ADC

Descarga de operaciones de DNSSEC a NetScaler

En el caso de las zonas DNS para las que los servidores DNS tienen autoridad, las operaciones de DNSSEC se pueden transferir al dispositivo ADC. En una implementación de descarga de DNSSEC, un servidor DNS envía respuestas sin firmar. El ADC firma la respuesta de forma dinámica antes de transmitirla al cliente. El ADC también almacena en caché la respuesta firmada. Además de reducir la carga en los servidores DNS, descargar las operaciones de DNSSEC al ADC ofrece las siguientes ventajas:

  • Puede firmar los registros que los servidores DNS generan mediante programación. Estos registros no se pueden firmar mediante operaciones rutinarias de firma de zona realizadas en los servidores DNS.
  • Puede entregar respuestas firmadas a los clientes incluso si no ha implementado DNSSEC en sus servidores.

Para configurar la descarga de DNSSEC, debe configurar un servidor virtual de equilibrio de carga DNS, configurar los servicios que representan los servidores DNS y, a continuación, enlazar los servicios al servidor virtual. Para obtener información sobre cómo configurar un servidor virtual de equilibrio de carga DNS, configurar servicios y vincular los servicios al servidor virtual, consulte Configurar una zona DNS.

Cree una entidad de zona en el ADC para cada zona DNS cuyas operaciones DNSSEC desee descargar. Para cada zona DNS, debe habilitar los parámetros Modo Proxy y DNSSEC Offload. Si lo desea, puede configurar la generación de registros NSEC para una zona descargada. Para crear una entidad de zona DNS para la descarga de DNSSEC, siga las instrucciones de este tema.

Para completar la configuración, debe generar claves DNS para la zona, agregar las claves a la zona y, a continuación, firmar la zona con las claves. Este proceso es el mismo que para DNSSEC normal. Para obtener información sobre cómo crear claves, agregar claves a una zona y firmar la zona, consulte Extensiones de seguridad del sistema de nombres de dominio.

Después de configurar la descarga de DNS, debe vaciar la caché DNS en NetScaler. Al vaciar la caché DNS se asegura de que todos los registros sin firmar en la caché se eliminan y, a continuación, se reemplazan por registros firmados. Para obtener información sobre cómo vaciar la caché DNS, consulte Vaciar registros DNS.

Habilitar la descarga de DNSSEC para una zona mediante la CLI

En la línea de comandos, escriba los siguientes comandos para habilitar la descarga de DNSSEC para una zona y comprobar la configuración:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Ejemplo:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Habilite la descarga de DNSSEC para una zona mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > DNS > Zonas.
  2. En el panel de detalles, realice una de las acciones siguientes:
    • Para crear una zona en NetScaler, haga clic en Agregar.
    • Para configurar la descarga de DNSSEC para una zona existente, haga doble clic en la zona.
  3. En el cuadro de diálogo Crear zona DNS o Configurar zona DNS, seleccione las casillas Modo proxy y Descarga de DNSSEC.
  4. Si lo desea, si desea que NetScaler genere registros NSEC para la zona, active la casilla de verificación NSEC.
Descarga de operaciones de DNSSEC a NetScaler