国家根系统的一个重要应用是作为根服务器为递归解析器提供服务,下面介绍如何配置一个递归服务器使用中国国家根的根服务器,代替原根。
首先,对配置环境进行说明。这里以Linux系统作为操作环境,DNS服务器软件为BIND 9.9.4.
这里假设BIND配置文件的目录为/etc/named.conf,Root Hint文件的目录为/var/named/db.root,国家根的IP地址为202.118.236.229。
步骤 1: 执行命令:dig @202.118.236.229 . ns,会得到类似如下的输出:
步骤 2: 将输出中ANSWER SECTION和ADDITIONAL SECTION中的内容拷贝到/var/named/db.root中:
保存并退出。
步骤 3: 输入命令:dig @202.118.236.229 . dnskey,会得到类似如下输出:
步骤 4: 编辑文件/etc/named.conf,将步骤2中得到的DNSKEY记录按照如下格式添加到文件末尾。
trusted-keys {
"." 257 3 5 "AwEAAciZ7Lqzh3+pLimkt/McrLnJoUXM7e5o+18Vh/yCXtlrAoC0fNA4 /CYA9E48vYxz/MApazGvuSx58T9Ph22azlk=";
"." 256 3 5 "AwEAAbv5cC+4sf8V3OGRek+g9CBdiTI05dnEiu5W8JIEMsmJUVL7hu65 d7ta6gNRq0EVTJBeofwH1LfE59kAaZ0uxlk=";
};
步骤 5: 在文件的options域中添加或更改以下两条语句:
dnssec-enable yes;
dnssec-validation yes;
其中,dnssec-enable yes表示开启解析器对DNSSEC记录的支持;dnssec-validation yes表示解析器会对应答中支持DNSSEC功能的域进行验证。若用户不想进行验证,则可设置为dnssec-validation no,这样会在一定程度上加快DNS解析速度。
保存并退出。
步骤 6: 重启BIND。
命令为:service named restart或/etc/init.d/bind9 restart
执行:
service named restart
分别输入dig @localhost . ns +dnssec和dig @localhost gov.cn +dnssec两条语句来进行验证。
步骤 7: 执行:
dig @localhost . ns +dnssec
dig @localhost gov.cn +dnssec
