16 Delegace a registrace reverzních domén


Reverzní doména je vždy vytvářena a delegována pro síť IP adres. Např. pro síť 194.149.177 musí být v DNS vytvořena a delegována reverzní doména 177.149.194.in-addr.arpa. Reverzní doména tedy nijak nesouvisí s klasickou doménou. V jedné reverzní doméně se mohou vyskytovat a často i vyskytují doménová jména z různých domén.

Typy reverzních domén se odvíjejí od rozsahu používané sítě. Uživatel obvykle pro svou síť používá rozsah 256 IP adres – síť třídy C nebo subsíť třídy C. Poskytovatelé pak mohou mít přiděleno 256 adres třídy C tedy síť třídy B. Existují tedy tři varianty rozsahu IP adres a tedy tři varianty reverzních domén:

  1. Je přiděleno 255 adres třídy C (tj. jakoby adresa třídy B, tj. prefix /16). Tato situace není běžná pro běžné uživatele, ale spíše pro poskytovatele Internetu.
  2. Je přidělena jedna nebo více adres třídy C (méně než 255 nebo i více než 255, ale netvořících prefix /16).
  3. Je přidělen interval IP-adres menší než jedna adresa třídy C.
O delegaci reverzních domén pro sítě třídy B a C se nestarají národní sdružení NIC, ale mezinárodní organizace, které přidělují IP adresy. Pro Evropu delegaci reverzních domén zajišťuje organizace RIPE. Na name server RIPE ns.ripe.net jsou delegovány reverzní domény pro sítě IP adres, které RIPE přiděluje poskytovatelům, tedy např.: 193.in-addr.arpa, 194.in-addr.arpa, 195.in-addr.arpa atd. RIPE pak deleguje reverzní domény pro menší intervaly IP adres – sítě třídy C na name servery poskytovatelů nebo koncových uživatelů.

Reverzní doména, podobně jako klasická doména musí být delegována minimálně na dva name servery. Sekundární name server pro reverzní doménu obvykle zajišťují poskytovatelé na svých name serverech

Delegace reverzní domény, podobně jako delegace klasické domény sestává z několika kroků:

  1. Konfigurace primárního name serveru
  2. Konfigurace sekundárního name serveru
  3. Delegace reverzní domény
  4. Registrace reverzní domény
Postup delegace reverzní domény si ukážeme na příkladu.

V příkladu použijeme naši známou společnost Firma s.r.o.

Uživatel Firma s.r.o. používá pro připojení svých počítačů do Internetu síť 194.149.10.0, tedy síť třidy C. Firma s.r.o má vlastní name server na počítači se jménem ns.firma.cz a IP adresou 194.149.10.11. Na uzlu ns.firma.cz je nainstalován OS Unix a BIND 4.9.

Hostmaster společnosti Firma s.r.o musí zajistit delegaci reverzní domény 117.149.194.id-addr.arpa. na name server ns.firma.cz. Sekundární name server pro reverzní doménu bude zajišťovat provider na uzlu ns.provider.net (viz obr. 16.1).

Obr. 16.1 Delegace reverzní domény pro počítač ns.firma.cz


Následují jednotlivé konfigurační soubory, respektive jejich části, kterými je zajištěna požadovaná delegace.

Server ns.firma.cz:

Soubor named.boot:

primary 10.149.194.in-addr.arpa 10.149.194.zone
 

Soubor 10.149.194.zone
@ IN SOA ns.firma.cz hostmaster.firma.cz (
                        1998082402 ; Seriál
                        28800 ; Refresh 8 hours
                        7200 ; Retry 2 hour
                        604800 ; Expire 7 days
                        86400 ) ; Minimum TTL 1 day
          IN NS ns.firma.cz.
          IN NS ns.provider.net.
11        IN PTR ns.firma.cz.

 

Server ns.provider.net:

Soubor named.boot:

secondary 10.149.194.in-addr.arpa 10.149.194.zone 194.149.10.11
 
 

Server ns.ripe.net (autoritativní server pro nadřízenou doménu):

Soubor 149.194.zone:

10           IN NS ns.firma.cz.
             IN NS ns.provider.net.
 

Delegaci domény na fungující name servery musí provést organizace RIPE. O tuto delegaci musí hostmaster požádat hostmastera RIPE pomocí formuláře. Postup s příkladem je uvedený v kapitole 16.1.

Společnost Firma s.r.o má pobočku v Českých Budějovicích. Tato pobočka používá 128 IP-adres, tj. síť 194.149.10.128 – 194.149.10.255. Pobočka v Českých Budějovicích si spravuje svůj vlastní name server se jménem ns.cbu.firma.cz a IP adresou 194.149.10.129. Je tedy vhodné aby reverzní doména pro subsíť 194.149.10/25 byla delegována na name server ns.cbu.firma.cz.

Tento příklad je v praxi poměrně běžný a mi ho využijeme a ukážeme jako ukázku delegace reverzní domény pro subsíť. Nejprve však trochu teorie.

Delegace reverzních domén pro subsítě se nepoužívá od začátku používání DNS. Reverzní domény pro subsítě jsou popsány v RFC-2317 a jsou nazývány “Classless IN-ADDR.ARPA delegace”. Použitá metoda je kompatibilní s mechanismem DNS a nevyžaduje modifikaci používaného software.

Classless IN-ADDR.ARPA delegace řeší nepříjemnou situaci, ke které dříve docházelo. Zákazník, který měl přidělenu subsíť IP adres a měl svůj name server se totiž dostával do situace, kdy klasickou doménu si spravovat sám a reverzní doménu spravoval poskytovatel. Každé přidání nového záznamu věty typu A pak s sebou přinášelo nutnost kontaktovat poskytovatele a požádat jej o přidání věty PTR do reverzní domény.

Ještě se zamysleme nad označením reverzní domény pro subsíť.

Pokud má zákazník přidělenu síť C 194.149.10 má reverzní doménu 10.149.194.in-addr.arpa. Uzel s IP adresou 194.149.10.11 má pak v reverzní doméně označení 11.10.149.194.in-addr.arpa.

Pokud má zákazník subsíť 194.149.10.128 má reverzní doménu 128.10.149.194.in-addr.arpa. Označení reverzní domény pro subsíť je neobvyklé v tom, že obsahuje čtyři čísla oddělená tečkou, podobně jako IP adresa. Uzel s IP adresou 194.149.10.130 má pak v reverzní doméně označení 130.128.10.149.194.in-addr.arpa. Což je ještě neobvyklejší. Jde vlastně o umělou konstrukci, ve které je uplatněný princip vytváření doménového jména. Aby konstrukce byla ještě bizardnější, tak nadřízený name server využije věty typu PTR ukazující na věty typu CNAME, které jsou definovány na name serveru nižší úrovně (viz obr. 16.2).


Obr. 16.2 Classless IN-ADDR.ARPA delegace
 

Registrace reverzní domény

Registraci můžeme provést až v případě, že máme zcela funkční alespoň dva name servery pro příslušné reverzní domény.

Existují zde dva případy:

  1. Registrace reverzní subdomény druhé úrovně.

    2. Providerovi je přidělen blok 255 adres třídy C (jakoby adresa třídy B), pak name server ns.ripe.net obsahuje odkaz (věty typu NS) na tento blok ("adresu třídy B") v name serveru providera. Name server providera pak obsahuje odkaz (věty typu NS) na name servery zákazníků. Name server ns.ripe.net musí v tomto případě být povinně sekundárním name serverem k name serveru providera pro příslušný blok.
  2. Registrace reverzní domény třetí úrovně.

    3. Providerovi je přidělen blok adres menší než 255. Pak name server ns.ripe.net obsahuje věty typu NS odkazující přímo na name server zákazníka. Dále se budeme zabývat pouze tímto druhým případem. První případ je popsán též v RIPE-105.
Registrace reverzních domén se provádí podle RIPE-105. Formulář obsahuje následující položky: 
inetnum:        viz předchozí odstavec
netname:        viz předchozí odstavec
descr:
country:
admin-c:
tech-c:
aut-sys:        Číslo AS
rev-srv:        počítač s autoritativním name serverem pro reverzní doménu
changed:
source:         RIPE
Dále následují věty typu NS, které si přejeme vložit do konfiguračního souboru name serveru ns.ripe.net. Stačí uvést věty pro první síť i v případě, že registrujeme interval sítí.

Příklad: 

        From: dostalek@pvt.cz
        To: RIPE Hostmaster <auto-inaddr@ripe.net>
        Subject: 96 - 111.149.194.in-addr.arpa delegation please
        Please delegate 96 - 111.149.194.in-addr.arpa as specified below.
        Thank you!
        For the PVT Corporation
        Libor Dostalek

        inetnum:   194.149.96.0 - 194.149.111.255
        netname:   PVTNET
        descr:     PVT Czech Internet Provider Network
        country:   CZ
        admin-c:   FD14-RIPE
        tech-c:    LD11-RIPE
        rev-srv:   ns.pvt.net
        rev-srv:   ns1.pvt.net
        changed:   dostalek@pvt.cz 960205
        source:    RIPE

        96.149             IN      NS      ns.pvt.net.
        96.149             IN      NS      ns1.pvt.net.
Odpověď je negativní v případě syntaktické chyby nebo chybně nakonfigurovaného name serveru, protože robot auto-inaddr@ripe.net provádí nejen syntaktickou kontrolu, ale i test DNS zákazníka. V případě kladné odpovědi je odpověď zaslána nejenom vám, ale je předána i správci ns.ripe.net, který ručně provede aktualizaci konfiguračního souboru name serveru ns.ripe.net (vloží zaslané věty typu NS). Po provedení změn vám správce pošle mail. Zatímco odezva od robota je do několika minut, tak správce ns.ripe.net vám odpoví asi do týdne.