暗号マップのFQDNと動的DNS解決で可能なAAAサーバー？Cisco ASA

ピアを設定するときに（通常はIPを使用します）暗号マップでFQDNを使用できますか。また、サーバーグループでLDAPサーバーまたはその他のAAAサーバーを定義するときにFQDNを使用できますか？どちらの場合も、FQDNは外部DNSサーバー（FQDNオブジェクト）への呼び出しによって解決する必要があります。

答えが「はい」の場合、その方法の簡単な例を提供してください。ACLでFQDNを使用し、外部DNSを設定し、ASAがそれらを適切に解決していることを確認する方法をすでに知っています。

— AL
ソース

AL、ASA が（動的ACLの場合と同様に）頻繁にFQDNを再解決できるかどうかを質問していますか？FQDNが定義されている場所の具体的な例と、ASAに確認させたい状況を提示すると役立ちます。

— マイクペニントン

マイクねえ、それはまさに私が話していることです。これらの場合-AAAサーバー構成で、またL2L IPsecトンネルの暗号マップ内のピアIPでも使用する必要があるURLをベンダーが指定しています。それを理解するために、質問にどれだけ追加すればよいかわからない。

— AL

OK、DNSレコードのTTLについて具体的に説明できれば、役に立ちます。nslookup（Windows）またはdig（Linux / Windows）でTTLを確認する

— Mike Pennington

私が解決する必要がある特定のレコードのTTLは58秒であるため、これらのケースで使用される名前を58秒ごとに解決するか、理想的には解決する必要があります。

— AL

はい、シスコのドキュメント（v8.4）によると、 IPアドレスを使用するほとんどの場所でホスト名を使用できます。

ドキュメントから抜粋した例を次に示します。

ne-asa(config)#aaa-server LDAP_SRV_GRP (inside) host myserver.networkegineering.stackexchage.com
ne-asa(config-aaa-server-host)#ldap-attribute-map ne-MAP

— ロントランク
ソース

質問を修正すべきだった。外部DNSを介して動的に解決されるFQDN。問題なく静的にマッピングできます。FQDNオブジェクトを参照していました。何か考えはありますか？

— AL

@AL実際には試していませんが、ドキュメントによれば、ASAはDNSサーバーがどのインターフェイス上にあるかを気にしていません。goo.gl/3zr9cBを

— ロントランク

Hey Ron、ええ、私は現在いくつかのACLエントリで外部DNSを使用しているので、外部DNSの構成は問題になりません。問題は、FQDNを使用する場合、それらを含むネットワークオブジェクトを作成する必要があることです。そのネットワークオブジェクトタイプを暗号マップまたはaaa-server構成で使用できるかどうかはわかりません。

— AL

@AL言ったように、テストするための予備のASAはありません。試してみるだけならおそらく最速でしょう。

— Ron Trunk

ようやくテストを始めることができ、あなたの提案を確認することができます！aaa-serverに設定したインターフェースが、一致するdns-lookup INTNAMEと、あなたのホスト名を解決できる同じインターフェース上のネームサーバーを持っている限り。クリプトマップでも機能しました。良いもの、助けてくれてありがとう！

— AL