На этой странице
Примере: Настройка безопасных доменов и доверенных ключей для DNSSEC
В данном примере показано, как настраивать безопасные домены и доверенные ключи для DNSSEC.
Требования
Задай IP-адрес сервера имен, чтобы DNS-ретранслатор перенаадлил все запросы DNS на DNSSEC, а не на DNS. См. пример: Настройка DNSSEC для получения дополнительной информации.
Обзор
Можно настроить безопасные домены и назначить доверенные ключи доменам. Подписанные и неподписаные ответы могут быть проверены при включке DNSSEC.
При настройке домена в качестве безопасного и при включаемом DNSSEC все неподписаные ответы на этот домен игнорируются, и сервер возвращает клиенту код ошибки IGNORFAIL для неподписаных ответов. Если домен не настроен как безопасный домен, неподписаные ответы будут приниматься.
Когда сервер получает подписанный ответ, он проверяет, совпадает ли DNSKEY в ответе с любым из настроенных доверенных ключей. Если сервер находит совпадение, он принимает подписанный ответ.
Для проверки подписанных ответов можно также присоединить корневую зону DNS в качестве надежного якоря к безопасному домену. Когда сервер получает подписанный ответ, он запрашивает корневую зону DNS для записи DS. После получения записи DS он проверяет, совпадает ли DNSKEY в записи DSKEY с подписанным ответом. Если сервер находит совпадение, он принимает подписанный ответ.
Топологии
Конфигурации
Процедуры
интерфейс командной строки быстрой конфигурации
Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.
set system services dns dnssec secure-domains domain1.net set system services dns dnssec secure-domains domain2.net set system services dns dnssec trusted-keys key domain1.net.ABC123ABCh set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Пошаговая процедура
Настройка безопасных доменов и доверенных ключей для DNSSEC:
Настройте domain1.net и domain2.net в качестве безопасных доменов.
[edit] user@host# set system services dns dnssec secure-domains domain1.net user@host# set system services dns dnssec secure-domains domain2.net
Настройте доверенные ключи для domain1.net.
[edit] user@host# set system services dns dnssec trusted-keys key "domain1.net.ABC123ABCh"
Присоедините корневую зону div.isc.org в качестве надежного якоря для безопасного домена.
[edit] user@host# set system services dns dnssec dlv domain domain2.net trusted-anchor dlv.isc.org
Результаты
В режиме конфигурации подтвердите конфигурацию, введите show system services команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.
dns {
dnssec {
trusted-keys {
key domain1.net.ABC123ABCh; ## SECRET-DATA
}
dlv {
domain domain2.net trusted-anchor dlv.isc.org;
}
secure-domains {
domain1.net;
domain2.net;
}
}
}
После настройки устройства войдите в commit режим конфигурации.