Tên miền / hậu tố cấp cao nhất cho mạng riêng?


115

Tại văn phòng của chúng tôi, chúng tôi có một mạng cục bộ với thiết lập DNS hoàn toàn nội bộ, trên đó tất cả các máy khách được đặt tên là whatever.lan. Tôi cũng có một môi trường VMware và trên mạng chỉ dành cho máy ảo, tôi đặt tên cho các máy ảo whatever.vm.

Hiện nay, mạng này cho các máy ảo là không thể truy cập từ mạng cục bộ của chúng tôi, nhưng chúng tôi đang thiết lập một mạng lưới sản xuất để di chuyển các máy ảo để, mà sẽ được truy cập từ mạng LAN. Do vậy, chúng tôi đang cố gắng để giải quyết trên một quy ước cho các hậu tố tên miền / TLD chúng tôi áp dụng cho khách trên mạng mới này, chúng tôi đang thiết lập, nhưng chúng tôi không thể đưa ra một trong những tốt, cho rằng .vm, .local.lantất cả đều có ý nghĩa hiện có trong môi trường của chúng ta.

Vì vậy, những gì thực hành tốt nhất trong tình huống này? Có một danh sách các TLD hoặc tên miền nào đó an toàn để sử dụng cho một mạng nội bộ hoàn toàn không?


2
Đừng sử dụng .local. Đặc biệt là nếu bạn có bất kỳ khách hàng nào của Apple.
RainyRat

2
.test được đặt sang một bên vì lý do này: safe.wikierra.org/wikipedia/en/wiki/.test
CWSpear

1
@CWSpear Đó không phải là lý do thực tế .testđược bảo lưu, mặc dù nó làm cho nó trở thành một miền an toàn để sử dụng cho các mạng thử nghiệm không được kết nối với internet.
voretaq7

10
@Otto các cách thực hành tốt nhất sẽ ra lệnh rằng bạn có được một tên miền "thực" (theo TLD được ICANN công nhận) và tạo một tên miền phụ cho nội dung cục bộ của bạn (ví dụ: đăng ký mydomain.com, ủy quyền internal.mydomain.comcho NS nội bộ và định cấu hình đúng DNS đường chân trời ( "lượt xem" trong BIND) để bạn không bị rò rỉ tên / địa chỉ nội bộ trên internet. Nó không đẹp bằng TLD / giả-TLD, nhưng nó ít bị phá vỡ hơn trong tầm kiểm soát của bạn.
voretaq7

9
Tuy nhiên : không sử dụng tên miền thực mà bạn đã sử dụng cho các dịch vụ sản xuất công khai. Có nhiều tương tác khác nhau được cho phép giữa www.example.com*.internal.example.comkhông được phép giữa www.example.com*.example.net, đáng chú ý nhất là cài đặt cookie giữa các trang web. Vận hành các dịch vụ nội bộ và bên ngoài trên cùng một tên miền làm tăng nguy cơ thỏa hiệp dịch vụ công cộng sẽ gây ra một số xâm nhập cho các dịch vụ nội bộ và ngược lại, dịch vụ nội bộ không an toàn có thể gây ra lạm dụng nội bộ dịch vụ bên ngoài.
bobince

Câu trả lời:


94

Không sử dụng một TLD được phát minh. Nếu ICANN ủy thác nó, bạn sẽ gặp rắc rối lớn. Điều tương tự nếu bạn hợp nhất với một tổ chức khác sẽ sử dụng cùng một TLD giả. Đó là lý do tại sao tên miền duy nhất trên toàn cầu được ưa thích.

Tiêu chuẩn, RFC 2606 bảo lưu tên cho các ví dụ, tài liệu, thử nghiệm, nhưng không có gì cho sử dụng chung và vì lý do chính đáng: ngày nay, thật dễ dàng và rẻ tiền để có được một tên miền thực và duy nhất mà không có lý do chính đáng để sử dụng giả một cái.

Vì vậy, mua iamthebest.orgvà sử dụng nó để đặt tên cho thiết bị của bạn.


53
Để hoàn toàn an toàn, tôi sẽ đặt mọi thứ vào một tên miền phụ của tên miền của công ty tôi, như local.company.org, vm.company.org, v.v.
Drybjed

4
+1 cái này. Có lẽ công ty của bạn đã có một tên miền. Chỉ cần tạo một tên miền phụ từ này. Nó không phải hiển thị / giải quyết được bên ngoài mạng LAN của bạn.
Dan Carley

3
Chà, ngay cả với các luật sư rất giỏi, bạn sẽ gặp khó khăn khi yêu cầu ".lan" hoặc ".local" bằng cách gọi nhãn hiệu. Và đối số "nó chỉ là nội bộ" là vô cùng yếu: các tổ chức hợp nhất, thiết lập mạng riêng ảo với các tổ chức đối tác và chỉ đơn giản là mắc lỗi khiến tên "riêng tư" bị rò rỉ.
bortzmeyer

8
Thịt bò duy nhất của tôi với điều này là bạn thực sự không thể "mua" một tên miền: bạn chỉ có thể thuê một tên miền. Một số bozo quên thanh toán hóa đơn (và điều này đã xảy ra trong một vài trường hợp cấu hình cao) và một phần cốt lõi trong cấu hình của bạn chuyển sang một số squatter ngẫu nhiên. Vì vậy, bạn sử dụng tên miền của công ty bạn? Execs quyết định đổi thương hiệu hoặc được mua ngoài, và bạn bị mắc kẹt với một tên cũ. .local đã từng hoạt động đủ tốt, nhưng giờ đây nó đã bị một công ty nào đó ưu tiên theo những cách từ chối chơi đẹp. Tôi thực sự muốn thấy một cái gì đó như .lan hoặc .iternal chính thức dành riêng cho mục đích này, nhưng cho đến lúc đó đây là lựa chọn tốt nhất.
Joel Coel

6
Đồng ý với @Joel Coel, bạn là người thuê nhà, và không có gì hơn thế. Cần có hai tên TLD dành riêng cho sử dụng nội bộ chỉ được coi là không hợp lệ ở nơi công cộng và không thể truy cập được bởi các mạng công cộng. Một tên sẽ được sử dụng cho nội bộ gia đình, tên thứ hai sẽ được sử dụng cho kinh doanh nội bộ. Cả hai sẽ được coi là "TLD riêng" theo cùng một nghĩa là chúng ta có "mạng con riêng" không thể định tuyến (192.168.xx và ilk). Điều này cho phép người dùng gia đình làm một cái gì đó ngoài việc bị ép buộc vào .local và mDNS. Ditto cho các doanh nghiệp nhỏ chạy mạng LAN nội bộ phía sau NAT không có tên miền.
Avery Payne

49

Sử dụng tên miền phụ của tên miền đã đăng ký của công ty bạn cho các máy nội bộ có tên mà bạn không muốn có sẵn trên Internet. (Tất nhiên, sau đó, chỉ lưu trữ các tên đó trên các máy chủ DNS nội bộ của bạn.) Dưới đây là một số ví dụ cho Tập đoàn Ví dụ giả tưởng.

Máy chủ truy cập Internet:
www.example.com
mail.example.com
dns1.example.com

Máy nội bộ:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

Tôi đã sử dụng "corp" để biểu thị rằng tên miền phụ này đã mô tả các máy trên mạng công ty nội bộ, nhưng bạn có thể sử dụng bất cứ thứ gì bạn muốn ở đây, chẳng hạn như "nội bộ": client1.i INTERNal.example.com.

Cũng cần nhớ rằng, các vùng DNS và tên miền phụ không phải phù hợp với sơ đồ đánh số mạng của bạn. Công ty của tôi, ví dụ, có 37 vị trí, mỗi vị trí có mạng con riêng, nhưng tất cả các vị trí đều sử dụng cùng một tên miền (nội bộ). Ngược lại, bạn chỉ có thể có một hoặc một vài mạng con, nhưng nhiều tên miền nội bộ ngang hàng hoặc cấp độ của tên miền phụ để giúp bạn tổ chức các máy của mình.


32

Có một lợi thế khác của việc sử dụng tên miền phụ nội bộ: sử dụng khéo léo các hậu tố tìm kiếm và chỉ tên máy chủ thay vì FQDN, bạn có thể xây dựng các tệp cấu hình hoạt động cả trong phát triển, QA và sản xuất.

Ví dụ: bạn luôn sử dụng "cơ sở dữ liệu = dbserv1" trong tệp cấu hình của mình.

Trên máy chủ phát triển, bạn đặt hậu tố tìm kiếm thành "dev.example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.dev.example.com

Trên máy chủ QA, bạn đặt hậu tố tìm kiếm thành "qa.example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.qa.example.com

Và trên máy chủ sản xuất, bạn đặt hậu tố tìm kiếm thành "example.com" => máy chủ cơ sở dữ liệu được sử dụng: dbserv1.example.com

Bằng cách đó, bạn có thể sử dụng các cài đặt giống nhau trong mọi môi trường.


2
Đó là tuyệt vời.
Chris Magnuson

19
Cho đến khi ai đó cấu hình sai máy trạm của họ với hậu tố tìm kiếm sản xuất để kiểm tra một vấn đề và sau đó vô tình cập nhật một loạt các hồ sơ sản xuất.
Joel Coel

1
Điều đó khá thô sơ, các bản ghi SRV rất đơn giản để phân tích cú pháp và có thể được đặt trong bất kỳ vùng nào, sao cho cùng một máy chủ db phục vụ một số vùng. Trong trường hợp này, một số đoạn mã sẽ điền vào giá trị trong các tệp cấu hình của bạn. Và bạn có thể sử dụng tên của cơ sở dữ liệu làm khóa SRV và giá trị của khóa học trỏ đến tên máy chủ. Tôi sẽ không bao giờ dựa vào hậu tố tìm kiếm. Bạn cũng có thể khá sáng tạo với các bản ghi TXT và có thể nhét chúng vào các giá trị được mã hóa aes-256 (sau đó được mã hóa base64), nếu chúng là bí mật. Bạn có thể sử dụng bản ghi TXT cho tất cả các loại.
figtrap

xem, nhưng những gì tôi muốn là example.com, example.dev và example.stg. 2 cái cuối cùng chỉ có trên một mạng riêng, tôi có thể thiết lập máy chủ DNS cục bộ để truy cập cấu hình không? Vẫn sử dụng một cấu hình tương tự ở đây cho tất cả các trang web, chỉ cần di chuyển thay đổi lên đến tld. Dễ dàng cho .dev với tệp máy chủ, nhưng cấu hình bằng không ...
DigitalDesignDj

15

Vì các câu trả lời trước cho câu hỏi này đã được viết, đã có một vài RFC thay đổi hướng dẫn. RFC 6761 thảo luận về các tên miền sử dụng đặc biệt mà không cung cấp hướng dẫn cụ thể cho các mạng riêng. RFC 6762 vẫn khuyên bạn không sử dụng tên miền cấp cao không đăng ký, nhưng cũng thừa nhận rằng có những trường hợp nơi mà nó sẽ được thực hiện anyway. Do xung đột .local thường được sử dụng với Multicast DNS (chủ đề chính của RFC), Phụ lục G. Các không gian DNS riêng khuyến nghị các TLD sau:

  • mạng nội bộ
  • nội bộ
  • riêng tư
  • thân
  • Trang Chủ
  • lan

IANA dường như nhận ra cả RFC nhưng hiện tại (không) kết hợp các tên được liệt kê trong Phụ lục G.

Nói cách khác: bạn không nên làm điều đó. Nhưng khi bạn quyết định làm điều đó, hãy sử dụng một trong những tên trên.


Phụ lục G có trước danh sách bạn trích dẫn: "Chúng tôi không khuyên bạn nên sử dụng các tên miền cấp cao nhất chưa đăng ký". Đây là nhiều điểm quan trọng. Các tên được cung cấp không được "khuyến nghị" sử dụng, chúng chỉ là các tên được quan sát thấy sẽ hoạt động tốt hơn .localloại dành riêng cho MulticastDNS, đó là cuộc thảo luận trong Phụ lục G.
Patrick Mevzek

2
Tôi sẽ không đồng ý. Điểm mấu chốt là sự vô lý của lời khuyên: 'đừng làm điều đó ... nhưng khi bạn làm ...' Kỳ vọng rằng các mạng gia đình / doanh nghiệp nhỏ / không công khai nên đăng ký TLD là không thực tế. Mọi người đều sẽ sử dụng tên miền cấp cao không đăng ký cho đến nay tốt hơn để giúp tất cả mọi người ra ngoài và nói 'OK, đây là một danh sách các tên miền cấp cao không đăng ký bạn có thể sử dụng trong nội bộ' chứ không phải là giả vờ tất cả mọi người sẽ làm theo những lời khuyên đường lối cứng rắn.
blihp

Chúng tôi sẽ vẫn bất đồng sau đó. Việc một số người sử dụng TLD giống như họ là nội bộ (ví dụ .MAIL được tìm thấy trong nhiều tài liệu) chính xác là lý do tại sao các TLD này không thể ủy thác và hiện đã chết vô thời hạn. Do đó, việc tiếp tục khuyến nghị mọi người sử dụng TLD theo cách đó là một sự bất lợi cho cộng đồng Internet toàn cầu. Lời khuyên nói rằng vì một số TLD đã bị lạm dụng như vậy, nếu mọi người phải lạm dụng, họ nên sử dụng lại những người đó thay vì lạm dụng những người mới. RFC2606 rõ ràng cho các TLD sử dụng nội bộ sẽ hoạt động:.EXAMPLE .TEST .INVALID
Patrick Mevzek

12

Như đã nói, bạn không nên sử dụng TLD chưa đăng ký cho mạng riêng của mình. Đặc biệt là bây giờ ICANN cho phép hầu hết mọi người đăng ký TLD mới. Sau đó, bạn nên sử dụng một tên miền thực

Mặt khác, RFC 1918 rõ ràng:

Tài liệu tham khảo gián tiếp đến các địa chỉ như vậy nên được chứa trong doanh nghiệp. Các ví dụ nổi bật của các tham chiếu như vậy là Bản ghi tài nguyên DNS và các thông tin khác đề cập đến các địa chỉ riêng tư nội bộ. Vì vậy, máy chủ tên của bạn cũng nên sử dụng chế độ xem để ngăn các bản ghi riêng tư được truyền trên Internet.


10

Chúng tôi có xu hướng xem xét không có sự khác biệt trong việc đặt tên ảo của máy chủ từ vật lý - thực tế, chúng tôi đã thực hiện để trừu tượng hóa cấu hình máy chủ (phần mềm) từ lớp vật lý.

Vì vậy, chúng tôi mua Vật phẩm Phần cứng và tạo Vật phẩm Máy chủ trên đầu chúng (và sử dụng mối quan hệ đơn giản để thể hiện điều đó trong tài liệu của chúng tôi).

Mục đích là khi máy chủ tồn tại, DNS không phải là yếu tố quyết định - vì chúng ta có máy di chuyển từ không gian này sang không gian khác - ví dụ, một ứng dụng web hiệu suất thấp không cần phải sử dụng chu kỳ CPU đắt tiền - ảo hóa nó và nó vẫn giữ nguyên sơ đồ đặt tên, mọi thứ vẫn tiếp tục hoạt động.


-4

Tôi không chắc điều này sẽ giúp bạn, nhưng đối với DNS nội bộ trong tài khoản AWS của tôi, tôi sử dụng .awsnhư tld và nó dường như hoạt động hoàn toàn tốt.

Tôi biết có một số TLD bạn không nên sử dụng, nhưng ngoài những TLD đó, tôi không nghĩ nó quá nghiêm ngặt.

Tôi đã làm việc tại một vài công ty lớn hơn, nơi họ sẽ sử dụng nguồn xác thực là TLD, nghĩa là nếu đó là máy chủ MS / Windows, sử dụng Active Directory làm nguồn xác thực .ad, và một số người khác sẽ là .ldap(Tại sao họ lại là Tôi chỉ sử dụng cùng một nguồn? hoặc các máy chủ sao chép từ cùng một dịch vụ thư mục? Tôi không biết, nó giống như vậy khi tôi đến đó)

Chúc may mắn


2
Amazon hiện đã đăng ký .awslàm TLD để cuối cùng bạn có thể bắt đầu gặp sự cố: nic.aws
Mark McKinstry

1
Để biết thông tin, .aws được đăng ký gần đây "25 tháng 3 năm 2016" => newgtlds.icann.org/en/program-status/delegated-strings
Bruno Adelé

Mặc dù tôi không nghĩ việc sử dụng TLD giả mạo là một vấn đề lớn, nhưng ít nhất là không nếu toàn bộ hệ thống bị tắt và sử dụng proxy để liên lạc với internet trên diện rộng, ".aws" là một lựa chọn thực sự tồi trừ khi bạn KHÔNG phải trong AWS! Có quá nhiều kịch bản có thể hiểu được mà bạn sẽ không thể giao tiếp với AWS nữa.
figtrap
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.