この広告は、90日以上更新していないブログに表示しています。

2015-10-29

ASAのfqdnオブジェクト

other

• object network オブジェクト名内で,fqdn に続いてホスト名を指定する.
  • object-group ではない.
  • *の使用など, ドメイン単位のコントロールはできない.
• 前もって dns domain-lookup ネームサーバのいるインターフェース名 および dns server-group DefaultDNS 内でname-server IP と domain-name によりドメイン名を定義しておく必要がある.
  • dns server-group内でDNSサーバが指定してきたTTLをexpire-entry-timerで上書きできる.
  • 同じくDNSサーバに問い合わせる間隔はpoll-timerで指定できる.分単位.
  • IPに解決ができないときのタイムアウトとリトライ回数はtimeoutとretriesにより指定できる.
• fqdn で指定したホスト名がIPアドレスに解決されるタイミングは, オブジェクトがaccess-listに登場したとき.
  • access-listに登場している object-group でない場合, object-group に network-object object で追加できない.
• どのIPに解決されたかは, show access-list および show dns で確認できる
  • show dns では, TTLの残り時間も表示される.
  • 残り時間はDNSに問い合わせたときに得られたTTLでリセットされる.
• IPに解決できないfqdnを持つオブジェクトがaccess-listにある場合, そのリストはshow access-list では (inactive)として表示される.
  • 複数のIPに解決されるfqdnを持つ場合, その全てのIPアドレスがshow access-list に現れる.