De werking van DNS op ASA begrijpen wanneer FQDN-objecten worden gebruikt

Downloadopties

  • PDF     (721.4 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (606.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (715.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:22 maart 2023
Document-id:216553

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de werking van Domain Name System (DNS) op Cisco adaptieve security applicatie (ASA) wanneer FDQN-objecten worden gebruikt.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van Cisco ASA.

    Gebruikte componenten

    Om de werking van de DNS te verduidelijken wanneer in een gesimuleerde productieomgeving meerdere FQDN’s op de ASA zijn geconfigureerd, is een ASAv ingesteld met één interface met het internet en één interface die is aangesloten op een pc-apparaat dat op de ESXi-server wordt gehost. Voor deze simulatie werd de ASAv interim code 9.8.4(10) gebruikt.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Netwerkdiagram

    De topologieopstelling wordt hier getoond.

    Network Diagram

    Achtergrondinformatie

    Wanneer meerdere FQDN-objecten (Fully Qualified Domain Name) op een ASA zijn geconfigureerd, zou een eindgebruiker die probeert toegang te krijgen tot een van de URL’s die in de FQDN-objecten zijn gedefinieerd, meerdere DNS-vragen waarnemen die door de ASA zijn verzonden. Dit document is bedoeld om beter te begrijpen waarom dit soort gedrag wordt waargenomen.

    Configureren

    De client-pc is geconfigureerd met deze IP-, subnetmasker- en naamservers voor DNS-resolutie. 

    Client PC Configured with these IP

    Op de ASA waren twee interfaces geconfigureerd, 1 binneninterface met een beveiligingsniveau van 100 waarmee de PC was verbonden en 1 buiteninterface die verbinding met het internet heeft.

    Two Interfaces Configured

    Hier is de Gig0/1 interface de buiteninterface met een interface IP van 10.197.223.9 en de Gig0/3 interface is de binneninterface met een interface IP van 10.10.10.1 en verbonden met PC op het andere eind.

    Outside and Inside Interfaces

    Configureer de DNS-instelling op de ASA zoals hier wordt getoond:

    Configure the DNS Setup in the ASA

    Configureer 4 FQDN-objecten voor www.facebook.com, www.google.com, www.instagram.com en www.twitter.com.

    Configure 4FQDN Objects

    Stel een opname in op de ASA buiteninterface om DNS-verkeer op te nemen. Probeer vervolgens vanaf de client-pc www.google.com te openen vanuit een browser.

    Wat observeer je? Neem een kijkje bij de pakketopname. 

    Packet Capture

     Hier zien we dat hoewel we alleen www.google.com probeerden op te lossen, er DNS-vragen werden verzonden voor alle FQDN-objecten.

    Kijk nu hoe DNS-caching werkt voor IP's op de ASA om te begrijpen waarom dit gebeurt.

    • Wanneer www.google.com wordt getypt in de webbrowser van de client-pc's, stuurt de pc een DNS-query om de URL opgelost te krijgen naar een IP-adres.
    • De DNS-server lost vervolgens het PC-verzoek op en geeft een IP-adres terug dat aangeeft dat google.com zich op de opgegeven locatie bevindt.
    • De PC initieert vervolgens een TCP verbinding met het opgeloste IP-adres van google.com. Wanneer het pakket echter de ASA bereikt, heeft het geen ACL-regel die aangeeft dat het opgegeven IP is toegestaan of geweigerd.
    • De ASA weet echter dat het 4 FQDN-objecten heeft en dat elk van de FQDN-objecten mogelijk kan worden opgelost aan de betreffende IP.
    • Vandaar stuurt de ASA DNS-vragen voor alle FQDN-objecten omdat het niet weet welk FQDN-object kan worden opgelost voor het betreffende IP. (Daarom zijn er meerdere DNS-vragen waargenomen).
    • De DNS-server lost de FQDN-objecten op met de bijbehorende IP-adressen. Het FQDN-object kan worden opgelost op hetzelfde openbare IP-adres als door de client is opgelost. Anders maakt de ASA een dynamische toegangslijst voor een ander IP-adres dan het adres dat de client probeert te bereiken, waardoor de ASA het pakket laat vallen. Als de gebruiker bijvoorbeeld google.com tot 203.0.113.1 heeft opgelost en de ASA het tot 203.0.113.2 heeft opgelost, creëert de ASA een nieuwe dynamische toegangslijst voor 203.0.113.2 en heeft de gebruiker geen toegang tot de website.

    • De volgende keer wanneer een verzoek aankomt, dat om resolutie van een bepaalde IP verzoekt, als dat bepaalde IP op ASA wordt opgeslagen, vraagt het niet alle FQDN voorwerpen opnieuw aangezien een dynamische ACL ingang nu aanwezig zou zijn.
    • Als een client bezorgd is over het grote aantal DNS-vragen verzonden door ASA, verhoog de DNS-timer verlopen, en opgegeven eindhosts probeert toegang te krijgen tot de IP-adressen van de bestemming die zich in het DNS-cache bevinden. Als de PC vraagt om een IP, niet opgeslagen op de ASA DNS-cache, worden DNS-vragen verzonden om alle FQDN-objecten op te lossen.
    • Een mogelijke oplossing hiervoor, als u nog steeds het aantal DNS-vragen wilt verminderen, zou zijn om het aantal FQDN-objecten te verminderen of om het hele bereik van openbare IP's te definiëren die u zou oplossen van de FQDN-objecten, die echter het doel van een FQDN-object in de eerste plaats verslaat. Cisco Firepower Threat Defence (FTD) is een betere oplossing voor deze use case.

    Verifiëren

    Om te verifiëren welke IP's aanwezig zijn in de ASA DNS cache waaraan elk van de FQDN-objecten wordt opgelost, kan de opdracht ASA# sh dns worden gebruikt.

    Verify IPs

    Gerelateerde informatie

    Cisco technische ondersteuning en downloads

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    22-Mar-2023
    Toegevoegd Alt Text. Bijgewerkte Titel, Inleiding, SEO, Machinevertaling, Gerunds en Formatteren.
    1.0
    05-Jan-2021
    Eerste vrijgave

    Bijdrage van

    • Aditya Chellam
      Cisco Professional-services

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten