Назад | Перейти на главную страницу

Решения о DNS на IPv6

Мы внедряем IPv6, и я думаю о нашей стратегии DNS. Это не технический вопрос, это скорее вопрос "передовой практики".

У нас есть Active Directory внутри, и контроллеры домена обрабатывают как авторитетный DNS для наших «внутренних» зон (например, domain.local, 16.172.in-addr.arpa), а также рекурсию для всех пользователей. У нас около 1200 пользователей, поэтому 5 контроллеров домена легко обрабатывают рекурсию DNS, просто перенаправляя на Cisco Umbrella DNS для зон, для которых они не являются авторитетными. Мы в значительной степени полагаемся на динамический DNS, как для записей A, так и для PTR для внутренних хостов. Для наших общественных зон мы используем DNS стало проще.

Теперь, когда мы рассматриваем IPv6, мы хотели бы сохранить возможность внутреннего использования динамического DNS как для записей AAAA, так и для PTR. Поскольку в IPv6 нет необходимости в NAT, данный хост будет иметь тот же внутренний адрес, что и внешний. Поддерживает ли две отдельные базы данных для зоны ip6.arpa (внутреннюю и внешнюю), что по-прежнему следует делать? Альтернативой является установка правила в моем брандмауэре, позволяющего публичным DNS-серверам быть вторичными для зоны ip6.arpa. Я не говорю о том, чтобы позволить Интернету в целом запрашивать мои контроллеры домена напрямую - скорее, позвольте агенту передачи DNS Made Easy хранить его копию.

Это "выдает" все мои внутренние записи DNS, но так ли это на самом деле ужасно?

Печатая это, я думаю, что, вероятно, было бы лучше всего поддерживать две базы данных - одну внутреннюю и одну внешнюю, как я всегда делал в прошлом. Что думает сообщество?

Это вопрос о передовой практике, на который нет реальных правильных ответов, но это вопросы, которые я задаю себе, чтобы найти правильный ответ.

Это "выдает" все мои внутренние записи DNS, но так ли это на самом деле ужасно?

Если ваш босс не считает это ужасным, и вы не думаете, что это ужасно, тогда у вас есть ответ. Сканирование IPv6 занимает гораздо больше времени, чем IPv4, но его все же можно просканировать. Если вам все равно, поиск DNS для 2001: db8 :: 1 дает YourFinancialServer.Example.com, и, похоже, никого в вашей цепочке управления это тоже не заботит, вы можете управлять всем своим обратным DNS IPv6 с вашим краем, обращенным к авторитету DNS, и прекратить это.

Поддерживает ли две отдельные базы данных для зоны ip6.arpa (внутреннюю и внешнюю), что по-прежнему следует делать?

Это решает предыдущий вопрос. Если это то, что нужно сделать, следующим шагом будет определение логического разделения ваших сетей с частной маршрутизацией.

  • В идеальном мире ваша сетевая команда аккуратно выделила сегменты пространства IPv6, которые не являются маршрутизируемыми через Интернет, которые вы можете использовать для разработки схемы разделения обратного DNS между вашими авторитетными серверами. Вы можете настроить серверы пересылки на своих внутренних рекурсивных серверах, чтобы направлять обратные запросы для приватно маршрутизируемого пространства V6 вашему внутреннему органу власти, и позволить рекурсии отправлять остальные запросы в ваш интернет-ресурс, как обычно.
  • В менее чем идеальном мире ваше пространство IPv6 находится в состоянии постоянного изменения дизайна без каких-либо правил четкого разделения на публичное и частное. В худшем случае ваши адреса разделяются брандмауэром между общедоступными и частными по частям без разделения на целевые сети. Это делает управление правилами пересылки для ваших рекурсивных серверов сложным (почти невозможным), и вам, возможно, придется управлять двумя совершенно разными версиями одних и тех же авторитетных зон между общедоступной и частной. Это очень быстро станет несовместимым без чистой автоматизации для удаления записей по мере вывода ваших устройств из эксплуатации.