Citrix ADC

Configurer la mise en cache négative des enregistrements DNS

L’appliance Citrix ADC prend en charge la mise en cache des réponses négatives pour un domaine. Une réponse négative indique que les informations sur un domaine demandé n’existent pas ou que le serveur ne peut pas fournir de réponse à la requête. Le stockage de ces informations est appelé mise en cache négative. La mise en cache négative permet d’accélérer les réponses aux requêtes concernant un domaine.

Remarque :

La mise en cache négative n’est prise en charge que lorsque le serveur principal est configuré en tant que serveur DNS (ADNS) faisant autorité pour le domaine recherché.

Une réponse négative peut être l’une des réponses suivantes :

  • Message d’erreur NXDOMAIN — Les serveurs DNS faisant autorité répondent avec le message d’erreur NXDOMAIN lorsque le nom de domaine interrogé n’a aucun enregistrement configuré sur le serveur. Cela implique que le domaine interrogé est un nom de domaine non valide ou inexistant.
  • Message d’erreur NODATA : si le nom de domaine dans la requête est valide mais que les enregistrements du type donné ne sont pas disponibles, l’appliance envoie un message d’erreur NODATA.

Lorsque la mise en cache négative est activée, l’appliance met en cache la réponse négative du serveur DNS et ne sert que les futures requêtes du cache. Cela permet d’accélérer les réponses aux requêtes et également de réduire le trafic DNS back-end. La mise en cache négative peut être utilisée dans tous les déploiements, c’est-à-dire lorsqu’une appliance Citrix ADC sert de proxy, de résolution finale ou de redirecteur.

Vous pouvez activer ou désactiver la mise en cache négative à l’aide d’un profil DNS. Pour plus d’informations, voir,Profils DNS. Par défaut, la mise en cache négative est activée dans le profil DNS par défaut (default-dns-profile) qui sont liés par défaut à un serveur virtuel DNS ou dans le profil DNS nouvellement créé.

Activer ou désactiver la mise en cache négative à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour activer ou désactiver la mise en cache négative et vérifier la configuration :

-  add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]
-  show dns profile [<dnsProfileName>]

Exemple de profil DNS par défaut :

> sh dns profile default-dns-profile
    1)   default-dns-profile
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done

Exemple de profil DNS nouvellement créé :

> add dnsprofile dns_profile1 -cacheRecords ENABLED -cacheNegativeResponses ENABLED
Done
> show dns profile dns_profile1
    1)   dns_profile1
        Query logging : DISABLED        Answer section logging : DISABLED
        Extended logging : DISABLED     Error logging : DISABLED
        Cache Records : ENABLED     Cache Negative Responses: ENABLED
Done

Spécifier les paramètres DNS au niveau du service ou du serveur virtuel à l’aide de l’interface de ligne de commande

À l’invite de commandes, effectuez les opérations suivantes :

  1. Configurez le profil DNS.

    add dns profile <dnsProfileName> [-cacheRecords ( ENABLED | DISABLED )] [-cacheNegativeResponses (ENABLED | DISABLED )]

  2. Liez le profil DNS au service ou au serveur virtuel.

    Pour lier le profil DNS au service :

    set service <name> [-dnsProfileName <string>]

Exemple :

>set service service1 -dnsProfileName dns_profile1
Done

Pour lier le profil DNS au serveur virtuel :

set lb vserver <name> [-dnsProfileName <string>]

Exemple :

>set lb vserver lbvserver1 -dnsProfileName dns_profile1
Done

Spécifier les paramètres DNS au niveau du service ou du serveur virtuel à l’aide de l’interface graphique

  1. Configurez le profil HTTP.

    Accédez à Système > Profils > Profil DNS et créez le profil DNS.

  2. Liez le profil HTTP au service ou au serveur virtuel.

    Accédez à Gestion du trafic > Équilibrage de charge> Services/Serveurs virtuelset créez le profil DNS, qui doit être lié au service ou au serveur virtuel.

Réponse négative limitant la vitesse desservie par l’appliance

Vous pouvez définir un seuil pour les réponses négatives servies par l’appliance Citrix ADC à partir du cache. Lorsque le seuil est défini, l’appliance sert la réponse depuis le cache jusqu’à ce que le seuil soit atteint. Une fois le seuil atteint, l’appliance supprime les demandes au lieu de répondre avec une réponse NXDOMAIN.

La définition d’une limite de taux pour les réponses négatives présente les avantages suivants.

  • Enregistrez les ressources sur l’appliance Citrix ADC.
  • Empêchez toute requête malveillante pour des noms de domaine inexistants.

Remarque : vous pouvez définir un seuil pour les réponses négatives uniquement pour les domaines pour lesquels l’appliance Citrix ADC a configuré en tant que serveur de noms de domaine faisant autorité et non pour les enregistrements mis en cache reçus des serveurs de noms principaux faisant autorité.

Réponse négative de limitation de débit servie par le cache à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez

set dns parameter -NXDOMainRateLimitThreshold <positive-integer>

Exemple :

set dns parameter -NXDOMainRateLimitThreshold 1000

nxDomainRateLimitThreshold : Lorsque ce paramètre est défini sur une valeur entière positive, les réponses sont servies à partir du cache jusqu’à ce que ce seuil (en secondes) soit atteint. Une fois le seuil dépassé, les demandes sont supprimées. Le seuil configuré est par moteur de paquets.

Limitation de taux de réponse négative servie par le cache à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > DNS et cliquez sur Modifier les paramètres DNS.
  2. Dans la page Configurer les paramètres DNS, dans le champ Seuil de limite de taux NXDOMAIN, entrez la valeur de seuil jusqu’à laquelle les réponses doivent être diffusées à partir du cache.

Remarque : La valeur du seuil NXDOMAIN Croisé affiche le nombre de fois que les demandes sont supprimées une fois que le seuil est atteint.