Вопрос: Решения о DNS на IPv6


Мы развертываем IPv6, и я думаю о нашей стратегии DNS. Это не технический вопрос - это скорее вопрос «лучшей практики».

У нас есть Active Directory внутри, и контроллеры домена обрабатывают как авторитетный DNS для наших «внутренних» зон (например, domain.local, 16.172.in-addr.arpa), а также рекурсия для всех пользователей. У нас около 1200 пользователей, поэтому 5 контроллеров домена легко обрабатывают рекурсию DNS, просто пересылая Cisco Umbrella DNS для зон, для которых они не являются авторитетными. Мы сильно полагаемся на динамический DNS, как для записей A, так и для PTR для внутренних узлов. Для наших общественных зон мы используем DNS Made Easy,

Теперь, когда мы смотрим на IPv6, мы хотели бы поддерживать возможность использования динамического DNS внутри, как для записей AAAA, так и для PTR. Поскольку нет необходимости в NAT в IPv6, данный хост будет иметь тот же адрес внутри, что и внешне. Поддерживает ли две отдельные базы данных для зоны ip6.arpa (внутренняя и внешняя), что еще нужно сделать? Альтернативой является включение правила в мой брандмауэр, который позволяет публичным DNS-серверам быть вторичными для зоны ip6.arpa. Я не говорю о том, чтобы разрешить Интернет в целом напрямую обращаться к моим контроллерам домена - скорее позвольте агенту переноса DNS Made Easy сохранить его копию.

Выполнение этого «отдает» все мои внутренние DNS-записи, но это действительно так страшно?

Когда я набираю это, я думаю, что было бы лучше всего просто сохранить две базы данных - одну внутреннюю и одну внешнюю, как я всегда делал в прошлом. Что думает сообщество?


5
2018-05-24 22:19


Источник




Ответы:


Это вопрос с лучшей практикой без реальных правильных ответов, но это те вопросы, которые я задал себе, чтобы получить ответ прямо для меня.

Выполнение этого «отдает» все мои внутренние DNS-записи, но это действительно так страшно?

Если ваш босс не думает, что это ужасно, и вы не думаете, что это ужасно, тогда у вас есть свой ответ. IPv6 занимает гораздо больше времени, чем сканирование, чем IPv4, но его все равно можно сканировать. Если вам все равно, будет ли поиск DNS для 2001: db8 :: 1 доходность YourFinancialServer.Example.coм, и никто в вашей цепочке управления, похоже, тоже не заботится, вы можете управлять всем своим IPv6 обратным DNS с вашим лицом, стоящим перед полномочием DNS, и называть его днем.

Поддерживает ли две отдельные базы данных для зоны ip6.arpa (внутренняя и внешняя), что еще нужно сделать?

Это решается предыдущим вопросом. Если это то, что должно быть сделано, следующим шагом будет определение логического разделения ваших сетей с частной маршрутизацией.

  • В идеальном мире ваша сетевая команда имеет чисто вырезанные сегменты пространства IPv6, которые не маршрутизируются через Интернет, что вы можете использовать для управления дизайном того, как вы разделяете обратный DNS между вашими авторитетными серверами. Вы можете настроить пересылки на своих внутренних рекурсивных серверах, чтобы направлять обратные запросы на частное маршрутизированное пространство V6 во внутренние полномочия, и позволить рекурсии отправлять остальные запросы в ваш Интернет, чтобы они были в порядке, как обычно.
  • В менее идеальном мире ваше пространство IPv6 находится в состоянии проектного потока без правил четкого разделения между публичными и частными. В худшем случае ваши адреса являются частью, вызванной межгосударственным и частным брандмауэром, без разделения на чистые сети. Это делает правила пересылки для ваших рекурсивных серверов трудными (практически невозможными) для управления, и вам, возможно, придется управлять двумя совершенно разными версиями тех же авторитетных зон между публичными и частными. Это приведет к непоследовательности очень быстро, без чистой автоматизации, чтобы удалить записи, поскольку ваши устройства удалены.

1
2018-05-25 18:44