1. Назначение службы DNS, причины возникновения. Пространство имён DNS.

Назначение:

В большинстве современных сетей TCP/IP используется служба DNS, главное назначение которой:

1. Организация иерархического пространства имен;

2. Преобразование простых для запоминания имен типа company.com в IP-адреса, а также обратное преобразование.

Причины возникновения:

DNS важна для работы Интернета, ибо для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. С ростом Сети возникла необходимость в эффективном, автоматизированном механизме, которым и стала DNS. До введения DNS в 1987 г. удобные понятные имена компьютеров сопоставлялись с IP-адресами в основном с помощью общего статического файла Hosts.

Пространство имён DNS:

Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу.

Основой DNS является представление об иерархической структуре доменного имени (домена) и зонах.

Доме́н — название зоны в системе доменных имён (DNS) Интернета, выделенной какой-либо стране, организации или для иных целей.

- Структура доменного имени отражает порядок следования зон в иерархическом виде;

- доменное имя читается слева направо от младших доменов к доменам высшего уровня (в порядке повышения значимости);

- корневым доменом всей системы является точка ('.'), следом идут домены первого уровня (географические или тематические), затем — домены второго уровня, третьего и т. д. (например, для адреса ru.wikipedia.org домен первого уровня — org, второго wikipedia, третьего ru).

На практике точку в конце имени часто опускают, но она бывает важна в случаях разделения между относительными доменами и FQDN (англ. Fully Qualifed Domain Name, полностью определённое имя домена).

Домен верхнего уровня

Имя из двух или трех букв, которое используется, чтобы указать страну/регион или тип организации, «.com» указывает имя, зарегистрированное для коммерческого использования в Интернете.

Домен второго уровня

Имена переменной длины, зарегистрированные для индивидуальных пользователей или организаций для использования в Интернете. Эти имена всегда базируются на соответствующем домене верхнего уровня в зависимости от типа организации или географического расположения, в котором используется имя.

Например, «microsoft.com.» является именем домена второго уровня, зарегистрированным для корпорации Майкрософт регистратором доменных имен DNS Интернета.

Поддомен

Дополнительные имена, которые организация может создавать как производные от зарегистрированного имени домена второго уровня. Такие имена обеспечивают рост дерева имен DNS в организации и его распределение по отделам или по географическому расположению.

Например, «example.microsoft.com.» представляет имя несуществующего поддомена, предназначенного для примеров имен в документации корпорации Майкрософт.

Общие правила построения имен доменов и узлов следующие:

1. имя может состоять только из букв латинского алфавита, цифр и символа (дефис);

2. длина имени не может превышать 63 символов.

Кроме того, доменные имена являются нечувствительными к регистру символов, входящих в его состав. Это означает, что последовательности символов "Com", "COM", "cOm", "com" и т.п. обозначают одно и тоже имя.

На каждом уровне иерархии существует четкое распределение ролей – управление только нижестоящими уровнями.

Особенности:

1. Иерархия собирается снизу вверх поэтому в конце адреса есть точка.

2. Невозможно отличить идет речь о конкретном домене или сервере.

2. Функции клиента и сервера DNS. Механизм разрешения имён. Типы запросов и ответов.

Система DNS является клиент-серверной.

Функции:

DNS-сервер — специализированное ПО для обслуживания DNS. DNS-сервер может быть ответственным за некоторые зоны и/или может перенаправлять запросы вышестоящим серверам. Программа, осуществляющая по запросу клиента поиск IP-адреса на основе предложенного доменного имени;

DNS-клиент — специализированная библиотека (или программа) для работы с DNS, которой требуется найти по доменному имени IP-адрес;

(Обеспечивает определение адреса узла по его полному имени. Функция клиента DNS встроена почти в любую программу, предназначенную для работы в сети Internet.)

Разрешение имен – это поиск соответствия имен и IP адерсов.

Зона ответственности – часть иерархического пространства имен DNS, обслуживаемая сервером имен и представленная в его локальной базе данных.

DNS-имена - иерархические имена, используемые для именования компьютеров в Интернете, имеющие ограничение по длине 63 символа.

Механизм разрешения имен:

Алгоритм работы службы DNS достаточно прост. Когда программе-клиенту требуется по доменному имени выяснить IP-адрес, она связывается с сервером имен, адрес которого указан в настройках TCP/IP. Сервер имен, получив запрос, рассматривает его, чтобы выяснить, в каком домене находится указанное имя. Если указанный домен входит в его зону ответственности, то сервер преобразует имя в IP-адрес на основе собственной базы данных и возвращает результат клиенту. В случае же, когда сервер имен не способен самостоятельно осуществить преобразование из-за того, что запрашиваемое доменное имя не входит в его зону, то в зависимости от типа поступившего запроса, он может либо опросить известные ему другие сервера имен с целью получения результата, либо сразу ответить клиенту, сообщив ему адрес другого сервера имен, который, возможно, располагает большей информацией.

Таким образом, для функционирования серверу имен не обязательно знать адреса всех остальных DNS-серверов Интернет. Достаточно располагать адресами серверов имен корневого домена. Как правило, эта информация изначально и постоянно присутствует в программах-серверах. Очевидно также, что сервер имен должен знать адреса DNS-серверов делегированных зон.

Типы запросов:

DNS-запрос (англ. DNS query) — запрос от клиента (или сервера) серверу. Запрос может быть рекурсивным (по умолчанию) или нерекурсивным (итеративный).

Все запросы, отправляемые DNS-клиентом DNS-серверу для разрешения имен, делятся на два типа:

• итеративные запросы (клиент посылает серверу DNS запрос, в котором требует дать наилучший ответ без обращений к другим DNS-серверам);

• рекурсивные запросы (клиент посылает серверу DNS запрос, в котором требует дать окончательный ответ даже если DNS-серверу придется отправить запросы другим DNS-серверам; посылаемые в этом случае другим DNS-серверам запросы будут итеративными).

Обычные DNS-клиенты (например, рабочие станции пользователей), как правило, посылают рекурсивные запросы.

Рассмотрим на примерах, как происходит взаимодействие DNS-клиента и DNS-сервера при обработке итеративных и рекурсивных запросов.

Допустим, что пользователь запустил программу Обозреватель Интернета и ввел в адресной строке адрес http://www.microsoft.com. Прежде чем Обозреватель установит сеанс связи с веб-сайтом по протоколу HTTP, клиентский компьютер должен определить IP-адрес веб-сервера. Для этого клиентская часть протокола TCP/IP рабочей станции пользователя (так называемый resolver) сначала просматривает свой локальный кэш разрешенных ранее имен в попытке найти там имя www.microsoft.com. Если имя не найдено, то клиент посылает запрос DNS-серверу, указанному в конфигурации TCP/IP данного компьютера (назовем данный DNS-сервер "локальным DNS-сервером"), на разрешение имени www.microsoft.com в IP-адрес данного узла. Далее DNS-сервер обрабатывает запрос в зависимости от типа запроса.

Вариант 1 (итеративный запрос).

Если клиент отправил серверу итеративный запрос (напомним, что обычно клиенты посылают рекурсивные запросы), то обработка запроса происходит по следующей схеме:

• сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com;

если такая зона найдена, то в ней ищется запись для узла www; если запись найдена, то результат поиска сразу же возвращается клиенту;

в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов;

если искомое имя есть в кэше, то результат поиска возвращается клиенту; если локальный DNS-сервер не нашел в своей базе данных искомую запись, то клиенту посылается IP-адрес одного из корневых серверов DNS;

• клиент получает IP-адрес корневого сервера и повторяет ему запрос на разрешение имени www.microsoft.com;

корневой сервер не содержит в своей БД зоны "microsoft.com", но ему известны DNS-серверы, отвечающие за зону "com", и корневой сервер посылает клиенту IP-адрес одного из серверов, отвечающих за эту зону;

• клиент получает IP-адрес сервера, отвечающего за зону "com", и посылает ему запрос на разрешение имени www.microsoft.com;

сервер, отвечающий за зону com, не содержит в своей БД зоны microsoft.com, но ему известны DNS-серверы, отвечающие за зону microsoft.com, и данный DNS-сервер посылает клиенту IP-адрес одного из серверов, отвечающих уже за зону microsoft.com;

• клиент получает IP-адрес сервера, отвечающего за зону microsoft.com, и посылает ему запрос на разрешение имени www.microsoft.com;

сервер, отвечающий за зону microsoft.com, получает данный запрос, находит в своей базе данных IP-адрес узла www, расположенного в зоне microsoft.com, и посылает результат клиенту;

клиент получает искомый IP-адрес, сохраняет разрешенный запрос в своем локальном кэше и передает IP-адрес веб-сайта программе Обозреватель Интернета (после чего Обзреватель устанавливает связь с веб-сайтом по протоколу HTTP).

Вариант 2 (рекурсивный запрос).

Если клиент отправил серверу рекурсивный запрос, то обработка запроса происходит по такой схеме:

• сначала локальный DNS-сервер ищет среди зон, за которые он отвечает, зону microsoft.com; если такая зона найдена, то в ней ищется запись для узла www; если запись найдена, то результат поиска сразу же возвращается клиенту;

в противном случае локальный DNS-сервер ищет запрошенное имя www.microsoft.com в своем кэше разрешенных ранее DNS-запросов; если искомое имя есть в кэше, то результат поиска возвращается клиенту;

• если локальный DNS-сервер не нашел в своей базе данных искомую запись, то сам локальный DNS-сервер выполняет серию итеративных запросов на разрешение имени www.microsoft.com, и клиенту посылается либо найденный IP-адрес, либо сообщение об ошибке.

Типы ответов:

1. Авторитетный

2. Неавторитетный

1. Это ответ, который пришел от сервера, находящегося в домене, к которому относится запрашивающаяся информация.

2. Это ответ, который пришел от любого другого сервера.

3. Типы серверов и зон DNS. Репликация баз данных DNS между серверами.

Типы серверов:

1. Первичный

Мастер или первичный сервер (в терминологии BIND) — сервер, имеющий право на внесение изменений в данные зоны. Является авторитарным, т.е. отвечающим за каку-либо зону.

2. Вторичный

Слейв или вторичный сервер, не имеющий права на внесение изменений в данные зоны и получающий сообщения об изменениях от мастер-сервера. В отличие от мастер-сервера их может быть (практически) неограниченное количество. Слейв так же является авторитативным сервером (и пользователь не может различить мастер и слейв, разница появляется только на этапе конфигурирования/внесения изменений в настройки зоны).

3. Кэширующий

Кеширующий DNS-сервер — сервер, который обслуживает запросы клиентов, (получает рекурсивный запрос, выполняет его с помощью нерекурсивных запросов к авторитативным серверам или передаёт рекурсивный запрос вышестоящему DNS-серверу)

Синхронизируется информация автоматически. Каждый сервер может нести множество зон. Граница зоны не определена границами домена, хотя чаще всего они совпадают. Один домен может быть распределен на несколько зон и в тоже время 1а зона может содержать информацию о нескольких доменах.

Типы зон:

Каждый DNS-сервер отвечает за обслуживание определенной части пространства имен DNS. Информация о доменах, хранящаяся в БД сервера DNS, организуется в особые единицы, называемые зонами (zones). Зона - основная единица репликации данных между серверами DNS. Каждая зона содержит определенное количество ресурсных записей для соответствующего домена и, быть может, его поддоменов.

1. Прямого просмотра

Преобразование IP в имена.

2. Обратного просмотра

Обратное преобразование.

3. Перенаправления

Зоны перенаправления не несут смысловой нагрузки, а выполняют только функцию перенаправления к другим серверам.

Каждому типу зон соответствуют свои типы записей.

4. Последовательность действий по конфигурированию DNS -сервера. Типы ресурсных записей.

Последовательность действий по конфигурированию:

1. Инсталляция DNS сервера

Установка сервера.

2. Начальное конфигурирование DNS сервера

После установки сервера необходимо указать некоторые параметры для работы сервера. Это делается путем редактирования определенных директив в файле опций /etc/bind/named.conf.options:

В файле прописываются директивы. Директива directory указывает на расположение в дереве каталогов временных файлов сервера. Директива forwarders - на какие серверы пересылать запрос, если наш сервер сам не в состоянии определить имя или IP-адрес запроса клиентов. Директива listen-on указывает на каких интерфейсах вести прослушивание 53 порта.

3. Запуск DNS сервера

После редактирования этого файла необходимо рестартовать сервер:

4. Настройка DNS сервера в режиме авторитарного режима

Далее необходимо указать в основном конфигурационном файле сервера /etc/bind9/named.conf имена файлов, в которых мы далее опишем зоны для прямого и обратного преобразований.

После того кА прямое и обратное преобразование работает, настройка DNS сервера завершена. Необходимо указать операционной системе использовать только что сконфигурированный сервер. Делается это через файл /etc/resolv.conf:

Наиболее важные типы DNS-записей:

Основные типы ресурсных записей (Resource Records):

A-запись - задает преобразование имени хоста в IP-адрес.

MX-запись - определяет почтовый ретранслятор для доменного имени, т.е. узел, который обработает или передаст дальше почтовые сообщения, предназначенные адресату в указанном домене. При наличии нескольких MX-записей сначала происходит попытка доставить почту на ретранслятор с наименьшим приоритетом.

NS-записи - определяют DNS-сервера, которые являются авторитативными для данной зоны.

CNAME-запись - определяет отображение псевдонима в каноническое имя узла.

SRV-запись - позволяет получить имя для искомой службы, а также протокол, по которому эта служба работает.

TXT-запись - содержит общую текстовую информацию. Эти записи могут использоваться в любых целях, например, для указания месторасположения хоста.

AAAA-запись - задает преобразование имени хоста в IPV6-адрес.

• Запись A (address record) или запись адреса связывает имя хоста с адресом IP. Например, запрос A-записи на имя referrals.icann.org вернет его IP адрес — 192.0.34.164

• Запись AAAA (IPv6 address record) связывает имя хоста с адресом протокола IPv6. Например, запрос AAAA-записи на имя K.ROOT-SERVERS.NET вернет его IPv6 адрес — 2001:7fd::1

• Запись CNAME (canonical name record) или каноническая запись имени (псевдоним) используется для перенаправления на другое имя

• Запись MX (mail exchange) или почтовый обменник указывает сервер(ы) обмена почтой для данного домена.

• Запись NS (name server) указывает на DNS-сервер для данного домена.

• Запись PTR (pointer) или запись указателя связывает IP хоста с его каноническим именем. Запрос в домене in-addr.arpa на IP хоста в reverse форме вернёт имя (FQDN) данного хоста (см. Обратный DNS-запрос). Например, (на момент написания), для IP адреса 192.0.34.164: запрос записи PTR 164.34.0.192.in-addr.arpa вернет его каноническое имя referrals.icann.org. В целях уменьшения объёма нежелательной корреспонденции (спама) многие серверы-получатели электронной почты могут проверять наличие PTR записи для хоста, с которого происходит отправка. В этом случае PTR запись для IP адреса должна соответствовать имени отправляющего почтового сервера, которым он представляется в процессе SMTP сессии.

• Запись SOA (Start of Authority) или начальная запись зоны указывает, на каком сервере хранится эталонная информация о данном домене, содержит контактную информацию лица, ответственного за данную зону, тайминги кеширования зонной информации и взаимодействия DNS-серверов.

• Запись SRV (server selection) указывает на серверы для сервисов, используется, в частности, для Jabber.

5. Назначение службы DHCP, причины возникновения. Основные понятия службы DHCP: область, пул адресов, диапазоны исключений, резервирование, период аренды.

НАЗНАЧЕНИЕ:

В операционной системе Microsoft Windows 2000 Server поддерживается широко известный протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста). Это — открытый промышленный стандарт, который упрощает управление сетями на базе TCP/IP. Каждому хосту (компьютеру), подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP освобождает сетевых администраторов от необходимости настраивать все компьютеры вручную.

DHCP может автоматически конфигурировать настройки TCP/IP во время загрузки компьютера. Это позволяет хранить все доступные IP-адреса в центральной базе данных вместе с соответствующей информацией о конфигурации, такой как маска подсети, адрес шлюза и адреса серберов DNS и WINS.

DHCP упрощает работу системных администраторов. При этом чем больше сеть, тем выгоднее применять протокол DHCP. Без динамического назначения адресов администратору пришлось бы настраивать клиентов вручную, последовательно назначая адреса. Изменения должны производиться для каждого клиента по отдельности. Чтобы избежать двойного использования, IP-адреса должны распределяться централизованно. Информация о конфигурации без протокола DHCP распределена по клиентам; в этом случае трудно получить представление о конфигурациях всех клиентов.

ПРИЧИНЫ ВОЗНИКНОВЕНИЯ: протокол создан для решения проблемы присвоения сетевых адресов. Используется механизм динамического присвоения адресов. Динамическое присвоение адресов является оптимальной схемой для клиентов, подключаемых к сети временно, или совместно использующих один и тот же набор IP-адресов и не нуждающихся в постоянных адресах.

Понятия DHCP

Область DHCP. Область (scope) DHCP — административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех клиентов DHCP в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем клиентам DHCP в подсети. Область должна быть определена прежде, чем клиенты DHCP смогут использовать сервер DHCP для динамической конфигурации TCP/IP.

Пул адресов. Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (address pool) (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

Диапазоны исключения. Диапазон исключения (exclusion range) — ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

Резервирование. Резервирование (reservation) позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.

Суперобласти. Это понятие, используемое в Диспетчере DHCP, которое задает множество областей, сгруппированных в отдельный административный объект — суперобласть (superscope). Суперобласти полезны для решения различных задач службы DHCP.

Арендные договоры. Арендный договор (lease) — отрезок времени, определяющий период, во время которого клиентский компьютер может использовать назначенный IP-адрес. При выдаче арендного договора он становится активным. В момент половины срока действия арендного договора клиент должен возобновить назначение адреса, обратившись к серверу повторно. Продолжительность арендного договора влияет на частоту обновления арендных договоров (интенсивность обращений к серверу).

6. Опции DHCP. Механизм взаимодействия DHCP -сервера и клиента.

Опции DHCP. Опции DHCP — дополнительные параметры настройки клиентов, которые сервер DHCP может назначать при обслуживании арендных договоров клиентов DHCP. Например, IP-адреса маршрутизатора или шлюза по умолчанию, серверов WINS или серверов DNS обычно предоставляются для каждой области или глобально для всех областей, управляемых сервером DHCP. Кроме стандартных опций, сервер DHCP Microsoft позволяет определять и добавлять пользовательские опции.

Как работает DHCP:

Протокол упрощает работу сетевого администратора, который должен вручную конфигурировать только один сервер DHCP. Когда новый компьютер подключается к сети, обслуживаемой сервером DHCP, он запрашивает уникальный IP-адрес, а сервер DHCP назначает его из пула доступных адресов. Этот процесс (рис. 17.1) состоит из четырех шагов: клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), DHCP-сервер предлагает адрес (DHCP Offer, предложение), клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Чтобы адрес не "простаивал", сервер DHCP предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора клиент DHCP запрашивает его возобновление, и сервер DHCP продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес (например, в результате перемещения в другой сетевой сегмент), арендный договор истекает, и адрес возвращается в пул для повторного использования.

7. Подсети. Необходимость маршрутизации. Принцип определения принадлежности компьютера к подсети.

Сеть Интернет – сегментированная сеть, сегментом является либо прозрачный участок широковещательной (Ethernet) или маркерной (TokenRing) сети, либо соединение точка-точка (модемное).

Маршрутизация необходима для передачи информации в сети, чтобы нужная информация могла достичь конкретного адресата. Для этого используется адресация.

Основные понятия для определения принципа:

IP-номер - четырехбайтное число, записываемое либо в шестнадцатеричном виде типа 0xC0A80E05, либо в десятичном виде, где байты разделены точками типа 192.168.14.5 (в качестве примера в обоих случаях использовался один и тот же номер).

Маска - тоже четырехбайтное число, но все старшие биты, начиная с некоторого, всегда установлены в единицу, а все младшие - в ноль. Примеры: 255.255.255.0 - маска сети класса C на 256 номеров; 255.255.255.192 - маска маленькой сети на 64 номера (192=256-64). Если нужно указать сочетание номера и маски, необходимо использовать запись номер/число_установленных_битов_в_маске - так сочетание номера 192.168.14.5 и маски 255.255.255.0 будет записано в виде 192.168.14.5/24.

НОМЕРОМ СЕТИ называют число, получаемое из номера интерфейса применением побитовой операции AND с маской, т.е. в номере интерфейса обнуляются биты на тех местах, на которых стоят нулевые биты в маске.

Следует помнить, что IP-номер присваивается не компьютеру, а ИНТЕРФЕЙСУ (сетевому выходу либо последовательному порту). В принципе можно дать нескольким интерфейсам один номер, но это может вызвать сложности. Можно также присвоить несколько адресов одному интерфейсу.

В сегменте сети все машины имеют IP-номера с одинаковым номером сети и одинаковой маской. В одной локальной сети можно совместить две и больше разных IP-сетей, они даже могут знать друг о друге и нормально общаться, но это все-таки будут две разные сети.

Принято следующее деление в зависимости от значения старшего байта IP-адреса:

0..127 - сети класса A по 2^24 адресов с маской 0xFF000000;

128..191 - сети класса B по 2^16 адресов с маской 0xFFFF0000;

192..223 - сети класса C по 2^8 адресов с маской 0xFFFFFF00;

224..239 - сети класса D для multicast (групповой) рассылки;

остальные пока зарезервированы.

Многие программы по адресу автоматически определяют класс сети, хотя это можно поправить вручную. В принципе никто не мешает разбить сеть на две или больше подсетей с любыми масками, но организациям как правило выделяют адреса блоками, соответствующими классам A, B и C - это связано с системой DNS, позволяющей узнать доменное имя машины по ее IP-адресу.

Сеть класса A с номером 127 - loopback, т.е. предназначена для общения компьютера с собой. В любой сети номер (IP-номер AND маска) является номером всей сети и не может быть присвоен никому конкретно. Номер (IP-номер OR NOT маска), являющийся последним номером в сети, предназначен для broadcasting (широковещательных) сообщений, которые доставляются всем машинам сегмента сети. Соответственно, при выделении группы адресов в сеть два адреса становятся недоступны.