DNS 캐싱에 대한 기본 최소 TTL 재정의
NAT 및 정책 모듈은 소스 또는 대상 주소 기준에 IP 주소 대신 주소록의 FQDN(정규화된 도메인 이름)을 사용합니다. 구성 커밋 시 이러한 FQDN은 TTL(Time-To-Live) 기간 동안 결과를 확인하고 캐시합니다. TTL이 만료되면 방화벽은 DNS 서버에 쿼리를 다시 보냅니다.
SRX 시리즈 방화벽은 캐시된 IP 주소에 대해 최소 16초의 TTL을 사용합니다. DNS TTL이 낮고 주소가 여러 개인 도메인은 TTL이 16초 미만인 경우 16초 동안 캐시됩니다. 이로 인해 만료 후 IP가 사용되어 패킷이 손실될 수 있습니다.
Junos OS 릴리스 25.2R1부터는 주소록의 FQDN에 대한 기본 최소 TTL 값을 재정의할 수 있습니다. 이 구성은 TTL 값이 16초보다 작거나 큰 DNS 응답이 실제 기간 동안 캐시되도록 합니다. 이 구성은 주소록 내의 FQDN에 대한 기본 최소 TTL 값인 16초를 재정의합니다.
DNS 캐시 TTL 재정의
DNS 캐시 TTL 재정의 구성을 사용하면 파라미터를 통해 DNS 캐시 동작을 미세 조정할 수 있습니다 min-ttl-override . 기본 최소 TTL 값을 재정의하여 TTL 값이 더 짧은 DNS 응답이 실제 기간 동안 캐시되도록 할 수 있습니다. TTL이 16초 미만인 경우 IP 주소는 TTL 기간 동안 캐시됩니다. 정확히 16초인 경우 16초 동안 캐시됩니다. 16초보다 크면 지정된 TTL 기간 동안 캐시됩니다.
특정 구성이 없을 경우, 시스템은 기본적으로 16초 이하인 TTL의 경우 16초의 캐싱 기간으로 설정되며, 16초보다 큰 값의 경우 TTL 지속 시간으로 설정됩니다.
이 기능을 사용하면 실제 TTL 값이 기본 최소값보다 낮더라도 DNS 응답을 캐시할 수 있습니다. DNS 응답을 정확하게 캐시할 수 있도록 허용하면 오래된 주소가 사용되는 것을 방지할 수 있습니다. 이 기능은 IP 주소가 자주 변경되어 보다 정확한 DNS 확인을 제공하는 환경에서 특히 유용합니다.
시스템은 안정성을 보장하기 위해 달리 구성되지 않는 한 이전 버전과의 호환성을 위해 기본 동작을 유지합니다.
DNS 쿼리 간격
또한 수신된 TTL 값을 기반으로 DNS 쿼리의 빈도를 제어할 수 있는 파라미터를 dns-query-interval 구성할 수 있습니다. 특정 간격을 설정하면 DNS 쿼리가 적절한 시간에 전송되도록 하여 새로운 DNS 정보에 대한 필요성과 DNS 서버의 부하 간에 균형을 맞출 수 있습니다.
DNS 쿼리 간격 구성은 수신된 TTL이 구성된 간격보다 큰 경우 구성된 기간 후에 DNS 쿼리를 강제로 보내는 데 사용됩니다. 그렇지 않으면 수신된 TTL 기간 자체가 만료된 후 DNS 쿼리를 보냅니다.
예: 값을 3600초로 구성 dns-query-interval 하고 수신된 TTL이 4800초인 경우, 시스템은 3600초 동안 항목을 캐시하고 DNS 쿼리는 3600초 후에 전송되어 서버를 오버로드하지 않고 최신 정보를 유지합니다.
을(를 dns-query-interval) 구성하지 않으면 DNS 쿼리 간격은 최대 TTL 기간과 동일한 84600초로 설정됩니다.
구성 샘플
주소록 구성 컨텍스트 내에서 다음 문을 사용하여 해당 FQDN에 대한 최소 TTL을 재정의합니다.
[edit] user@host# set security address-book <address-book name> address <address-name> dns-name <FQDN> min-ttl-override user@host# set security address-book <address-book name> address <address-name> dns-name <FQDN> dns-query-interval <value>
본보기:
[edit] user@host# set security address-book global address address-1 dns-name abc.com min-ttl-override user@host# set security address-book global address address-1 dns-name abc.com dns-query-interval 60
위의 구성은 TTL 값이 16초 미만인 "abc.com"에 대한 DNS 응답이 실제 TTL 기간 동안 캐시되어 최신 IP 주소 정보를 유지하도록 합니다.
이 구성은 선택 사항입니다. 을(를) 구성 min-ttl-override하지 않으면 기존 동작이 계속됩니다.
명령을 사용하여 show security dns-cache 구성의 상태를 모니터링할 수 있습니다. 이 예에서 수신된 TTL이 10초인 경우, 명령은 다음 출력을 표시합니다.
user@host> show security dns-cache
DNS Name: google.com
Address Family: IPv4, TTL: 1, Query Interval: 10, Override minimum TTL: Active
IP Address: 192.168.72.206
DNS entry number: 1
명령 출력은 DNS 이름, 주소 체계, TTL 및 재정의가 활성 상태인지 비활성 상태인지와 같은 세부 정보를 제공합니다. 이 명령을 사용하여 구성이 올바르게 적용되었는지 확인하고 성능 영향을 모니터링하여 시스템이 안정적이고 최적화된 상태로 유지되도록 보장합니다.