キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
455
閲覧回数
1
いいね!
0
コメント
tkitahar
Cisco Employee
Cisco Employee

 

2022 6 6 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Virtual Appliance に実装された DNSSEC 機能について紹介します。なお、以前の記事の中で DNSSEC の簡単な説明と Umbrella DNS サーバー (208.67.222.222/208.67.220.220) の対応状況について触れていますので、本記事を読む前に確認することをお勧めします。

 

2. Virtual Appliance の DNSSEC 機能

 

Virtual Appliance DNS フォワーダーの一種で、ユーザーから送られてきた DNS リクエストを Umbrella DNS サーバーへ転送する「DNS フォワーダー」としての役割を持ちます。

 

送り先である Umbrella DNS サーバー側には DNSSEC 機能が実装されており、DNSSEC 検証とユーザーから送られてきた DNS リクエストの DO ビット対応 (つまりユーザー側の DNSSEC 検証の支援) が可能です。

 

Virtual Appliance にも DNSSEC 機能が用意されたわけですが、実際に実装された機能は Umbrella DNS サーバーが持つ機能のうちの後者 (DO ビット対応) のみとなります。

 

主な理由としては、Virtual Appliance Umbrella DNS サーバー両方で DNSSEC 検証を行うのは冗長であることが挙げられます。

 

3. DNSSEC 機能の設定

 

Virtual Appliance の DNSSEC 機能 (DO ビット対応) の設定は Config Mode または SSH 接続による CLI ベースで行います。デフォルトでは無効になっており、有効にするには以下のコマンドを実行します。

 

config va dnssec enable

 

現在の設定を確認したい場合は、以下のコマンドを実行します。

 

config va show

 

出力結果内に以下のいずれかの記述が含まれています。

 

DNSSEC : enabled
DNSSEC : disabled

 

DNSSEC 機能を無効にしたい場合は、以下のコマンドを実行します。

 

config va dnssec disable

 

4. DNSSEC における注意点

 

現在のバージョンの Virtual Appliance では、DNS リクエストや DNS レスポンスに含まれる DNSSEC に関連した flags が解除された状態で転送が行われます。

 

具体的には、ユーザーからの DNS リクエストの flags cd (Checking Disabled) が指定されていても、Umbrella DNS サーバーで DNSSEC 検証は無効化されません。

 

また、Umbrella DNS サーバーの DNSSEC 検証で正当性が確認されても、ユーザーが受け取る DNS レスポンスの flags ad (Authentic Data) は設定されません。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします