本帖最后由 dreamsilcon 于 2018-9-1 23:30 编辑
1. 问题描述客户问:我有一个客户,他的服务器需要通过我们的SRX远程接入我的应用系统,我需要在SRX上放开这个来源地址的流量,但是可能基于某些考虑,客户只给了我他服务器的FQDN域名,我们的SRX可以直接将FQDN作为策略的地址对象吗? 2. 相关资料https://kb.juniper.net/InfoCenter/index?page=content&id=KB20994&actp=METADATA和 https://kb.juniper.net/InfoCenter/index?page=content&id=KB20118&actp=METADATA对这个问题进行了描述,JUNOS可以用FQDN作为地址对象,具体做法是: 1、设定SRX使用的DNS服务器地址
在JUNOS中使用域名做策略对象的研究
C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image002.jpg 2、在 安全域内写一个普通的地址对象,加参数dns-name指定FQDN域名; file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image004.jpg 3、在安全策略内引用上面的地址对象。 file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image006.jpg 4、验证配置
在JUNOS中使用域名做策略对象的研究
file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image008.jpg 在这里可以看见 www.163.com已经被解析为2个IP地址,如果DNS服务器返回多个地址,应该都会被列在这里。
这一切看起来都是正常的,但是,JUNOS什么时候会去解析这个域名呢?这个域名解析是一次性的,还是匹配策略就会去解析呢?根据上面KB的描述: In the zonesaddress-book, you can use FQDN as an address entry. Later in the securitypolicy, you can use the named address entry in match conditions for source ordestination addresses. Junos will resolve the FQDN to an IP address and use itduring the policy check on traffic. 我的理解是,流量经过的时候,发生策略匹配检查,这个时候就会去解析域名,但这明显不太合理,策略匹配的时候太多了,设备应该处理不过来。又继续查找资料,发现: A new featurewas introduced in Junos 10.2R1 version and above: When the SRXrunning on the above version, receives the DNS response after the query, a TTLfield is associated with this. This field indicates how long after which theentry should be refreshed in the policy cache and with the querying device.Once the TTL value expires, the SRX will auto refresh the DNS entry for theaddress book entry. 意思是,域名解析后会放入一个缓存,在TTL过期之前,他不会再去解析这个域名,如果TTL到期,那就再去解析。 4. 实验验证和结论
在JUNOS中使用域名做策略对象的研究
file:///C:/Users/ADMINI~1/AppData/Local/Temp/msohtmlclip1/01/clip_image010.jpg 根据我操作的时间间隔判定,这个TTL是秒,根据不同的设备类型,TTL最长时间有好几种,具体需要在设备上实测。vSRX12.1上最长是255秒, SRX100真机有900秒左右。这个可能跟软硬件版本有关系,没有查找到相关的具体说明资料。 这个解析动作,不是流量驱动,而是时间驱动的,一旦解析后就会放入缓存,在缓存到期之前,策略将持续使用这个IP地址表。因为时间较短,一般来说只要客户的IP不是几分钟一个变化,就不会对业务流量有影响。
| 
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
