ADC

将 DNSSEC 操作转移到 NetScaler

对于您的 DNS 服务器具有权威性的 DNS 区域,可以将 DNSSEC 操作转移到 ADC 设备。在 DNSSEC 卸载部署中,DNS 服务器发送未签名的响应。在将响应中继到客户端之前,ADC 会对响应进操作态签名。ADC 还会缓存已签名的响应。除了减少 DNS 服务器的负载外,将 DNSSEC 操作转移到 ADC 还有以下好处:

  • 您可以签署 DNS 服务器以编程方式生成的记录。此类记录无法通过在 DNS 服务器上执行的常规区域签名操作进行签名。
  • 即使您尚未在服务器上实现 DNSSEC,也可以向客户端提供签名响应。

要设置 DNSSEC 卸载,必须配置 DNS 负载平衡虚拟服务器,配置代表 DNS 服务器的服务,然后将服务绑定到虚拟服务器。有关配置 DNS 负载平衡虚拟服务器、配置服务以及将服务绑定到虚拟服务器的信息,请参阅 配置 DNS 区域

在 ADC 上为要卸载其 DNSSEC 操作的每个 DNS 区域创建一个区域实体。对于每个 DNS 区域,必须启用代理模式和 DNSSEC 卸载参数。您可以选择为卸载区域配置 NSEC 记录生成。要创建用于 DNSSEC 卸载的 DNS 区域实体,请按照本主题中的说明进行操作。

要完成配置,必须为该区域生成 DNS 密钥,将密钥添加到该区域,然后使用密钥对区域进行签名。此过程与正常 DNSSEC 相同。有关创建密钥、向区域添加密钥以及对区域签名的信息,请参阅 域名系统安全扩展

配置 DNS 卸载后,必须刷新 NetScaler 上的 DNS 缓存。刷新 DNS 缓存可确保删除缓存中的所有未签名记录,然后替换为签名记录。有关刷新 DNS 缓存的信息,请参阅 刷新 DNS 记录

使用 CLI 为区域启用 DNSSEC 卸载

在命令行中,键入以下命令以启用区域的 DNSSEC 卸载并验证配置:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

示例:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

使用 GUI 为区域启用 DNSSEC 卸载

  1. 导航到 流量管理 > DNS > 区域
  2. 在详细信息窗格中,执行以下操作之一:
    • 要在 NetScaler 上创建区域,请单击“添加”。
    • 要为现有区域配置 DNSSEC 卸载,请双击该区域。
  3. 在“创建 DNS 区域”或“配置 DNS 区域”对话框中,选中“代理模式”和“DNSSEC 卸载”复选框。
  4. 或者,如果您希望 NetScaler 为该区域生成 NSEC 记录,请选中 NSEC 复选框。
将 DNSSEC 操作转移到 NetScaler