Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Configuración de dominios seguros y claves de confianza para DNSSEC

En este ejemplo se muestra cómo configurar dominios seguros y claves de confianza para DNSSEC.

Requisitos

Establezca la dirección IP del servidor de nombres para que la resolución de DNS reenvíe todas las consultas DNS a DNSSEC en lugar de DNS. Consulte Ejemplo: Configuración de DNSSEC para obtener más información.

Descripción general

Puede configurar dominios seguros y asignar claves de confianza a los dominios. Tanto las respuestas firmadas como las no firmadas se pueden validar cuando DNSSEC está habilitado.

Cuando se configura un dominio como dominio seguro y si DNSSEC está habilitado, se omiten todas las respuestas sin firmar a ese dominio y el servidor devuelve un código de error SERVFAIL al cliente para las respuestas sin firmar. Si el dominio no está configurado como dominio seguro, se aceptarán respuestas sin firmar.

Cuando el servidor recibe una respuesta firmada, comprueba si la DNSKEY de la respuesta coincide con alguna de las claves de confianza configuradas. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.

También puede adjuntar una zona raíz DNS como ancla de confianza a un dominio seguro para validar las respuestas firmadas. Cuando el servidor recibe una respuesta firmada, consulta la zona raíz DNS para un registro DS. Cuando recibe el registro DS, comprueba si el DNSKEY del registro DS coincide con el DNSKEY de la respuesta firmada. Si encuentra una coincidencia, el servidor acepta la respuesta firmada.

Topología

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía [edit] y, luego, ingrese commit desde el modo de configuración.

Procedimiento paso a paso

Para configurar dominios seguros y claves de confianza para DNSSEC:

  1. Configure domain1.net y domain2.net como dominios seguros.

  2. Configure claves de confianza para domain1.net.

  3. Adjunte una div.isc.org de zona raíz como ancla de confianza a un dominio seguro.

Resultados

Desde el modo de configuración, confírmela con el comando show system services. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando termine de configurar el dispositivo, ingrese commit en el modo de configuración.