ADC

为 NetScaler 作为 DNS 代理服务器的区域配置 DNSSEC

对将 NetScaler 配置为 DNS 代理服务器的区域进行签名的过程取决于 ADC 是否拥有后端名称服务器所拥有的区域信息子集。如果是,则该配置被视为部分区域所有权配置。如果 ADC 不拥有区域信息的子集,则用于管理后端服务器的 NetScaler 配置被视为无区域 DNS 代理服务器配置。两个 NetScaler 配置的基本 DNSSEC 配置任务是相同的。但是,在 NetScaler 上对部分区域进行签名需要一些额外的配置步骤。

注意: 无区域代理服务器配置和部分区域这两个术语仅在 NetScaler 设备的上下文中使用。

重要: 在代理模式下配置时,ADC 不会在更新缓存之前对 DNSSEC 响应执行签名验证。

如果您将 ADC 配置为 DNS 代理来对感知 DNSSEC 的解析器(服务器)进行负载平衡,则在配置 DNS 虚拟服务器时必须设置“递归可用”选项。如果 DNSSEC 查询到达时设置了检查已禁用 (CD) 位,则该查询将在保留 CD 位的情况下传递到服务器。来自服务器的响应未被缓存。

为无区域 DNS 代理服务器配置配置 DNSSEC

对于无区域 DNS 代理服务器配置,必须在后端名称服务器上执行区域签名。在 NetScaler 上,您可以将 ADC 配置为该区域的 DNS 代理服务器。创建协议类型为 DNS 的负载平衡虚拟服务器。在 ADC 上配置服务以代表名称服务器。然后将服务绑定到负载平衡虚拟服务器。有关这些配置任务的详细信息,请参阅将 NetScaler 配置为 DNS 代理服务器

当客户端向 ADC 发送设置了 DNSSEC OK (DO) 位的 DNS 请求时,ADC 会检查其缓存中的请求信息。如果资源记录在其缓存中不可用,ADC 会将请求转发到其中一个 DNS 名称服务器。然后,它将来自名称服务器的响应中继到客户端。此外,ADC 还缓存 RRSIG 资源记录以及来自名称服务器的响应。来自 DNSSEC 感知的客户端的后续请求由缓存(包括 RRSIG 资源记录)提供,受生存时间 (TTL) 参数的约束。如果客户端在未设置 DO 位的情况下发送 DNS 请求,则 ADC 仅使用请求的资源记录进行响应。它不包括特定于 DNSSEC 的 RRSIG 资源记录。

为部分区域所有权配置配置 DNSSEC

在某些 ADC 配置中,即使区域的权限属于后端名称服务器,但可能在 ADC 上配置属于该区域的资源记录子集。ADC 仅拥有(或权威)这部分记录。这样的记录子集可以视为构成 ADC 上的 部分区域 。ADC 拥有部分区域。所有其他记录归后端名称服务器所有。

在以下情况下,NetScaler 上会出现典型的部分区域配置:

  • 在 ADC 上配置全局服务器负载平衡 (GSLB) 域
  • GSLB 域是后端域名服务器具有权威性的区域的一部分。

对 ADC 上仅包含部分区域的区域进行签名涉及:

  • 在后端名称服务器区域文件中包含部分区域信息
  • 在后端域名服务器上对区域进行签名
  • 在 ADC 上对部分区域进行签名。

必须使用相同的密钥集在域名服务器上对区域进行签名,在 ADC 上对部分区域进行签名。

在后端域名服务器上对区域进行签名

  1. 将部分区域中包含的资源记录包含在名称服务器的区域文件中。
  2. 创建密钥并使用密钥在后端名称服务器上对区域进行签名。

在 NetScaler 上对部分区域进行签名

  1. 使用后端名称服务器所拥有的区域的名称创建一个区域。配置部分区域时,将 ProxyMode 参数设置为 YES。此区域是包含 ADC 拥有的资源记录的部分区域。

    例如,如果在后端名称服务器上配置的区域名称是 example.com,则必须在 ADC 上创建一个名为 example.com 的区域。将 ProxyMode 参数设置为 YES。有关添加区域的更多信息,请参阅 配置 DNS 区域

    注意

    不要为该区域添加 SOA 和 NS 记录。对于 ADC 具有权限的区域,这些记录必须存在于 ADC 上。

  2. 将密钥(从后端名称服务器之一)导入 ADC,然后将它们添加到 /nsconfig/dns/ 目录中。有关如何导入密钥并将其添加到 ADC 的更多信息,请参阅在 区域中发布 DNS 密钥
  3. 使用导入的密钥对部分区域进行签名。使用密钥对部分区域进行签名时,ADC 会分别为资源记录集和部分区域中的单个资源记录生成 RSIG 和 NSEC 记录。有关签名区域的更多信息,请参阅 签名和取消签名 DNS 区域
为 NetScaler 作为 DNS 代理服务器的区域配置 DNSSEC