j'ai compris

Limitations et précautions pour les groupes de domaines

publié il y a  2020-8-30 13:04:38 92 0 0 0 0

Limitations et précautions pour les groupes de domaines

Lisez les limitations et précautions avant de configurer les groupes de domaines.

Exigences matérielles

Les groupes de domaines sont pris en charge par tous les modèles.

Conditions de licence

Les groupes de domaines ne sont pas contrôlés par licence.

Limites

  • Les mappages entre les noms de domaine et les adresses IP peuvent être appris de l'une des manières suivantes:

    • Les paquets de requête DNS transitent par le FW .

    • Configurez le serveur DNS sur le FW . Le FW lance de manière proactive les requêtes DNS pour mettre à jour les mappages entre les noms de domaine et les adresses IP.

      Dans les systèmes virtuels, seuls les paquets de requêtes DNS peuvent être utilisés pour apprendre les mappages entre les noms de domaine et les adresses IP via le FW , et le serveur DNS ne peut pas être configuré. Par conséquent, dans les scénarios de système virtuel, le FW ne lance pas de manière proactive les requêtes DNS pour mettre à jour les mappages entre les noms de domaine et les adresses IP.

  • Dans les conditions précédentes, pour utiliser des groupes de domaines comme critères de correspondance, configurez un serveur DNS sur le FW (la configuration du serveur DNS est la même que celle sur le PC), de sorte que le FW et le PC apprennent les mêmes mappages entre les noms de domaine et IP adresses.

    • Si les paquets DNS ne passent pas par le FW , le FW ne peut pas enregistrer les mappages entre les noms de domaine et les adresses IP.

    • Si le FW redémarre, le PC ne relancera pas les requêtes DNS car le PC a déjà des enregistrements DNS. Par conséquent, le FW ne peut pas apprendre les enregistrements DNS.

      Dans les scénarios précédents, le système virtuel ne prend pas en charge la configuration du serveur DNS. Par conséquent, le FW ne lance pas de manière proactive les demandes DNS pour mettre à jour les mappages entre les noms de domaine et les adresses IP dans les systèmes virtuels. Par conséquent, les stratégies référençant des groupes de noms de domaine dans les systèmes virtuels deviennent invalides.

  • Si le TTL (temps de vieillissement du mappage entre un nom de domaine et une adresse IP) est inférieur à 1800 secondes, définissez le TTL sur 1800 secondes. De plus, il est conseillé de configurer le serveur DNS sur le FW pour éviter que la stratégie qui référence le groupe de domaines ne soit invalidée en raison du vieillissement du mappage entre le nom de domaine et l'adresse IP. Un serveur DNS est configuré et ajouté des noms de domaine à un groupe de domaines, le FW demandera de manière proactive les noms de domaine et les adresses IP du serveur DNS et les liera. Lorsque le TTL est inférieur à 7 minutes, le FW envoie de manière proactive une requête toutes les 3 minutes pour mettre à jour l'adresse IP correspondant à un nom de domaine en temps opportun.

  • Les groupes de domaines ne prennent pas en charge IPv6.

  • Un groupe de domaines ne peut résoudre que les paquets de réponse DNS de type A. Par exemple, si un groupe de domaines est configuré comme condition de correspondance d'une stratégie et que le type de nom de domaine est CNAME (indiquant que le nom de domaine a plusieurs alias), et si le paquet de réponse DNS renvoyé par le serveur DNS est de type CNAME , l'adresse IP ne peut pas être résolue à partir du nom de domaine. Par conséquent, la politique ne peut pas être mise en correspondance. Dans ce cas, il est conseillé d'ajouter tous les alias du nom de domaine actuel au groupe de domaines et de les référencer dans la stratégie afin que le nom de domaine puisse être résolu pour obtenir l'adresse IP et que la stratégie puisse être mise en correspondance.

  • Lors de l'analyse d'un nom de domaine dans un groupe de domaines, l'appareil envoie un paquet de requête DNS dont l'adresse IP source est l'adresse IP de l'interface sortante du paquet. Par conséquent, pour s'assurer que le FW peut recevoir le paquet de réponse et apprendre l'adresse IP correspondant au nom de domaine, la route entre l'interface sortante du paquet et le serveur DNS doit être accessible.


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.