Decisões sobre DNS no IPv6

5

Estamos lançando o IPv6 e estou pensando em nossa estratégia de DNS. Esta não é uma questão técnica - é mais uma questão de "melhor prática".

Temos o Active Directory internamente e os controladores de domínio lidam com o DNS autoritativo para as nossas zonas "internas" (por exemplo, domain.local , 16.172.in-addr.arpa ), além da recursão para todos os usuários. Temos cerca de 1200 usuários, então os 5 controladores de domínio lidam facilmente com a recursão do DNS, simplesmente encaminhando para o DNS da Cisco Umbrella para zonas em que não são autoritativos para. Dependemos strongmente do DNS dinâmico, tanto para registros A quanto PTR para hosts internos. Para nossas zonas públicas, usamos o DNS facilitado .

Agora que estamos vendo o IPv6, gostaríamos de manter a capacidade de usar o DNS dinâmico internamente, tanto para registros AAAA quanto para PTR. Como não há necessidade de NAT no IPv6, um determinado host terá o mesmo endereço internamente e externamente. A manutenção de dois bancos de dados separados para a zona ip6.arpa (uma interna e outra externa) ainda é o que deve ser feito? A alternativa é colocar uma regra no meu firewall que permita que os servidores DNS públicos sejam secundários para a zona ip6.arpa. Não estou falando em permitir que a Internet em geral consulte meus DCs diretamente - em vez disso, permita que o agente de transferência do DNS Made Easy mantenha uma cópia dele.

Fazer isso "distribui" todas as minhas entradas de DNS internas, mas isso é realmente tão terrível?

Como estou digitando isso, estou pensando que provavelmente seria melhor apenas manter dois bancos de dados - um interno e outro externo, como sempre fiz no passado. O que a comunidade pensa?

    
por theglossy1 25.05.2017 / 00:19

1 resposta

1

Esta é uma pergunta das melhores práticas, sem respostas corretas reais, mas estas são as perguntas que eu me faria para chegar à resposta certa para mim.

Doing this "gives away" all my internal DNS entries, but is that really so terrible?

Se o seu chefe não acha que é terrível, e você não acha que é terrível, então você tem a sua resposta. O IPv6 demora muito mais para rastrear do que o IPv4, mas ainda pode ser rastreado. Se você não se importa se uma pesquisa de DNS para 2001: db8 :: 1 rende YourFinancialServer.Example.co m e ninguém em sua cadeia de gerenciamento parece se importar, você pode gerenciar todo o seu DNS reverso IPv6 com a sua margem de frente para a autoridade DNS e chamá-lo por um dia.

Is maintaining two separate databases for the ip6.arpa zone (an internal one and an external one) still what should be done?

Isso é decidido pela pergunta anterior. Se é isso que deve ser feito, o próximo passo é determinar a separação lógica de suas redes privadas roteadas.

  • Em um mundo ideal, sua equipe de rede tem segmentos de espaço IPv6 que não podem ser roteados pela Internet, que podem ser usados para orientar o design de como você divide o DNS reverso entre seus servidores autorizados. Você pode configurar encaminhadores em seus servidores recursivos voltados internamente para direcionar as solicitações reversas de espaço V6 roteado de forma privada para sua autoridade interna e permitir que a recursão envie o restante das solicitações para sua autoridade de acesso à Internet como normal.
  • Em um mundo menos que ideal, seu espaço IPv6 está em um estado de fluxo de design sem regras de divisão clara entre público e privado. Na pior das hipóteses, seus endereços são partes alimentadas entre públicas e privadas por um firewall, sem serem divididas em redes de propósito puro. Isso faz com que as regras de encaminhamento para seus servidores recursivos sejam difíceis (quase impossíveis) de serem gerenciadas, e talvez seja necessário gerenciar duas versões completamente diferentes das mesmas zonas autoritativas entre público e privado. Isso ficará inconsistente muito rapidamente sem a automação limpa para remover os registros à medida que seus dispositivos forem desativados.
por 25.05.2017 / 20:44