簡介
本檔案介紹思科對延伸型DNS錯誤的支援。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Cisco Umbrella。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
概觀
Cisco Umbrella已宣佈對擴展DNS錯誤(EDE)提供初步支援,如本IETF文檔中有關擴展DNS錯誤的定義。
Umbrella的初始支援重點是SERVFAIL響應的DNSSEC錯誤代碼。Umbrella計畫將來增加對其他錯誤代碼的支援,以及錯誤代碼的文本表示方式。
支援的錯誤代碼
| 代碼 |
名稱 |
支援 |
遇到錯誤 |
| 0 |
其他 |
否 |
|
| 1 |
不受支援的DNSKEY演算法 |
是 |
不支援DNSKEY演算法。 |
| 2 |
不支援的DS摘要型別 |
是 |
不支援DS摘要型別 |
| 3 |
過時答案 |
否 |
|
| 4 |
偽造的答案 |
否 |
|
| 5 |
DNSSEC不確定 |
否 |
|
| 6 |
DNSSEC偽裝 |
是 |
- 如果找到所有相關記錄且驗證失敗(簽名雜湊不匹配)
- RSIG簽名者/所有者不匹配
- RRSIG無效
- 負證明無效NXDOMAIN預期找到NODATA,反之亦然
- 已到達簽名區域,但未到達委派點。
|
| 7 |
簽名已過期 |
是 |
RRSIG匹配的DNSKEY(金鑰標籤和演算法),但簽名已過期 |
| 8 |
簽名尚未生效 |
是 |
RRSIG匹配DNSKEY(金鑰標籤和演算法),但簽名開始時間在此之後。 |
| 9 |
缺少DNSKEY |
是 |
找不到與DNSKEY匹配的DS。 |
| 10 |
缺少RSIG |
是 |
找不到與DNSKEY(金鑰標籤和演算法)匹配的RRSIG。 |
| 11 |
未設定區域金鑰位 |
是 |
當DNSKEY未設定區域位時。 |
| 12 |
缺少NSEC |
是 |
找不到負面的證明或證明不足。 |
| 13 |
快取錯誤 |
否 |
|
| 14 |
未就緒 |
否 |
|
| 15 |
已阻止 |
否 |
|
| 16 |
已審查 |
否 |
|
| 17 |
已篩選 |
否 |
|
| 18 |
禁止 |
否 |
|
| 19 |
過時的NXDOMAIN應答 |
否 |
|
| 20 |
非權威 |
否 |
|
| 21 |
不支援 |
否 |
|
| 22 |
沒有可達授權 |
否 |
|
| 23 |
網路錯誤 |
否 |
|
| 24 |
無效資料 |
否 |
|
響應示例
返回擴展DNS錯誤的查詢可使用OPT代碼15顯示EDNS部分中的錯誤代碼。例如,在此查詢中,返回的錯誤代碼為6,與「DNSSEC Bogus」錯誤相對應:
; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> +dnssec +nocrypt bogus.d2a10n3.rootcanary.net @m81.sjc.opendns.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63825;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 16384; OPT=15: 00 06 ("..");; QUESTION SECTION:;bogus.d2a10n3.rootcanary.net. IN A
意見