¿FQDN en mapas criptográficos y servidores AAA posibles con resolución dinámica de DNS? Cisco ASA

8

¿Puedo usar los FQDN en los mapas criptográficos cuando establezco un par (donde normalmente usaría una IP), y puedo usar los FQDN al definir un servidor LDAP o cualquier otro servidor AAA en un grupo de servidores? En ambos casos, los FQDN tendrían que resolverse mediante llamadas a un servidor DNS externo (objetos FQDN).

Si la respuesta es sí, proporcione un ejemplo rápido de cómo hacerlo. Ya sé cómo usar FQDN en ACL, configurar DNS externo y validar que ASA los resuelva correctamente.

cisco cisco-asa firewall aaa Alabama
fuente
AL, ¿se pregunta si es posible que el ASA resuelva el FQDN de vez en cuando (como lo hacen para las ACL dinámicas)? Sería útil si proporcionara un ejemplo concreto de dónde se define el FQDN y las circunstancias que desea que verifique el ASA.
Mike Pennington
Hola Mike, sí, eso es exactamente de lo que estoy hablando. En estos casos, tenemos una URL dada por el proveedor, que debemos usar en una configuración de servidor AAA y también para una IP igual en un mapa criptográfico para un túnel L2L IPsec. No estoy seguro de cuánto más poner en la pregunta para comunicarlo.
AL
Ok, si puede ser específico sobre el TTL en el registro DNS, sería útil. Verifique el TTL con nslookup(Windows) o dig(Linux / Windows)
Mike Pennington
El registro particular que necesito resolver tiene un TTL de 58 segundos, por lo que tendríamos que resolver los nombres utilizados en estos casos cada 58 segundos o menos idealmente.
AL

Respuestas:

4

Sí, de acuerdo con la documentación de Cisco (v8.4) , puede usar un nombre de host en la mayoría de los lugares donde usa una dirección IP.

Aquí hay un ejemplo sacado de la documentación:

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP
Ron Trunk
fuente
Debería haber revisado la pregunta. FQDN que se resuelve dinámicamente a través de DNS externo. Puedo mapear cosas estáticamente sin problemas, me refería a objetos FQDN. ¿Alguna idea allí?
AL
@AL En realidad no lo he probado, pero según los documentos, a ASA no le importa en qué interfaz está el servidor DNS. Ver goo.gl/3zr9cB
Ron Trunk
Hola Ron, sí, actualmente uso DNS externo en algunas entradas de ACL, por lo que configurar el DNS externo no es el problema. El problema es que cuando usa FQDN tiene que hacer un objeto de red que los contenga, y no estoy seguro de si ese tipo de objeto de red se puede usar en mapas criptográficos o en configuraciones de servidor aaa.
AL
@AL Como dije, no tengo un ASA de repuesto para probar. Probablemente sería más rápido probarlo.
Ron Trunk
Finalmente pude hacer una prueba y puedo confirmar tu sugerencia. siempre que la interfaz que establezca en el servidor aaa tenga un INTNAME de búsqueda de DNS coincidente y un servidor de nombres en la misma interfaz que pueda resolver su nombre de host, es bueno. Funcionó para mapas criptográficos también. Buenas cosas, gracias por la ayuda!
AL