Begrijp de functie FQDN op Firepower Threat Defense (door FMC beheerde)
Inhoud
Inleiding Voorwaarden Vereisten
Gebruikte componenten Achtergrondinformatie Overzicht van functies Hoe zit het met pre-6.3?
Configureren Netwerkdiagram
Architectuur - alientpoints Configuratiestappen Verifiëren
Problemen oplossen
Optie-bestanden voor FMC verzamelen
Gemeenschappelijke problemen/foutmeldingen implementatiefout
Aanbevolen stappen voor probleemoplossing Geen geactiveerd FQDN
Vraag en antwoord
Inleiding
Dit document beschrijft hoe de FQDN-functie (Full Qualified Domain Name, FQDN), die door softwareversie 6.3.0 aan Firepower Management Center (FMC) en Firepower Threat Defense (FTD) is geïntroduceerd, te configureren. Deze optie is aanwezig in de Cisco adaptieve security applicatie (ASA), maar was niet beschikbaar in de eerste softwarereleases van FTD.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
FireSIGHT Management Center
●
Gebruikte componenten
De informatie in dit document is gebaseerd op deze softwareversies:
Cisco Firepower Threat Defense (FTD) Virtual Edition voor softwareversie 6.3.0
●
Firepower Management Center Virtual (vFMC) die softwareversie 6.3.0 uitvoert
●
De informatie in dit document is gebaseerd op de apparaten in een specifieke
laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Achtergrondinformatie
Zorg ervoor dat aan deze voorwaarden is voldaan voordat u FQDN-objecten configureren:
FireSIGHT Management Center moet versie 6.3.0 of hoger uitvoeren. Het kan fysiek of virtueel zijn
●
De Firepower Threat Defense moet versie 6.3.0 of hoger uitvoeren. Het kan fysiek of virtueel zijn
●
Overzicht van functies
Deze optie lost een FQDN op in een IP-adres en gebruikt deze om verkeer te filteren wanneer verwezen wordt door een toegangscontroleregel of prefilterbeleid.
Hoe zit het met pre-6.3?
FMC en FTD die een versie eerder dan 6.3.0 uitvoeren, kunnen geen FQDN-objecten configureren.
●
Indien het FMC versie 6.3 of hoger uitvoert maar het FTD een versie eerder dan 6.3 runt, toont de invoering van een beleid deze fout:
●
Als u bovendien via FlexConfig een DNS-object vormt, wordt deze waarschuwing weergegeven:
●
Configureren
Netwerkdiagram
Architectuur - alientpoints
DNS-resolutie (DNS-naar-IP) wordt in LINA uitgevoerd
●
LINA slaat de mapping in haar database op
●
Op een per-verbinding basis, wordt deze mapping van LINA naar snort
●
De resolutie van FQDN gebeurt onafhankelijk van hoge beschikbaarheid of clusterconfiguratie
●
Configuratiestappen
Stap 1: Het configureren van het "DNS-servergroepsobject"
De naam van de DNS-servergroep mag niet meer dan 63 tekens bevatten
●
In een multidomein plaatsing, moeten de objectnamen uniek zijn binnen de domein hiërarchie.
Het systeem kan een conflict met de naam van een object identificeren dat u niet in het huidige domein kunt bekijken
●
Het Default Domain (optioneel) wordt gebruikt om aan de hostnamen toe te voegen die niet volledig zijn gekwalificeerd
●
De standaard Retries en timeout waarden zijn vooraf ingevuld. Retries: het aantal keren, van 0 tot 10, om de lijst met DNS-servers opnieuw in te proberen wanneer het systeem geen respons ontvangt. De standaardinstelling is 2.Time-out-het aantal seconden, van 1 tot 30, voordat een andere poging doet naar de volgende DNS-server. De standaardinstelling is 2 seconden. Telkens wanneer het systeem de lijst met servers opnieuw probeert, verdubbelt deze tijd.
●
Voer de DNS-servers in om deel uit te maken van deze groep. Dit kan een IPv4- of IPv6- indeling zijn als komma-gescheiden waarden
●
De DNS-servergroep wordt gebruikt voor een oplossing met het interfaceobject of de objecten die in de Platform-instellingen zijn geconfigureerd
●
REST API voor boekingen met DNS-servergroep: CRUD wordt ondersteund
●
Stap 2. DNS (platform instellingen) configureren
(Optioneel) Wijzig de waarden voor timer en poll Timer in minuten:
●
De optie op de timer bij het invullen van de einddatum specificeert de tijdlimiet om het IP-adres van een opgeloste FQDN te verwijderen uit de DNS lookup-tabel nadat de TTL-verbinding (Time- to-live) was verlopen. Verwijder een ingang om de tabel opnieuw samen te stellen, zodat de regelmatige verwijderaars de proceslading op het apparaat kunnen verhogen. Deze instelling breidt de TTL vrijwel uit.
De optie van de stemtimer specificeert de tijdlimiet waarna het apparaat de DNS server om de FQDN op te lossen vraagt die in een groep van netwerkobjecten werd gedefinieerd. Een FQDN wordt periodiek opgelost wanneer de poll-timer is verlopen, of wanneer de TTL van de opgeloste IP-ingang is verlopen, welke eerst plaatsvindt.
(Optioneel) Selecteer de gewenste interfaceobjecten in de beschikbare lijst en voeg deze toe aan de lijst met geselecteerde interfaceobjecten en controleer of de DNS-server bereikbaar is via de geselecteerde interface(s):
●
Voor FirePOWER Threat Defense 6.3.0-apparaten, als er geen interfaces geselecteerd zijn en de diagnostische interface uitgeschakeld is voor DNS-raadpleging, gebeurt de DNS-resolutie via een interface die de diagnostische interface bevat (de opdracht dnsdomain-lookup is van toepassing).
Als u geen interfaces specificeert — en DNS raadpleging op de diagnostische interface niet toelaat, gebruikt de FTD de Tabel van het Gegevens Routing om de interface te bepalen. Als er geen match is, gebruikt het de Management Routing Tabel.
(Optioneel) Selecteer DNS-verwijdering inschakelen via het selectiekader voor de diagnostische interface
●
Indien ingeschakeld, gebruikt Firepower Threat Defense zowel de geselecteerde
gegevensinterfaces als de diagnostische interface voor DNS-resoluties. Vergeet niet een IP-adres te configureren voor de diagnostische interface op het apparaat > Apparaatbeheer > Apparatuur >
Interfaces pagina.
Stap 3. Configureer de FQD van het object Network
Navigeer aan Voorwerpen > Objectbeheer, binnen een netwerkobject specificeer de FQDN optie.
Een unieke ID met 32 bits wordt gegenereerd wanneer de gebruiker een FQDN-object maakt
●
Deze ID wordt vanuit FMC naar zowel LINA als Snort geduwd
●
In LINA is deze ID gekoppeld aan het object
●
Dit ID wordt in het kort gekoppeld aan de toegangscontroleregel die dat object bevat
●
Stap 4. Maak een toegangscontroleregel
Maak een regel met het vorige FQDN-object en stel het beleid in:
Opmerking: Het eerste geval van de FQDN-resolutie treedt op wanneer het FQDN-object wordt ingezet in een toegangscontrolebeleid
Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
Dit is de FTD eerste configuratie voordat FQDN wordt ingezet:
●
aleescob# show run dns DNS server-group DefaultDNS
Dit is de configuratie na plaatsing van FQDN:
●
aleescob# show run dns dns domain-lookup wan_1557 DNS server-group DNS_Test retries 3
timeout 5
name-server 173.38.200.100 domain-name aleescob.cisco.com DNS server-group DefaultDNS
dns-group DNS_Test
Dit is hoe het FQDN-object er in LINA uitziet:
●
object network obj-talosintelligence.com fqdn talosintelligence.com id 268434436
Wanneer het reeds wordt ingezet, is dit hoe de toegangslijst van FQDN in LINA kijkt:
●
access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory access-list CSM_FW_ACL_ remark rule-id 268434437: L4 RULE: FQDN-ACL
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start
Zo ziet het er in Snort uit (ngfw.rules):
●
# Start of AC rule.
268434437 deny 1 any any 2 any any any any (log dcforward flowstart) (dstfqdn 268434436)
# End rule 268434437
Opmerking: In dit scenario, aangezien het FQDN-object voor de bestemming werd gebruikt, wordt het als dstfqdn opgenomen.
Als u show dns controleert en fqdn opdrachten toont, kunt u opmerken dat de functie is begonnen om IP op te lossen voor tallosIntelligence.com:
●
aleescob# show dns
Name: talosintelligence.com
Address: 2606:4700::6810:1b36 TTL 00:05:43 Address: 2606:4700::6810:1c36 TTL 00:05:43 Address: 2606:4700::6810:1d36 TTL 00:05:43 Address: 2606:4700::6810:1a36 TTL 00:05:43 Address: 2606:4700::6810:1936 TTL 00:05:43 Address: 104.16.27.54 TTL 00:05:43 Address: 104.16.29.54 TTL 00:05:43 Address: 104.16.28.54 TTL 00:05:43 Address: 104.16.26.54 TTL 00:05:43 Address: 104.16.25.54 TTL 00:05:43
aleescob# show fqdn FQDN IP Table:
ip = 2606:4700::6810:1b36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 2606:4700::6810:1c36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 2606:4700::6810:1d36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 2606:4700::6810:1a36, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 2606:4700::6810:1936, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 104.16.27.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 104.16.29.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 104.16.28.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 104.16.26.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
ip = 104.16.25.54, object = obj-talosintelligence.com, domain = talosintelligence.com FQDN-ID = 268434436
FQDN ID Detail:
FQDN-ID = 268434436, object = obj-talosintelligence.com, domain = talosintelligence.com ip = 2606:4700::6810:1b36, 2606:4700::6810:1c36, 2606:4700::6810:1d36,
2606:4700::6810:1a36, 2606:4700::6810:1936, 104.16.27.54, 104.16.29.54, 104.16.28.54, 104.16.26.54, 104.16.25.54
Als u de toegangslijst in LINA controleert, kunt u de uitgebreide items voor elke resolutie opmerken en tellen op de hoogte stellen:
●
firepower# show access-list
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8 access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1b36
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.28.54
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.26.54
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.25.54
(talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
Zoals in de afbeelding wordt getoond, mislukt een ping aan talosintelligence.com omdat er een match voor FQDN is in de toegangslijst. De DNS-resolutie heeft gewerkt omdat het ICMP-pakket door de FTD geblokkeerd is.
●
Hit telt vanaf LINA voor de eerder verzonden ICMP-pakketten:
●
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj- talosintelligence.com rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 fqdn talosintelligence.com (resolved) rule-id 268434437 event-log flow-start 0x1b869cf8 access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host
2606:4700::6810:1b36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host
2606:4700::6810:1c36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host
2606:4700::6810:1d36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host
2606:4700::6810:1a36 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host
2606:4700::6810:1936 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.27.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=4) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.29.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.28.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.26.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
access-list CSM_FW_ACL_ line 10 advanced deny ip ifc lan_v1556 any ifc wan_1557 host 104.16.25.54 (talosintelligence.com) rule-id 268434437 event-log flow-start (hitcnt=0) 0x51d8505f
ICMP-verzoeken worden opgenomen en weergegeven in de ingangsinterface:
●
aleescob# show cap in 13 packets captured
1: 18:03:41.558915 192.15.56.132 > 173.38.200.100 icmp: 192.15.56.132 udp port 59396 unreachable
2: 18:04:12.322126 192.15.56.132 > 72.163.4.161 icmp: echo request 3: 18:04:12.479162 72.163.4.161 > 192.15.56.132 icmp: echo reply 4: 18:04:13.309966 192.15.56.132 > 72.163.4.161 icmp: echo request 5: 18:04:13.462149 72.163.4.161 > 192.15.56.132 icmp: echo reply 6: 18:04:14.308425 192.15.56.132 > 72.163.4.161 icmp: echo request 7: 18:04:14.475424 72.163.4.161 > 192.15.56.132 icmp: echo reply 8: 18:04:15.306823 192.15.56.132 > 72.163.4.161 icmp: echo request 9: 18:04:15.463339 72.163.4.161 > 192.15.56.132 icmp: echo reply 10: 18:04:25.713662 192.15.56.132 > 104.16.27.54 icmp: echo request 11: 18:04:30.704232 192.15.56.132 > 104.16.27.54 icmp: echo request 12: 18:04:35.711480 192.15.56.132 > 104.16.27.54 icmp: echo request 13: 18:04:40.707528 192.15.56.132 > 104.16.27.54 icmp: echo request
aleescob# sho cap asp | in 104.16.27.54
162: 18:04:25.713799 192.15.56.132 > 104.16.27.54 icmp: echo request 165: 18:04:30.704355 192.15.56.132 > 104.16.27.54 icmp: echo request 168: 18:04:35.711556 192.15.56.132 > 104.16.27.54 icmp: echo request 176: 18:04:40.707589 192.15.56.132 > 104.16.27.54 icmp: echo request
Zo ziet de overtrek er uit naar een van deze ICMP-pakketten:
●
aleescob# sho cap in packet-number 10 trace 13 packets captured
10: 18:04:25.713662 192.15.56.132 > 104.16.27.54 icmp: echo request Phase: 1
Type: CAPTURE Subtype:
Result: ALLOW Config:
Additional Information:
MAC Access list
Phase: 2
Type: ACCESS-LIST Subtype:
Result: ALLOW Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 3
Type: ROUTE-LOOKUP
Subtype: Resolve Egress Interface Result: ALLOW
Config:
Additional Information:
found next-hop 192.15.57.254 using egress ifc wan_1557
Phase: 4
Type: ACCESS-LIST Subtype: log Result: DROP Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced deny ip ifc lan_v1556 any ifc wan_1557 object obj-
talosintelligence.com rule-id 268434437 event-log flow-start access-list CSM_FW_ACL_ remark rule-id 268434437: ACCESS POLICY: Aleescob_ACP - Mandatory access-list CSM_FW_ACL_ remark rule- id 268434437: L4 RULE: FQDN-ACL
Additional Information:
Result: input-interface: lan_v1556 input-status: up input-line-status: up output-interface:
wan_1557 output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule
Als de actie voor de toegangscontroleregel wordt toegestaan, is dit een voorbeeld van de uitvoer van systeemondersteuning firewall-engine-debug
●
> system support firewall-engine-debug
Please specify an IP protocol: icmp
Please specify a client IP address: 192.15.56.132 Please specify a server IP address:
Monitoring firewall engine debug messages
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 new firewall session
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 DAQ returned DST FQDN ID: 268434436
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Starting with minimum 2, 'FQDN-ACL', and SrcZone first with zones 1 -> 2, geo 0 -> 0, vlan 0, inline sgt tag: untagged, ISE sgt id: 0, svc 3501, payload 0, client 2000003501, misc 0, user 9999997, icmpType 8, icmpCode 0
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 Match found for FQDN id: 268434436
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 match rule order 2, 'FQDN-ACL', action Allow 192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 MidRecovery data sent for rule id:
268434437,rule_action:2, rev id:2096384604, rule_match flag:0x0 192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 allow action
192.15.56.132-8 > 104.16.29.54-0 1 AS 1 I 0 deleting firewall session
Wanneer de FQDN wordt ingezet als deel van een prefilter (Fastpath), is dit hoe het er in ngfw.rules uitziet:
●
iab_mode Off
# Start of tunnel and priority rules.
# These rules are evaluated by LINA. Only tunnel tags are used from the matched rule id.
268434439 fastpath any any any any any any any any (log dcforward both) (tunnel -1) 268434438 allow any any 1025-65535 any any 3544 any 17 (tunnel -1)
268434438 allow any any 3544 any any 1025-65535 any 17 (tunnel -1) 268434438 allow any any any any any any any 47 (tunnel -1)
268434438 allow any any any any any any any 41 (tunnel -1) 268434438 allow any any any any any any any 4 (tunnel -1)
# End of tunnel and priority rules.
Vanuit LINA oogpunt met een getraceerd pakje:
●
Phase: 4
Type: ACCESS-LIST
Subtype: log Result: ALLOW Config:
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ advanced trust ip any object obj-talosintelligence.com rule-id 268434439 event-log both access-list CSM_FW_ACL_ remark rule-id 268434439: PREFILTER POLICY: Prefilter-1 access-list CSM_FW_ACL_ remark rule-id 268434439: RULE: FQDN_Prefilter
Additional Information:
Problemen oplossen
Configuratie van FMC 1.
Controleer het beleid en de DNS-serverinstellingen
●
Controleer of de implementatie succesvol is
●
Controle implementeren op FTD 2.
Start show dns en toon access-list om te zien of FQDN wordt opgelost en AC-regels worden uitgebreid
●
Start show run object network en noteer de ID gekoppeld aan het object (bijvoorbeeld X voor bron)
●
Start show fqdn X om te controleren of FQDN correct is opgelost in de bron-IP
●
Controleer of het bestand ngfw.regels AC-regel heeft met FQDN-id X als bron
●
Systeemondersteuning uitvoeren, firewall-engine-debug en het oordeel van de Snort controleren
●
Optie-bestanden voor FMC verzamelen
Alle benodigde bestanden zijn verzameld bij een probleemoplossing van het FMC. Om alle belangrijke logbestanden van het FMC te verzamelen, voert u een probleemoplossing uit van de FMC GUI. Anders vanuit een FMC Linux-prompt, voer sf_probleemoplossing.pl uit. Als u een probleem hebt gevonden, stuurt u een FMC-probleemoplossing met uw rapport naar het Cisco Technical Assistance Center (TAC).
FMC-kaarten
Logbestandsnaam/locatie doel
/opt/CSCOpx/MDC/log/operation/vmsshareddsvcs.log Alle API-oproepen
/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.
log
Alle API-oproepen
/opt/CSCOpx/MDC/log/operation/vmsbesvcs.log Vastlegging CLI-generatie
/opt/CSCOpx/MDC/tomcat/logs/stdout.log Tomcat Logs
/var/log/mojo.log Mojo Logs
/var/log/CSMAgent.log REST-oproepen tussen CSM en DC
Handboek van de DC in de Action Queue
/var/log/action_queue.log
Gemeenschappelijke problemen/foutmeldingen
Dit zijn de fouten/waarschuwingen in UI voor FQDN en DNS servergroepsobject en DNS- instellingen:
Fout/waarschuwing Scenario Beschrijving
De naam bevat ongeldige tekens. De naam dient te beginnen met alfabet of underscore en te volgen met alfanumerieke of speciale tekens (-,_,+.)
Gebruiker
vormt verkeerde naam
Gebruiker is op de hoogte van de toegestane
tekens en max bereik.
Ongeldige waarde voor standaarddomein
Gebruiker stelt verkeerde domeinnaam in
De gebruiker wordt op de hoogte gesteld van de toegestane tekens en het maximale bereik.
Er is geen interfaceobject geselecteerd voor de DNS in platform instelling
‘mzafeiro_platform_Settings’.
Indien voortgezet, zal de DNS- domeinraadpleging op alle interfaces plaatsvinden
Gebruiker selecteert geen interface voor
domeinraadpleging Voor een post-6.3-toestel
Gebruiker is gewaarschuwd dat het DNS
servergroep CLI wordt toegepast
op alle interfaces.
Er is geen interfaceobject geselecteerd voor de DNS in platform instelling
‘mzafeiro_platform_Settings’.
Indien voortgezet, zal geen DNS-servergroep met "DNS"
worden toegepast
Gebruiker selecteert geen interface voor
domeinraadpleging Voor een 6.2.3-inrichting
Gebruiker is gewaarschuwd dat de DNS
servergroep CLI zal niet worden gegenereerd.
implementatiefout
Wanneer een FQDN in ander beleid dan AC Policy/Prefilter beleid wordt gebruikt, kan deze fout voorkomen en in het FMC UI worden getoond:
Aanbevolen stappen voor probleemoplossing
1) Open logbestand: /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
2) Controleer op validatiebericht vergelijkbaar met:
"Ongeldig(e) netwerk(s) ingesteld. Netwerken [NetworksBevatFQDN] geconfigureerd op het apparaat(en)[Apparaatnamen] verwijzen naar FQDN"
3) Aanbevolen actie:
Controleer of een of meer van de onderstaande beleidslijnen al zijn geconfigureerd met een FQDN of een groep die een FQDN-object(en) bevat en probeer de implementatie van hetzelfde beleid opnieuw nadat die objecten(en) zijn verwijderd.
a) identiteitsbeleid
b) Variabele reeksen die een FQDN bevatten dat op AC-beleid wordt toegepast
Geen geactiveerd FQDN
Het systeem kan het volgende aantonen via de FTD CLI:
> show dns
INFO: no activated FQDN
De DNS wordt niet geactiveerd totdat een object met een gedefinieerd fqdn wordt toegepast.
Nadat een object is toegepast, wordt dit opgelost.
Vraag en antwoord
V: Is Packet-tracer met FQDN een geldige test voor het oplossen van problemen?
A: Ja, u kunt de fqdn optie gebruiken met pakkettracer.
V: Hoe vaak werkt de FQDN-regel het IP-adres van de server bij?
A: Het is afhankelijk van de TTL-waarde van de DNS-respons. Zodra de TTL-waarde is verlopen, wordt FQDN opnieuw opgelost met een nieuwe DNS-query.
Dit is ook afhankelijk van de Polen Timer-eigenschap die in de DNS-serverconfiguratie is
gedefinieerd. De FQDN-regel wordt periodiek opgelost wanneer de Poll-DNS-timer is verlopen of wanneer de TTL van de opgeloste IP-ingang is verlopen, welke eerst komt.
V: Werkt dit voor ronde-robin DNS?
A: Ronde-DNS-werk naadloos aangezien deze functie op de FMC/FTD werkt met het gebruik van een DNS-client en de DNS-configuratie rond de lijn op de DNS-server staat.
V: Is er een beperking voor de lage TTL DNS-waarden?
A: Als een DNS-respons met 0 TTL komt, voegt het FTD-apparaat er 60 seconden aan toe. In dit geval is de TTL-waarde minimaal 60 seconden.
V: Zo behoudt de FTD standaard de standaardwaarde van 60 seconden?
A: De gebruiker kan de TTL altijd omzeilen met de instelling Vernieuwde timer op DNS-server.
V: Hoe het interopereert met een DNS-respons? Bijvoorbeeld, kunnen DNS servers verschillende IP adressen verstrekken die op geolocatie gebaseerd zijn aan verzoeker. Is het mogelijk om alle IP adressen voor een FQDN te vragen? Zoals het graafbevel op Unix?
A: Ja, als FQDN meerdere IP-adressen kan oplossen, wordt alle naar het apparaat geduwd en de AC-regel uitgebreid dienovereenkomstig.
V: Zijn er plannen om een voorproefoptie op te nemen die toont de opdrachten worden geduwd vóór een verandering van de functie?
A: Dit maakt deel uit van de optie Preview beschikbaar via Flex configuratie. Voorbeeld is er al, maar is verborgen in Flex Config-beleid. Er is een plan om het te verplaatsen en generiek te maken.
V: Welke interface op de FTD wordt gebruikt om de DNS raadpleging uit te voeren?
A: Het is configureerbaar. Wanneer geen interfaces zijn geconfigureerd, zijn alle genoemde interfaces op FTD ingeschakeld voor de DNS-raadpleging.
V: Voert elke beheerde NGFW zijn eigen DNS-resolutie en FQDN IP-vertaling afzonderlijk uit, zelfs wanneer hetzelfde toegangsbeleid op alle servers met hetzelfde FQDN-object wordt toegepast?
A: Ja.
V: Kan het DNS cache worden gewist voor FQDN ACL’s om problemen op te lossen?
A: Ja, je kunt de heldere dns en heldere dns-gastheren cache opdrachten op het apparaat uitvoeren.
V: Wanneer wordt precies de FQDN-resolutie geactiveerd?
A: FQDN-oplossing wordt toegepast wanneer het FQDN-object wordt ingezet in een AC-beleid.
V: Is het mogelijk om de cache alleen op één locatie te verwijderen?
A: Ja. Als u de domeinnaam of IP-adres kent, kunt u deze wissen, maar er is geen opdracht als zodanig per ACL-perspectief. Bijvoorbeeld, het heldere dns host agni.tejas.com bevel is aanwezig
om het cache op host basis met de trefwoordenhost als in dns host agni.tejas.com te wissen.
V: Is het mogelijk om wildcards te gebruiken, zoals *.microsoft.com?
A: Nee. FQDN moet beginnen en eindigen met een cijfer of letter. Alleen letters, cijfers en koppeltekens zijn toegestaan als interne tekens.
V: Wordt de naamresolutie uitgevoerd op het tijdstip van samenstelling van de AC en niet op het tijdstip van de eerste of volgende verzoeken? Als we op een lage TTL (minder dan AC
compilatietijd, fast-flux of iets anders) klikken, kunnen sommige IP-adressen worden gemist?
A: De naamresolutie gebeurt zodra het AC-beleid is ingevoerd. Na het verstrijken van de TTL-tijd volgt de vernieuwing op.
V: Zijn er plannen om de XML-lijst (Office 365 cloud IP adressen) van Microsoft te kunnen verwerken?
A: Dit wordt op dit moment niet ondersteund.
V: Is FQDN beschikbaar in SSL Policy?
A: Niet voorlopig (softwareversie 6.3.0). FQDN-objecten worden alleen ondersteund in bron- en doelnetwerk voor alleen AC-beleid.
V: Zijn er historische blogs die informatie kunnen verschaffen over opgeloste FQDN's? Zoals LINA blogs bijvoorbeeld.
A: Om de FQDN aan een bepaalde bestemming problemen op te lossen, kunt u de opdracht van het tracé van de systeemondersteuning gebruiken. De sporen tonen FQDN-id van het pakket. U kunt de ID vergelijken met de probleemoplossing. U kunt ook SLOGberichten 746015, 746016 inschakelen om de resolutie-activiteit van FQDN te volgen.
V: Logt het apparaat FQDN in connectie tabel met opgeloste IP?
A: Om de FQDN aan een bepaalde bestemming problemen op te lossen, kunt u de opdracht van het spoor van de systeemondersteuning gebruiken, waar de sporen FQDN ID van het pakket tonen. U kunt de ID vergelijken met de probleemoplossing. Er zijn plannen om in de toekomst FQDN-logs in de evenementenviewer op FMC te laten loggen.