Begrijp de functie FQDN op Firepower Threat Defense (door FMC beheerde)

(1)

Begrijp de functie FQDN op Firepower Threat Defense (door FMC beheerde)

Inhoud

Inleiding Voorwaarden Vereisten

Gebruikte componenten Achtergrondinformatie Overzicht van functies Hoe zit het met pre-6.3?

Configureren Netwerkdiagram

Architectuur - alientpoints Configuratiestappen Verifiëren

Problemen oplossen

Optie-bestanden voor FMC verzamelen

Gemeenschappelijke problemen/foutmeldingen implementatiefout

Aanbevolen stappen voor probleemoplossing Geen geactiveerd FQDN

Vraag en antwoord

Inleiding

Dit document beschrijft hoe de FQDN-functie (Full Qualified Domain Name, FQDN), die door softwareversie 6.3.0 aan Firepower Management Center (FMC) en Firepower Threat Defense (FTD) is geïntroduceerd, te configureren. Deze optie is aanwezig in de Cisco adaptieve security applicatie (ASA), maar was niet beschikbaar in de eerste softwarereleases van FTD.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

FireSIGHT Management Center

●

Gebruikte componenten

De informatie in dit document is gebaseerd op deze softwareversies:

(2)

Cisco Firepower Threat Defense (FTD) Virtual Edition voor softwareversie 6.3.0

●

Firepower Management Center Virtual (vFMC) die softwareversie 6.3.0 uitvoert

●

De informatie in dit document is gebaseerd op de apparaten in een specifieke

laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

Zorg ervoor dat aan deze voorwaarden is voldaan voordat u FQDN-objecten configureren:

FireSIGHT Management Center moet versie 6.3.0 of hoger uitvoeren. Het kan fysiek of virtueel zijn

●

De Firepower Threat Defense moet versie 6.3.0 of hoger uitvoeren. Het kan fysiek of virtueel zijn

●

Overzicht van functies

Deze optie lost een FQDN op in een IP-adres en gebruikt deze om verkeer te filteren wanneer verwezen wordt door een toegangscontroleregel of prefilterbeleid.

Hoe zit het met pre-6.3?

FMC en FTD die een versie eerder dan 6.3.0 uitvoeren, kunnen geen FQDN-objecten configureren.

●

Indien het FMC versie 6.3 of hoger uitvoert maar het FTD een versie eerder dan 6.3 runt, toont de invoering van een beleid deze fout:

●

(3)

Als u bovendien via FlexConfig een DNS-object vormt, wordt deze waarschuwing weergegeven:

●

Configureren

Netwerkdiagram

(4)

Architectuur - alientpoints

DNS-resolutie (DNS-naar-IP) wordt in LINA uitgevoerd

●

LINA slaat de mapping in haar database op

●

Op een per-verbinding basis, wordt deze mapping van LINA naar snort

●

De resolutie van FQDN gebeurt onafhankelijk van hoge beschikbaarheid of clusterconfiguratie

●

Configuratiestappen

Stap 1: Het configureren van het "DNS-servergroepsobject"

De naam van de DNS-servergroep mag niet meer dan 63 tekens bevatten

●

In een multidomein plaatsing, moeten de objectnamen uniek zijn binnen de domein hiërarchie.

Het systeem kan een conflict met de naam van een object identificeren dat u niet in het huidige domein kunt bekijken

●

Het Default Domain (optioneel) wordt gebruikt om aan de hostnamen toe te voegen die niet volledig zijn gekwalificeerd

●

De standaard Retries en timeout waarden zijn vooraf ingevuld. Retries: het aantal keren, van 0 tot 10, om de lijst met DNS-servers opnieuw in te proberen wanneer het systeem geen respons ontvangt. De standaardinstelling is 2.Time-out-het aantal seconden, van 1 tot 30, voordat een andere poging doet naar de volgende DNS-server. De standaardinstelling is 2 seconden. Telkens wanneer het systeem de lijst met servers opnieuw probeert, verdubbelt deze tijd.

●

Voer de DNS-servers in om deel uit te maken van deze groep. Dit kan een IPv4- of IPv6- indeling zijn als komma-gescheiden waarden

●

De DNS-servergroep wordt gebruikt voor een oplossing met het interfaceobject of de objecten die in de Platform-instellingen zijn geconfigureerd

●

REST API voor boekingen met DNS-servergroep: CRUD wordt ondersteund

●

Stap 2. DNS (platform instellingen) configureren

(5)

(Optioneel) Wijzig de waarden voor timer en poll Timer in minuten:

●

De optie op de timer bij het invullen van de einddatum specificeert de tijdlimiet om het IP-adres van een opgeloste FQDN te verwijderen uit de DNS lookup-tabel nadat de TTL-verbinding (Time- to-live) was verlopen. Verwijder een ingang om de tabel opnieuw samen te stellen, zodat de regelmatige verwijderaars de proceslading op het apparaat kunnen verhogen. Deze instelling breidt de TTL vrijwel uit.

De optie van de stemtimer specificeert de tijdlimiet waarna het apparaat de DNS server om de FQDN op te lossen vraagt die in een groep van netwerkobjecten werd gedefinieerd. Een FQDN wordt periodiek opgelost wanneer de poll-timer is verlopen, of wanneer de TTL van de opgeloste IP-ingang is verlopen, welke eerst plaatsvindt.

(Optioneel) Selecteer de gewenste interfaceobjecten in de beschikbare lijst en voeg deze toe aan de lijst met geselecteerde interfaceobjecten en controleer of de DNS-server bereikbaar is via de geselecteerde interface(s):

●

Voor FirePOWER Threat Defense 6.3.0-apparaten, als er geen interfaces geselecteerd zijn en de diagnostische interface uitgeschakeld is voor DNS-raadpleging, gebeurt de DNS-resolutie via een interface die de diagnostische interface bevat (de opdracht dnsdomain-lookup is van toepassing).

Als u geen interfaces specificeert — en DNS raadpleging op de diagnostische interface niet toelaat, gebruikt de FTD de Tabel van het Gegevens Routing om de interface te bepalen. Als er geen match is, gebruikt het de Management Routing Tabel.

(Optioneel) Selecteer DNS-verwijdering inschakelen via het selectiekader voor de diagnostische interface

●

(6)

Indien ingeschakeld, gebruikt Firepower Threat Defense zowel de geselecteerde

gegevensinterfaces als de diagnostische interface voor DNS-resoluties. Vergeet niet een IP-adres te configureren voor de diagnostische interface op het apparaat > Apparaatbeheer > Apparatuur >

Interfaces pagina.

Stap 3. Configureer de FQD van het object Network

Navigeer aan Voorwerpen > Objectbeheer, binnen een netwerkobject specificeer de FQDN optie.

Een unieke ID met 32 bits wordt gegenereerd wanneer de gebruiker een FQDN-object maakt

●

Deze ID wordt vanuit FMC naar zowel LINA als Snort geduwd

●

In LINA is deze ID gekoppeld aan het object

●

Dit ID wordt in het kort gekoppeld aan de toegangscontroleregel die dat object bevat

●

Stap 4. Maak een toegangscontroleregel

Maak een regel met het vorige FQDN-object en stel het beleid in:

(7)

Opmerking: Het eerste geval van de FQDN-resolutie treedt op wanneer het FQDN-object wordt ingezet in een toegangscontrolebeleid

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Dit is de FTD eerste configuratie voordat FQDN wordt ingezet:

●

aleescob# show run dns DNS server-group DefaultDNS

Dit is de configuratie na plaatsing van FQDN:

●

aleescob# show run dns dns domain-lookup wan_1557 DNS server-group DNS_Test retries 3

timeout 5

name-server 173.38.200.100 domain-name aleescob.cisco.com DNS server-group DefaultDNS

dns-group DNS_Test

Dit is hoe het FQDN-object er in LINA uitziet:

●

object network obj-talosintelligence.com fqdn talosintelligence.com id 268434436

(8)

Wanneer het reeds wordt ingezet, is dit hoe de toegangslijst van FQDN in LINA kijkt:

●

access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL

access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start

Zo ziet het er in Snort uit (ngfw.rules):

●

# Start of AC rule.

268434437 deny 1 any any 2 any any any any (log dcforward flowstart) (dstfqdn 268434436)

# End rule 268434437

Opmerking: In dit scenario, aangezien het FQDN-object voor de bestemming werd gebruikt, wordt het als dstfqdn opgenomen.

Als u show dns controleert en fqdn opdrachten toont, kunt u opmerken dat de functie is begonnen om IP op te lossen voor tallosIntelligence.com:

●

aleescob# show dns

Name: talosintelligence.com

Address: 2606:4700::6810:1b36 TTL 00:05:43 Address: 2606:4700::6810:1c36 TTL 00:05:43 Address: 2606:4700::6810:1d36 TTL 00:05:43 Address: 2606:4700::6810:1a36 TTL 00:05:43 Address: 2606:4700::6810:1936 TTL 00:05:43 Address: 104.16.27.54 TTL 00:05:43 Address: 104.16.29.54 TTL 00:05:43 Address: 104.16.28.54 TTL 00:05:43 Address: 104.16.26.54 TTL 00:05:43 Address: 104.16.25.54 TTL 00:05:43

aleescob# show fqdn FQDN IP Table:

ip = 2606:4700::6810:1b36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

ip = 2606:4700::6810:1c36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

ip = 2606:4700::6810:1d36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

ip = 2606:4700::6810:1a36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

ip = 2606:4700::6810:1936, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

ip = 104.16.27.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436

(9)

FQDN ID Detail:

FQDN-ID = 268434436, object = obj-talosintelligence.com, domain = talosintelligence.com ip = 2606:4700::6810:1b36, 2606:4700::6810:1c36, 2606:4700::6810:1d36,

2606:4700::6810:1a36, 2606:4700::6810:1936, 104.16.27.54, 104.16.29.54, 104.16.28.54, 104.16.26.54, 104.16.25.54

Als u de toegangslijst in LINA controleert, kunt u de uitgebreide items voor elke resolutie opmerken en tellen op de hoogte stellen:

●

firepower# show access-list

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8 access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1b36

(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54

(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54

(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

Zoals in de afbeelding wordt getoond, mislukt een ping aan talosintelligence.com omdat er een match voor FQDN is in de toegangslijst. De DNS-resolutie heeft gewerkt omdat het ICMP-pakket door de FTD geblokkeerd is.

●

(10)

Hit telt vanaf LINA voor de eerder verzonden ICMP-pakketten:

●

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8 access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host

2606:4700::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host

2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f

access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f

(11)

ICMP-verzoeken worden opgenomen en weergegeven in de ingangsinterface:

●

aleescob# show cap in 13 packets captured

1: 18:03:41.558915 192.15.56.132 > 173.38.200.100 icmp: 192.15.56.132 udp port 59396 unreachable

2: 18:04:12.322126 192.15.56.132 > 72.163.4.161 icmp: echo request 3: 18:04:12.479162 72.163.4.161 > 192.15.56.132 icmp: echo reply 4: 18:04:13.309966 192.15.56.132 > 72.163.4.161 icmp: echo request 5: 18:04:13.462149 72.163.4.161 > 192.15.56.132 icmp: echo reply 6: 18:04:14.308425 192.15.56.132 > 72.163.4.161 icmp: echo request 7: 18:04:14.475424 72.163.4.161 > 192.15.56.132 icmp: echo reply 8: 18:04:15.306823 192.15.56.132 > 72.163.4.161 icmp: echo request 9: 18:04:15.463339 72.163.4.161 > 192.15.56.132 icmp: echo reply 10: 18:04:25.713662 192.15.56.132 > 104.16.27.54 icmp: echo request 11: 18:04:30.704232 192.15.56.132 > 104.16.27.54 icmp: echo request 12: 18:04:35.711480 192.15.56.132 > 104.16.27.54 icmp: echo request 13: 18:04:40.707528 192.15.56.132 > 104.16.27.54 icmp: echo request

aleescob# sho cap asp | in 104.16.27.54

162: 18:04:25.713799 192.15.56.132 > 104.16.27.54 icmp: echo request 165: 18:04:30.704355 192.15.56.132 > 104.16.27.54 icmp: echo request 168: 18:04:35.711556 192.15.56.132 > 104.16.27.54 icmp: echo request 176: 18:04:40.707589 192.15.56.132 > 104.16.27.54 icmp: echo request

Zo ziet de overtrek er uit naar een van deze ICMP-pakketten:

●

aleescob# sho cap in packet-number 10 trace 13 packets captured

10: 18:04:25.713662 192.15.56.132 > 104.16.27.54 icmp: echo request Phase: 1

Type: CAPTURE Subtype:

Result: ALLOW Config:

Additional Information:

MAC Access list

Phase: 2

Type: ACCESS-LIST Subtype:

Result: ALLOW Config:

Implicit Rule

MAC Access list

Phase: 3

Type: ROUTE-LOOKUP

Subtype: Resolve Egress Interface Result: ALLOW

Config:

found next-hop 192.15.57.254 using egress ifc wan_1557

(12)

Phase: 4

Type: ACCESS-LIST Subtype: log Result: DROP Config:

access-group CSM_FW_ACL_ global

access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-

talosintelligence.com rule-id 268434437 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory access-list CSM_FW_ACL_ remark rule- id 268434437: L4 RULE: FQDN-ACL

Result: input-interface: lan_v1556 input-status: up input-line-status: up output-interface:

wan_1557 output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule

Als de actie voor de toegangscontroleregel wordt toegestaan, is dit een voorbeeld van de uitvoer van systeemondersteuning firewall-engine-debug

●

> system support firewall-engine-debug

Please specify an IP protocol: icmp

Please specify a client IP address: 192.15.56.132 Please specify a server IP address:

Monitoring firewall engine debug messages

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 new firewall session

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 DAQ returned DST FQDN ID: 268434436

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Starting with minimum 2, 'FQDN-ACL', and SrcZone first with zones 1 -> 2, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Match found for FQDN id: 268434436

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 match rule order 2, 'FQDN-ACL', action Allow 192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 MidRecovery data sent for rule id:

268434437,rule_action:2, rev id:2096384604, rule_match flag:0x0 192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 allow action

192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 deleting firewall session

Wanneer de FQDN wordt ingezet als deel van een prefilter (Fastpath), is dit hoe het er in ngfw.rules uitziet:

●

iab_mode Off

# Start of tunnel and priority rules.

# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.

268434439 fastpath any any any any any any any any (log dcforward both) (tunnel -1) 268434438 allow any any 1025-65535 any any 3544 any 17 (tunnel -1)

268434438 allow any any 3544 any any 1025-65535 any 17 (tunnel -1) 268434438 allow any any any any any any any 47 (tunnel -1)

268434438 allow any any any any any any any 41 (tunnel -1) 268434438 allow any any any any any any any 4 (tunnel -1)

# End of tunnel and priority rules.

Vanuit LINA oogpunt met een getraceerd pakje:

●

Phase: 4

Type: ACCESS-LIST

(13)

Subtype: log Result: ALLOW Config:

access-group CSM_FW_ACL_ global

access-list CSM_FW_ACL_ advanced trust ip any object obj-talosintelligence.com rule-id 268434439 event-log both access-list CSM_FW_ACL_ remark rule-id 268434439: PREFILTER POLICY: Prefilter-1 access-list CSM_FW_ACL_ remark rule-id 268434439: RULE: FQDN_Prefilter

Problemen oplossen

Configuratie van FMC 1.

Controleer het beleid en de DNS-serverinstellingen

●

Controleer of de implementatie succesvol is

●

Controle implementeren op FTD 2.

Start show dns en toon access-list om te zien of FQDN wordt opgelost en AC-regels worden uitgebreid

●

Start show run object network en noteer de ID gekoppeld aan het object (bijvoorbeeld X voor bron)

●

Start show fqdn X om te controleren of FQDN correct is opgelost in de bron-IP

●

Controleer of het bestand ngfw.regels AC-regel heeft met FQDN-id X als bron

●

Systeemondersteuning uitvoeren, firewall-engine-debug en het oordeel van de Snort controleren

●

Optie-bestanden voor FMC verzamelen

Alle benodigde bestanden zijn verzameld bij een probleemoplossing van het FMC. Om alle belangrijke logbestanden van het FMC te verzamelen, voert u een probleemoplossing uit van de FMC GUI. Anders vanuit een FMC Linux-prompt, voer sf_probleemoplossing.pl uit. Als u een probleem hebt gevonden, stuurt u een FMC-probleemoplossing met uw rapport naar het Cisco Technical Assistance Center (TAC).

FMC-kaarten

Logbestandsnaam/locatie doel

/opt/CSCOpx/MDC/log/operation/vmsshareddsvcs.log Alle API-oproepen

/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.

log

Alle API-oproepen

/opt/CSCOpx/MDC/log/operation/vmsbesvcs.log Vastlegging CLI-generatie

/opt/CSCOpx/MDC/tomcat/logs/stdout.log Tomcat Logs

/var/log/mojo.log Mojo Logs

/var/log/CSMAgent.log REST-oproepen tussen CSM en DC

Handboek van de DC in de Action Queue

(14)

/var/log/action_queue.log

Gemeenschappelijke problemen/foutmeldingen

Dit zijn de fouten/waarschuwingen in UI voor FQDN en DNS servergroepsobject en DNS- instellingen:

Fout/waarschuwing Scenario Beschrijving

De naam bevat ongeldige tekens. De naam dient te beginnen met alfabet of underscore en te volgen met alfanumerieke of speciale tekens (-,_,+.)

Gebruiker

vormt verkeerde naam

Gebruiker is op de hoogte van de toegestane

tekens en max bereik.

Ongeldige waarde voor standaarddomein

Gebruiker stelt verkeerde domeinnaam in

De gebruiker wordt op de hoogte gesteld van de toegestane tekens en het maximale bereik.

Er is geen interfaceobject geselecteerd voor de DNS in platform instelling

‘mzafeiro_platform_Settings’.

Indien voortgezet, zal de DNS- domeinraadpleging op alle interfaces plaatsvinden

Gebruiker selecteert geen interface voor

domeinraadpleging Voor een post-6.3-toestel

Gebruiker is gewaarschuwd dat het DNS

servergroep CLI wordt toegepast

op alle interfaces.

Er is geen interfaceobject geselecteerd voor de DNS in platform instelling

‘mzafeiro_platform_Settings’.

Indien voortgezet, zal geen DNS-servergroep met "DNS"

worden toegepast

Gebruiker selecteert geen interface voor

domeinraadpleging Voor een 6.2.3-inrichting

Gebruiker is gewaarschuwd dat de DNS

servergroep CLI zal niet worden gegenereerd.

implementatiefout

Wanneer een FQDN in ander beleid dan AC Policy/Prefilter beleid wordt gebruikt, kan deze fout voorkomen en in het FMC UI worden getoond:

(15)

Aanbevolen stappen voor probleemoplossing

1) Open logbestand: /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log

2) Controleer op validatiebericht vergelijkbaar met:

"Ongeldig(e) netwerk(s) ingesteld. Netwerken [NetworksBevatFQDN] geconfigureerd op het apparaat(en)[Apparaatnamen] verwijzen naar FQDN"

3) Aanbevolen actie:

Controleer of een of meer van de onderstaande beleidslijnen al zijn geconfigureerd met een FQDN of een groep die een FQDN-object(en) bevat en probeer de implementatie van hetzelfde beleid opnieuw nadat die objecten(en) zijn verwijderd.

a) identiteitsbeleid

b) Variabele reeksen die een FQDN bevatten dat op AC-beleid wordt toegepast

Geen geactiveerd FQDN

Het systeem kan het volgende aantonen via de FTD CLI:

> show dns

INFO: no activated FQDN

De DNS wordt niet geactiveerd totdat een object met een gedefinieerd fqdn wordt toegepast.

Nadat een object is toegepast, wordt dit opgelost.

Vraag en antwoord

(16)

V: Is Packet-tracer met FQDN een geldige test voor het oplossen van problemen?

A: Ja, u kunt de fqdn optie gebruiken met pakkettracer.

V: Hoe vaak werkt de FQDN-regel het IP-adres van de server bij?

A: Het is afhankelijk van de TTL-waarde van de DNS-respons. Zodra de TTL-waarde is verlopen, wordt FQDN opnieuw opgelost met een nieuwe DNS-query.

Dit is ook afhankelijk van de Polen Timer-eigenschap die in de DNS-serverconfiguratie is

gedefinieerd. De FQDN-regel wordt periodiek opgelost wanneer de Poll-DNS-timer is verlopen of wanneer de TTL van de opgeloste IP-ingang is verlopen, welke eerst komt.

V: Werkt dit voor ronde-robin DNS?

A: Ronde-DNS-werk naadloos aangezien deze functie op de FMC/FTD werkt met het gebruik van een DNS-client en de DNS-configuratie rond de lijn op de DNS-server staat.

V: Is er een beperking voor de lage TTL DNS-waarden?

A: Als een DNS-respons met 0 TTL komt, voegt het FTD-apparaat er 60 seconden aan toe. In dit geval is de TTL-waarde minimaal 60 seconden.

V: Zo behoudt de FTD standaard de standaardwaarde van 60 seconden?

A: De gebruiker kan de TTL altijd omzeilen met de instelling Vernieuwde timer op DNS-server.

V: Hoe het interopereert met een DNS-respons? Bijvoorbeeld, kunnen DNS servers verschillende IP adressen verstrekken die op geolocatie gebaseerd zijn aan verzoeker. Is het mogelijk om alle IP adressen voor een FQDN te vragen? Zoals het graafbevel op Unix?

A: Ja, als FQDN meerdere IP-adressen kan oplossen, wordt alle naar het apparaat geduwd en de AC-regel uitgebreid dienovereenkomstig.

V: Zijn er plannen om een voorproefoptie op te nemen die toont de opdrachten worden geduwd vóór een verandering van de functie?

A: Dit maakt deel uit van de optie Preview beschikbaar via Flex configuratie. Voorbeeld is er al, maar is verborgen in Flex Config-beleid. Er is een plan om het te verplaatsen en generiek te maken.

V: Welke interface op de FTD wordt gebruikt om de DNS raadpleging uit te voeren?

A: Het is configureerbaar. Wanneer geen interfaces zijn geconfigureerd, zijn alle genoemde interfaces op FTD ingeschakeld voor de DNS-raadpleging.

V: Voert elke beheerde NGFW zijn eigen DNS-resolutie en FQDN IP-vertaling afzonderlijk uit, zelfs wanneer hetzelfde toegangsbeleid op alle servers met hetzelfde FQDN-object wordt toegepast?

A: Ja.

V: Kan het DNS cache worden gewist voor FQDN ACL’s om problemen op te lossen?

A: Ja, je kunt de heldere dns en heldere dns-gastheren cache opdrachten op het apparaat uitvoeren.

V: Wanneer wordt precies de FQDN-resolutie geactiveerd?

A: FQDN-oplossing wordt toegepast wanneer het FQDN-object wordt ingezet in een AC-beleid.

V: Is het mogelijk om de cache alleen op één locatie te verwijderen?

A: Ja. Als u de domeinnaam of IP-adres kent, kunt u deze wissen, maar er is geen opdracht als zodanig per ACL-perspectief. Bijvoorbeeld, het heldere dns host agni.tejas.com bevel is aanwezig

(17)

om het cache op host basis met de trefwoordenhost als in dns host agni.tejas.com te wissen.

V: Is het mogelijk om wildcards te gebruiken, zoals *.microsoft.com?

A: Nee. FQDN moet beginnen en eindigen met een cijfer of letter. Alleen letters, cijfers en koppeltekens zijn toegestaan als interne tekens.

V: Wordt de naamresolutie uitgevoerd op het tijdstip van samenstelling van de AC en niet op het tijdstip van de eerste of volgende verzoeken? Als we op een lage TTL (minder dan AC

compilatietijd, fast-flux of iets anders) klikken, kunnen sommige IP-adressen worden gemist?

A: De naamresolutie gebeurt zodra het AC-beleid is ingevoerd. Na het verstrijken van de TTL-tijd volgt de vernieuwing op.

V: Zijn er plannen om de XML-lijst (Office 365 cloud IP adressen) van Microsoft te kunnen verwerken?

A: Dit wordt op dit moment niet ondersteund.

V: Is FQDN beschikbaar in SSL Policy?

A: Niet voorlopig (softwareversie 6.3.0). FQDN-objecten worden alleen ondersteund in bron- en doelnetwerk voor alleen AC-beleid.

V: Zijn er historische blogs die informatie kunnen verschaffen over opgeloste FQDN's? Zoals LINA blogs bijvoorbeeld.

A: Om de FQDN aan een bepaalde bestemming problemen op te lossen, kunt u de opdracht van het tracé van de systeemondersteuning gebruiken. De sporen tonen FQDN-id van het pakket. U kunt de ID vergelijken met de probleemoplossing. U kunt ook SLOGberichten 746015, 746016 inschakelen om de resolutie-activiteit van FQDN te volgen.

V: Logt het apparaat FQDN in connectie tabel met opgeloste IP?

A: Om de FQDN aan een bepaalde bestemming problemen op te lossen, kunt u de opdracht van het spoor van de systeemondersteuning gebruiken, waar de sporen FQDN ID van het pakket tonen. U kunt de ID vergelijken met de probleemoplossing. Er zijn plannen om in de toekomst FQDN-logs in de evenementenviewer op FMC te laten loggen.