sim, atualmente eu uso DNS externo em algumas entradas da ACL, portanto, a configuração do DNS externo não é o problema. O problema é que, quando você usa FQDNs, precisa criar um objeto de rede que os contenha, e não tenho certeza se esse tipo de objeto de rede pode ser usado em mapas de criptografia ou em configurações de um servidor aaa.
AL
@AL Como eu disse, não tenho um ASA de reposição para testar. Provavelmente seria mais rápido tentar.
Ron Trunk
Finalmente pude fazer um teste e posso confirmar sua sugestão! desde que a interface definida no servidor aaa tenha uma pesquisa de DNS correspondente INTNAME e um servidor de nomes na mesma interface que possa resolver seu nome de host, você é bom. Também funcionou para mapas de criptografia. Coisas boas, obrigado pela ajuda!
AL