ADC

Offload von DNSSEC-Vorgängen an NetScaler

Für DNS-Zonen, für die Ihre DNS-Server autorisierend sind, können DNSSEC-Operationen auf die ADC-Appliance ausgelagert werden. In einer DNSSEC-Offloading-Bereitstellung sendet ein DNS-Server unsignierte Antworten. Der ADC signiert die Antwort dynamisch, bevor er sie an den Client weiterleitet. Der ADC speichert auch die signierte Antwort im Cache. Abgesehen von der Reduzierung der Belastung der DNS-Server bietet Ihnen die Auslagerung von DNSSEC-Operationen auf den ADC die folgenden Vorteile:

  • Sie können Datensätze signieren, die die DNS-Server programmgesteuert generieren. Solche Datensätze können nicht durch routinemäßige Zonensigniervorgänge signiert werden, die auf den DNS-Servern ausgeführt werden.
  • Sie können signierte Antworten an Kunden senden, auch wenn Sie DNSSEC auf Ihren Servern nicht implementiert haben.

Zum Einrichten der DNSSEC-Abladung müssen Sie einen virtuellen DNS-Lastausgleichsserver konfigurieren, Dienste konfigurieren, die die DNS-Server darstellen, und dann die Dienste an den virtuellen Server binden. Informationen zum Konfigurieren eines virtuellen DNS-Lastenausgleichsservers, zum Konfigurieren von Diensten und zum Binden der Dienste an den virtuellen Server finden Sie unter Konfigurieren einer DNS-Zone.

Erstellen Sie eine Zonen-Entity auf dem ADC für jede DNS-Zone, deren DNSSEC-Vorgänge Sie auslagern möchten. Für jede DNS-Zone müssen Sie die Parameter Proxymodus und DNSSEC-Offload aktivieren. Sie können optional die Generierung von NSEC-Datensätzen für eine ausgelastete Zone konfigurieren. Folgen Sie den Anweisungen in diesem Thema, um eine DNS-Zonenentität für DNSSEC-Offloading zu erstellen.

Um die Konfiguration abzuschließen, müssen Sie DNS-Schlüssel für die Zone generieren, die Schlüssel zur Zone hinzufügen und dann die Zone mit den Schlüsseln signieren. Dieser Prozess ist der gleiche wie für normale DNSSEC. Informationen zum Erstellen von Schlüsseln, zum Hinzufügen von Schlüsseln zu einer Zone und zum Signieren der Zone finden Sie unter Sicherheitserweiterungen für Domänennamen.

Nachdem Sie DNS-Abladung konfiguriert haben, müssen Sie den DNS-Cache auf dem NetScaler leeren. Durch das Leeren des DNS-Cache wird sichergestellt, dass alle nicht signierten Datensätze im Cache entfernt und dann durch signierte Datensätze ersetzt werden. Informationen zum Löschen des DNS-Caches finden Sie unter Flush DNS-Datensätze.

Aktivieren der DNSSEC-Abladung für eine Zone mit der CLI

Geben Sie in der Befehlszeile die folgenden Befehle ein, um das DNSSEC-Offloading für eine Zone zu aktivieren und die Konfiguration zu überprüfen:

-  add dns zone <zoneName> -proxyMode YES -dnssecOffload ENABLED [-nsec ( ENABLED | DISABLED )
-  show dns zone
<!--NeedCopy-->

Beispiel:

> add dns zone example.com -proxyMode YES -dnssecOffload ENABLED nsec ENABLED
 Done
> show dns zone example.com
     Zone Name : example.com
     Proxy Mode : YES
     DNSSEC Offload: ENABLED    NSEC: ENABLED
 Done
<!--NeedCopy-->

Aktivieren Sie DNSSEC-Offloading für eine Zone mithilfe der GUI

  1. Navigieren Sie zu Traffic Management > DNS > Zonen.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    • Um eine Zone auf dem NetScaler zu erstellen, klicken Sie auf Hinzufügen.
    • Doppelklicken Sie auf die Zone, um DNSSEC-Offloading für eine bestehende Zone zu konfigurieren.
  3. Aktivieren Sie im Dialogfeld DNS-Zone erstellen oder DNS-Zone konfigurieren die Kontrollkästchen Proxymodus und DNSSEC-Offload.
  4. Wenn der NetScaler NSEC-Datensätze für die Zone generieren soll, aktivieren Sie optional das Kontrollkästchen NSEC.
Offload von DNSSEC-Vorgängen an NetScaler