Прямой / обратный поиск имен в Cisco IOS

10

Я хочу настроить наши Ciscos так, чтобы они могли выполнять прямое разрешение DNS, но не обратное DNS-разрешение от CLI.

R01(config)#ip domain-name domain.local
R01(config)#ip name-server 10.1.1.1
R01(config)#ip domain-lookup

Эта конфигурация заставляет маршрутизатор выполнять прямой просмотр при проверке связи и обратный поиск в командах show, которые возвращают IP-адреса. Когда мы делаем «show user», маршрутизатор выполняет обратный поиск для каждого из исходных IP-адресов. Похоже, что мы получаем прямой и обратный поиск, когда мы включаем «ip domain-lookup». Есть ли способ отключить обратный поиск и оставить его включенным?

user2339
источник
4
Я не думаю, что это возможно. Вы можете добавить эти хосты с помощью команды ip host, если они отсутствуют в вашем DNS. Есть какая-то конкретная причина не добавлять обратные записи?
Даниэль Диб
3
@DanielDib, относительно того, возможно ли это ... все, что вам нужно, no domain-lookupпод Vty ...
Майк Пеннингтон
@MikePennington Ницца. Никогда не видел, что используется под VTY.
Даниэль Диб
@DanielDib, DNS контролируется другой группой, и они отказываются правильно обновлять обратные записи. В нашей компании есть проблема, которую никто из ИТ-менеджеров не хочет решать, потому что у человека, который контролирует DNS, слишком много политических связей в компании, и он очень мстителен.
user2339

Ответы:

12

Есть ли способ отключить обратный поиск и оставить его включенным?

Резюме:

Использовать no domain-lookupпод line vty 0 4...

Подробности:

Вы правы, поведение по умолчанию - выполнять и кэшировать прямой / обратный поиск адресов в командах show. Этот конфиг начинается аналогично вашему ...

Базовое поведение: прямой / обратный поиск

HotCoffee#clear host *
HotCoffee#sh runn | i ip domain|ip name|^ +domain|NTP
Time source is NTP, 06:10:42.327 CDT Tue Aug 13 2013
ip domain name pennington.net
ip name-server 172.16.1.5
 domain-name pennington.net
HotCoffee#

После очистки кэша хоста в нем нет записей ...

HotCoffee#show host
Load for five secs: 0%/0%; one minute: 1%; five minutes: 1%
Time source is NTP, 06:11:46.864 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
HotCoffee#

Делаем show userили pingзаполняем кеш хоста ...

HotCoffee#sh user
    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 tsunami.pennington.net

  Interface    User               Mode         Idle     Peer Address

HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms
HotCoffee#

Теперь есть записи хоста для pingцели и show user...

HotCoffee#sh hosts
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:16:32.811 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#

Решение: только прямой поиск

Используйте no domain-lookupстроки vty / console, чтобы ограничить поведение IOS только пересылкой запросов ...

HotCoffee#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
HotCoffee(config)#line vty 0 4
HotCoffee(config-line)#no domain-lookup
HotCoffee(config-line)#end
HotCoffee#

Сначала я очищаю кэш хоста для чистого теста ...

HotCoffee#clear host *
HotCoffee#
HotCoffee#

show user ранее выполнял обратный поиск на 172.16.1.5, а также заполнял кэш хоста, но сейчас этого не происходит ...

HotCoffee#sh user
Load for five secs: 1%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:00.250 CDT Tue Aug 13 2013

    Line       User       Host(s)              Idle       Location
* 66 vty 0     cisco      idle                 00:00:00 172.16.1.5   <----

  Interface    User               Mode         Idle     Peer Address

HotCoffee#
HotCoffee#sh host
Load for five secs: 2%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:20:06.729 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
                                                                    <----
HotCoffee#

Просто чтобы показать, что поиск вперед все еще функционирует ...

HotCoffee#
HotCoffee#ping flame
Translating "flame"...domain server (172.16.1.5)

Translating "flame"...domain server (172.16.1.5) [OK]

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
HotCoffee#
HotCoffee#
HotCoffee#
HotCoffee#sh hosts
Load for five secs: 0%/0%; one minute: 0%; five minutes: 0%
Time source is NTP, 06:25:43.237 CDT Tue Aug 13 2013

Default domain is pennington.net
Name/address lookup uses domain service
Name servers are 172.16.1.5

Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate
       temp - temporary, perm - permanent
       NA - Not Applicable None - Not defined

Host                      Port  Flags      Age Type   Address(es)
tsunami.pennington.net    None  (temp, OK)  0   IP    172.16.1.5
flame.pennington.net      None  (temp, OK)  0   IP    172.16.1.1
flame                     None  (temp, UN)  0  IPv6 
HotCoffee#
Майк Пеннингтон
источник