|
|
 |
|
 |
| |
Система доменных имен
Категория: Система доменных имен | Автор: admin | 10-04-2010, 02:23 |
 |
К Internet подключены миллионы компьютеров. Как управлять ими всеми, если они принадлежат разным странам, сетям и административным группам? Этой цели служат два элемента глобальной сетевой инфраструктуры: система доменных имен (Domain Name System, DNS), которая отслеживает информацию об именах компьютеров, и система маршрутизации в Internet контролирующая соединения между компьютерами.
В настоящей главе речь пойдет о DNS. Эта система выполняет несколько задач, но основная ее работа — преобразование имен компьютеров в IP-адреса и наоборот. Пользователям и программам пользовательского уровня удобнее обращаться к компьютерам по именам, но низкоуровневое сетевое программное обеспечение понимает только числовые адреса. DNS выполняет роль промежуточной связующей системы.
DNS представляет собой распределенную базу данных. Сведения о компьютерах хранятся на многих серверах, которые автоматически вступают в контакт друг с другом, запрашивая данные и обмениваясь информацией
|
|
|
 |
|
 |
|
|
|
|
| |
История DNS
Категория: Система доменных имен | Автор: admin | 10-04-2010, 02:27 |
|
В старые добрые времена таблицы соответствия имен и адресов хранились в одном текстовом файле, который велся централизованно и рассылался на все компьютеры сети ARPANET. Никакой иерархии в именах машин не было, и процедура присваивания имени компьютеру предполагала проверку, уникальности выбранного имени в масштабах страны. Объем изменений был огромен и поглощал большую часть пропускной способности сети ARPANET, поэтому в содержимом данного файла часто не отображалось реальное состояние сети.
Вскоре стало ясно, что статическая таблица компьютеров явно неадекватна потребностям большой и растущей сети ARPANET. DNS решает проблемы, с которыми не справилась такая таблица, используя две концепции: иерархию имен компьютеров и распределение обязанностей. Систему доменных имен формально описал Пол Мокапетрис (Paul Mockapetris) в документах RFC882 и RFC883 (1983 г.), обновив спецификацию в документах RFC1034 и RFC1035 (1987 г.). Пол, кроме того, создал первую версию DNS не для платформы UNIX.
|
|
|
|
|
|
|
|
|
|
| |
Основные задачи DNS
Категория: Система доменных имен | Автор: admin | 10-04-2010, 02:30 |
|
DNS определяет:
- иерархически организованное пространство имен компьютеров;
- таблицу имен компьютеров, реализованную в виде распределенной базы данных;
- "распознаватель" — клиентскую библиотеку функций, осуществляющих запросы к базе данных DNS;
- усовершенствованные средства маршрутизации электронной почты;
- механизм поиска сервисов в сети;
- протокол обмена информацией об именах.
Узлу, подключенному к Internet, система доменных имен нужна для полноценного участия в работе сети. Вести локальный файл /etc/hosts с данными о каждом компьютере, с которым когда-нибудь понадобится установить контакт, невозможно в принципе.
В каждой организации хранится один или несколько фрагментов распределенной базы данных, составляющей всемирную систему DNS. В состав фрагмента входят два или более текстовых файла, содержащих записи об имеющихся в организации компьютерах. Запись — это отдельная строка, состоящая из имени компьютера, обозначения типа записи и нескольких информационных полей.
Например, строки
forklift IN А 192.108.21.7
IN MX 10 chimchim.xor.com
в файле зоны прямого преобразования и строка
7 IN PTR forklift.xor.com
в файле зоны обратного преобразования устанавливают соответствие между узлом forklift.xor.com и IP-адресом 192.108.21.7.
|
|
|
|
|
|
|
|
|
|
| |
Что нового в DNS
Категория: Система доменных имен | Автор: admin | 10-04-2010, 02:32 |
|
За последние несколько лет в DNS был внесен ряд важных изменений. В этом параграфе мы расскажем об основных изменениях и о том, где можно узнать о них более подробно.
И сам протокол DNS, и пакет BIND постоянно обновляются. В DNS появились новые типы записей о ресурсах и добавился ряд новых функциональных возможностей. Пакет BIND был полностью переписан с учетом поддержки многопотоковых и многопроцессорных систем. Основные изменения представлены в табл. 16.1.
Таблица 16.1. Новые возможности в DNS и BIND
|
Параграф
|
RFC
|
Описание
|
|
16.11
|
2052
|
Записи SRV, задающие местоположение сервисов
|
|
16.11
|
-
|
Записи А6, задающие адреса IPv6
|
|
16.11
|
2672-2673
|
Записи DNAME, предназначенные для поиска адресов IPv6
|
|
16.11
|
2317
|
Бесклассовое формирование подсетей в домене in-addr.arpi (новое применение записи CNAME)
|
|
16.111
|
—
|
Применение домена ip6.arpa для преобразования адресов IPv4 в сетевые имена
|
|
- 1
|
|
Модуль распознавания, поддерживающий стандарт IPv6
|
|
16.7
|
2671
|
EDNS0 — изменения и расширения протокола
|
|
16.9
|
1996
|
Асинхронные уведомления об изменениях зон
|
|
16.12
|
2136
|
Динамические обновления (для организаций, в которых используется протокол DHCP)
|
|
16.12
|
1995
|
Инкрементные зонные пересылки
|
|
16.13
|
2535-2541
|
Спецификация DNSSEC (аутентификация и безопасность зонных данных)
|
|
16.13
|
2845
|
Спецификации TSIG/TKEY для сигнатур и ключей шифрования транзакций
|
1 Не описаны в данной книге или, в случае домена ip6.arpa, описаны лишь в общих чертах.
Некоторые из новых возможностей — это огромные проекты, еще не прошедшие стандартизацию в организации IETF. Рабочие группы, отвечающие за составление стандартов, имеют в своих рядах хороших писателей, но им недостает программистов, которые занимались бы тестированием спецификаций на постоянной основе. Поэтому некоторые из наиболее свежих спецификаций очень трудно или вообще невозможно реализовать. В текущей версии пакета BIND (8.2.2-Р5) имеется лишь часть из перечисленных выше новых возможностей. В первоначальный выпуск пакета BIND 9 входят почти все они, но не в своем финальном виде.
Два дополнения — поддержка стандарта IPv6 и спецификация DNSSEC — заслуживают более подробных комментариев. В IPv6 длина IP-адреса возросла с 32-х битов до 128-ми. Если бы этот стандарт был полностью реализован, он оказал бы огромное влияние на всю сеть Internet. Пакет BIND 9 поддерживает те компоненты IPv6, которые прошли процесс стандартизации, но маловероятно, чтобы на протяжении жизненного цикла данной книги стандарт IPv6 получил широкое распространение. Поэтому мы лишь вкратце затронем вопросы поддержки IPv6 в BIND 9.
Спецификация DNSSEC является попыткой добавить средства аутентификации к базе данных и серверам DNS. В ней используется алгоритм шифрования с открытым ключом для проверки источника данных DNS и их целостности. В этой схеме посредством DNS распространяются не только данные о компьютерах, но и ключи шифрования.
Описаны также более простые механизмы аутентификации, например системы совместного использования секретного ключа. Но такой ключ должен передаваться каждой паре серверов, желающей осуществлять взаимную аутентификацию. Подобная схема хорошо работает в небольшой организации, располагающей несколькими серверами, однако она неприменима в глобальном масштабе. BIND 9 реализует системы аутентификации DNSSEC (используется открытый ключ) и TSIG (используются сигнатуры транзакций в виде совместных секретных ключей).
|
|
|
|
|
|
|
|
