Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple: Configuration des domaines sécurisés et clés sécurisées pour DNSSEC

Cet exemple montre comment configurer les domaines sécurisés et les clés sécurisées pour DNSSEC.

Conditions préalables

Définissez l’adresse IP du serveur de noms de sorte que le résolutionur DNS a transmis toutes les requêtes DNS vers DNSSEC au lieu de DNS. Voir l’exemple: Configurer DNSSEC pour plus d’informations.

Présentation

Vous pouvez configurer des domaines sécurisés et y attribuer des clés sécurisées. Les réponses signées et non signées peuvent être validées une fois la DNSSEC activée.

Lorsque vous configurez un domaine en tant que domaine sécurisé et que vous activez DNSSEC, toutes les réponses non signées à ce domaine sont ignorées et le serveur renvoie un code d’erreur SERVFAIL au client pour les réponses non signées. Si le domaine n’est pas configuré en tant que domaine sécurisé, les réponses non signées seront acceptées.

Lorsque le serveur reçoit une réponse signée, il vérifie si le DNSKEY dans la réponse correspond à l’une des clés de confiance configurées. S’il trouve une correspondance, le serveur accepte la réponse signée.

Vous pouvez également fixer une zone racine DNS comme base fiable à un domaine sécurisé pour valider les réponses signées. Lorsque le serveur reçoit une réponse signée, il interroge la zone racine DNS pour obtenir un enregistrement DS. Lorsqu’il reçoit l’enregistrement DS, il vérifie si le DNSKEY dans l’enregistrement DS correspond au DNSKEY dans la réponse signée. S’il trouve une correspondance, le serveur accepte la réponse signée.

Topologie

Configuration

Procédure

CLI configuration rapide

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les interruptions de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans le CLI au niveau de la hiérarchie, puis entrez dans le [edit]commit mode de configuration.

Procédure étape par étape

Pour configurer les domaines sécurisés et les clés sécurisées pour DNSSEC:

  1. Configurez domain1.net et domain2.net domaines sécurisés.

  2. Configurez les clés de confiance pour la domain1.net.

  3. Fixez une zone racine à div.isc.org ancre fiable dans un domaine sécurisé.

Résultats

À partir du mode de configuration, confirmez votre configuration en entrant la show system services commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration dans cet exemple pour la corriger.

Si vous avez terminé la configuration de l’équipement, commit saisissez-le en mode de configuration.