FQDNオブジェクトを使用する場合のASAでのDNSの動作について

ダウンロード オプション

  • PDF     (800.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (600.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (709.1 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 3 月 22 日
Document ID:216553

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、FDQNオブジェクトを使用する場合のCisco適応型セキュリティアプライアンス(ASA)でのドメインネームシステム(DNS)の動作について説明します。

    前提条件

    要件

    Cisco ASAに関する知識があることが推奨されます。

    使用するコンポーネント

    シミュレートされた実稼働環境のASAで複数のFQDNが設定されている場合のDNSの動作を明らかにするために、1つのインターフェイスがインターネットに面し、1つのインターフェイスがESXiサーバでホストされるPCデバイスに接続されたASAvをセットアップしました。このシミュレーションでは、ASAv中間コード9.8.4(10)が使用されました。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    ネットワーク図

    トポロジの設定を次に示します。

    Network Diagram

    背景説明

    ASAで複数の完全修飾ドメイン名(FQDN)オブジェクトが設定されている場合、FQDNオブジェクトで定義されているいずれかのURLにアクセスしようとするエンドユーザは、ASAによって送信された複数のDNSクエリを確認します。このドキュメントの目的は、このような動作が観察される理由について、より詳細に理解することです。

    設定

    クライアントPCは、DNS解決のためにこれらのIP、サブネットマスク、およびネームサーバで設定されました。 

    Client PC Configured with these IP

    ASAでは、2つのインターフェイスが設定されています。1つはPCが接続されたセキュリティレベル100の内部インターフェイス、もう1つはインターネットに接続できる外部インターフェイスです。

    Two Interfaces Configured

    Gig0/1インターフェイスはインターフェイスIPが10.197.223.9の外部インターフェイスで、Gig0/3インターフェイスはインターフェイスIPが10.10.10.1の内部インターフェイスで、もう一方の端のPCに接続されています。

    Outside and Inside Interfaces

    次に示すように、ASAでDNS設定を行います。

    Configure the DNS Setup in the ASA

    www.facebook.comwww.google.comwww.instagram.com、およびwww.twitter.comに対して4つのFQDNオブジェクトを設定します。

    Configure 4FQDN Objects

    DNSトラフィックをキャプチャするために、ASAのOutsideインターフェイスでキャプチャを設定します。次に、クライアントPCで、ブラウザからwww.google.comへのアクセスを試みます。

    何を観察しますか。パケットキャプチャを見てください。 

    Packet Capture

     ここでは、www.google.comのみを解決しようとしたにもかかわらず、すべてのFQDNオブジェクトに対して送信されるDNSクエリがあることがわかります。

    次に、ASA上のIPに対するDNSキャッシングの仕組みを見て、これが発生する理由を理解します。

    • クライアントPCのWebブラウザにwww.google.comと入力すると、PCからDNSクエリが送信され、IPアドレスに解決されたURLが取得されます。
    • DNSサーバはPCの要求を解決し、google.comが指定された場所にあることを示すIPを返します。
    • 次に、PCはgoogle.comの解決済みIPアドレスへのTCP接続を開始します。ただし、パケットがASAに到達すると、指定されたIPが許可または拒否されることを示すACLルールは存在しません。
    • ただし、ASAは4つのFQDNオブジェクトを持ち、FQDNオブジェクトのいずれかが該当するIPに解決される可能性があることを認識しています。
    • したがって、ASAはすべてのFQDNオブジェクトに対してDNSクエリを送信します。これは、関係するIPに解決できるFQDNオブジェクトがASAで認識されないためです(これが複数のDNSクエリが観察される理由です)。
    • DNSサーバは、FQDNオブジェクトを対応するIPアドレスで解決します。FQDNオブジェクトは、クライアントが解決したのと同じパブリックIPアドレスに解決できます。そうしないと、ASAはクライアントが到達しようとしているIPアドレスとは異なるIPアドレスのダイナミックアクセスリストエントリを作成するため、ASAはパケットを廃棄してしまいます。たとえば、ユーザがgoogle.comを203.0.113.1に解決し、ASAが203.0.113.2に解決した場合、ASAは203.0.113.2の新しいダイナミックアクセスリストエントリを作成するため、ユーザはWebサイトにアクセスできません。

    • 次に要求が到着したとき、その要求は特定のIPの解決を要求します。その特定のIPがASAに保存されている場合、ダイナミックACLエントリが存在することになるため、その要求はすべてのFQDNオブジェクトに対してクエリを再実行しません。
    • クライアントがASAによって送信される大量のDNSクエリについて懸念している場合は、DNSタイマーの有効期限を長くします。ただし、エンドホストがDNSキャッシュにある宛先IPアドレスにアクセスを試みる場合に限ります。PCがASA DNSキャッシュに保存されていないIPを要求すると、すべてのFQDNオブジェクトを解決するためにDNSクエリが送信されます。
    • この問題を回避するには、DNSクエリの数を引き続き削減する場合は、FQDNオブジェクトの数を減らすか、FQDNを解決するパブリックIPの全範囲を定義します。ただし、最初はFQDNオブジェクトの目的が達成されません。シスコのFirepower脅威対策(FTD)は、このユースケースを処理するためのより優れたソリューションです。

    確認

    各FQDNオブジェクトが解決されるASAのDNSキャッシュにどのIPが存在するかを確認するには、コマンドASA# sh dnsを使用できます。

    Verify IPs

    関連情報

    シスコテクニカルサポートおよびダウンロード

    更新履歴

    改定 発行日 コメント
    2.0
    22-Mar-2023
    代替テキストが追加されました。 タイトル、概要、SEO、機械翻訳、用語とフォーマットを更新。
    1.0
    05-Jan-2021
    初版

    提供

    • アディタチェラム
      シスコプロフェッショナルサービス

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています