Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:为 DNSSEC 配置安全域和受信任密钥

此示例演示如何为 DNSSEC 配置安全域和受信任密钥。

要求

设置名称服务器 IP 地址,以便 DNS 解析器将所有 DNS 查询转发到 DNSSEC 而非 DNS。请参阅示例:有关详细信息,请配置 DNSSEC。

概述

您可以配置安全域并将受信任密钥分配至域。启用 DNSSEC 时,可验证已签名和未签名的响应。

将域配置为安全域且启用 DNSSEC 时,将忽略对该域的所有未签名响应,并且服务器会向客户端返回未签名响应的 SERVFAIL 错误代码。如果域未配置为安全域,则将接受未签名的响应。

当服务器收到经过签名的响应时,它会检查响应中的 DNSKEY 是否与配置的任何受信任密钥匹配。如果发现匹配,服务器将接受签名的响应。

您还可以将 DNS 根区域作为受信任的定位点连接到安全域,以验证签名的响应。当服务器收到经过签名的响应时,将查询 DNS 根区域以查找 DS 记录。收到 DS 记录时,它会检查 DS 记录中的 DNSKEY 是否与签名响应中的 DNSKEY 匹配。如果发现匹配,服务器将接受签名的响应。

拓扑

配置

操作

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

分步过程

要为 DNSSEC 配置安全域和受信任密钥:

  1. 将 domain1.net 和 domain2.net 配置为安全域。

  2. 将受信任密钥配置为 domain1.net。

  3. 将根区域 div.isc.org 作为受信任的定位点附加到安全域。

成果

从配置模式,输入show system services命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

如果您完成了设备配置,请从commit配置模式进入。