Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DNSキャッシュのデフォルトの最小TTLを上書きする

NATおよびポリシーモジュールは、IPアドレスではなく、送信元または宛先アドレスの基準にアドレス帳からの完全修飾ドメイン名(FQDN)を使用します。設定のコミット時に、これらのFQDNは解決し、TTL(Time-To-Live)期間中の結果をキャッシュします。TTLが期限切れになると、ファイアウォールはDNSサーバーにクエリを再送信します。

SRXシリーズファイアウォールは、キャッシュされたIPアドレスに最小16秒のTTLを使用します。DNS TTLが低く、アドレスが複数あるドメインは、TTLが16秒未満の場合、16秒間キャッシュされます。これにより、有効期限が切れた後にIPが使用され、パケットがドロップする可能性があります。

Junos OSリリース25.2R1以降、アドレス帳内のFQDNのデフォルトの最小TTL値を上書きできるようになりました。この設定により、TTL 値が 16 秒未満または 16 秒未満の DNS 応答が、実際の期間にわたってキャッシュされます。この設定は、アドレス帳内の FQDN のデフォルトの最小 TTL 値である 16 秒を上書きします。

DNSキャッシュTTL上書き

DNSキャッシュTTL上書き設定により、 min-ttl-override パラメーターを使用してDNSキャッシュの動作を微調整できます。デフォルトの最小TTL値を上書きして、TTL値が短いDNS応答を実際の期間キャッシュすることができます。TTLが16秒未満の場合、IPアドレスはTTL期間中キャッシュされます。ちょうど 16 秒の場合は、16 秒間キャッシュされます。16秒を超える場合は、指定されたTTL期間キャッシュされます。

特定の設定がない場合、システムのデフォルトでは、TTL が 16 秒以下の場合は 16 秒、16 秒を超える値では TTL 時間が TTL になります。

この機能により、デフォルトの最小値よりも低い場合でも、実際のTTL値のDNS応答をキャッシュできます。DNS応答を正確にキャッシュすることで、古いアドレスの使用を防ぐことができます。この機能は、IP アドレスが頻繁に変更される環境で特に有益であり、より正確な DNS 解決を提供します。

安定性を確保するために別段の設定がない限り、システムは後方互換性のためにデフォルトの動作を維持します。

DNSクエリ間隔

さらに、受信したTTL値に基づいてDNSクエリーの頻度を制御できる dns-query-interval パラメーターを設定することができます。特定の間隔を設定することで、DNSクエリが適切なタイミングで送信されるようになり、新しいDNS情報の必要性とDNSサーバーの負荷とのバランスを取ることができます。

DNSクエリー間隔設定は、受信TTLが設定された間隔を超えた場合、設定された期間後にDNSクエリーを強制的に送信するために使用されます。それ以外の場合は、受信したTTL期間自体の有効期限が切れた後にDNSクエリを送信します。

例: dns-query-interval 値を3600秒に設定し、受信TTLが4800秒の場合、システムはエントリーを3600秒間キャッシュし、DNSクエリーは3600秒後に送信され、サーバーに過負荷をかけることなく最新の情報が維持されます。

dns-query-intervalを設定しない場合、DNSクエリー間隔は最大TTL期間に等しい84600秒に設定されます。

設定サンプル

アドレス帳の設定コンテキスト内で以下のステートメントを使用して、特定のFQDNの最小TTLを上書きします。

例:

上記の設定により、TTL値が16秒未満の「abc.com」に対するDNS応答が、最新のIPアドレス情報を維持しながら、実際のTTL期間中キャッシュされます。

この設定はオプションです。 min-ttl-overrideを設定しない場合、既存の動作が続行されます。

show security dns-cacheコマンドを使用して、設定のステータスを監視できます。この例では、受信TTLが10秒の場合、コマンドは以下の出力を表示します。

コマンド出力は、DNS名、アドレスファミリー、TTL、およびオーバーライドがアクティブか非アクティブかなどの詳細を提供します。このコマンドを使用して、設定が正しく適用されていることを確認し、パフォーマンスへの影響を監視して、システムが安定して最適化されていることを確認します。

関連項目