1. Сервер. Необходимый минимум
Минимальная настройка это всего две команды. Первая определяет пул из
которого будут "черпаться" адреса, вторая указывает на каком
интерфейсе слушать. Можно запустить несколько сервисов на нескольких
интерфейсах
2. Сервер. Дополнительно.
Следующие команды позволяют настраивать различные параметры
передаваемые клиентам. К большинству из них можно добавить ключевое
слово interface с указанием интерфейса PIX/ASA, что позволит иметь
разные настройки для разных интерфейсов.
DNS (англ. Domain Name System — система доменных имён) — компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене (SRV-запись).
Распределённая база данных DNS поддерживается с помощью иерархии DNS-серверов, взаимодействующих по определённому протоколу.
Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу (с административной точки зрения — другой организации или человеку), что позволяет возложить ответственность за актуальность информации на серверы различных организаций (людей), отвечающих только за «свою» часть доменного имени.
Начиная с 2010 года, в систему DNS внедряются средства проверки целостности передаваемых данных, называемые DNS Security Extensions (DNSSEC). Передаваемые данные не шифруются, но их достоверность проверяется криптографическими способами.
Опрос серверов:
Основанием данной иерархической структуре имен т.н. "корень дерева" является точка(".") . Корень един для всех доменов. Как правило, при вводе URL, точка в конце адреса не ставится, однако она используется в описаниях DNS. Здесь точку ставить необходимо. Ниже корня лежат домены первого уровня(зоны). Их немного — com, net, org, mil, biz, info, gov (есть еще несколько) и домены государств, например, ru. Еще ниже находятся домены второго уровня, например, bijid.ru. Еще ниже — третьего и т.д. Уровни разделяются точками.
DNS сервер не изолирован. Каждому DNS-серверу известны адреса корневых DNS-серверов. При запросе, DNS-сервер либо сам знает ответ, либо знает у кого спросить. Если проследить прохождение запроса, картина складывается довольно интересно. При настройке пользователю указывается два DNS сервера(первичный и вторичный). Адреса dns серверов указывается провайдером. Пользователь отправляет запрос первичному DNS серверу. Сервер, в свою очередь, получив запрос, либо отвечает, если ответ ему известен, либо отправляет запрос на вышестоящий сервер. Если вышестоящий сервер не известен, запрос отправляется на корневой DNS сервер. Так выглядит восходящая иерархия. Далее запрос начинает спускаться вниз от корневого сервера к серверу первого уровня, тот — серверу второго уровня и т.д
Понятие зоны. Типы DNS серверов.
Зона — часть дерева доменных имен (включая ресурсные записи), размещаемая как единое целое на некотором сервере доменных имен (DNS-сервере, см. ниже), а чаще — одновременно на нескольких серверах (см. ниже). Целью выделения части дерева в отдельную зону является передача ответственности (см. ниже) за соответствующий домен другому лицу или организации. Это называется делегированием (см. ниже). Как связная часть дерева, зона внутри тоже представляет собой дерево. Если рассматривать пространство имен DNS как структуру из зон, а не отдельных узлов/имен, тоже получается дерево; оправданно говорить о родительских и дочерних зонах, о старших и подчиненных. На практике, большинство зон 0-го и 1-го уровня ('.', ru, com, …) состоят из единственного узла, которому непосредственно подчиняются дочерние зоны. В больших корпоративных доменах (2-го и более уровней) иногда встречается образование дополнительных подчиненных уровней без выделения их в дочерние зоны.
Master-сервер (primary, первичный) доменных имен является ответственным (authoritative) за информацию о зоне в том смысле, что читает описание зоны с локального диска компьютера, на котором он функционирует и отвечает в соответствии с этим описанием на запросы resolver-ов. Описание зоны master-сервера является первичным, т.к. его создает вручную администратор зоны. Соответственно, вносить изменения в описание зоны может только администратор данного сервера. Все остальные серверы только копируют информацию с master-сервера. Вообще говоря, такое определение несколько устарело, и позже будет ясно почему. Но при настройках реальных серверов мы будем использовать именно это определение.
Для зоны можно определить только один master-сервер, т.к. первоисточник может и должен быть только один.
Slave-сервер (secondary, вторичный, дублирующий) также является ответственным (authoritative) за зону. Его основное назначение заключается в том, чтобы подстраховать работу основного сервера доменных имен (master server), ответственного за зону, на случай его выхода из строя, а также для того, чтобы разгрузить основной сервер, приняв часть запросов на себя. Так, например, из 13 серверов, которые обслуживают корневую зону, 12 являются slave-серверами.
кэширующие (cache) серверы. Этот тип серверов отличается от тех, что мы обсудили раньше, тем, что сервер данного типа не является авторитативным для какой-либо зоны.
Серверы данного вида используют для организации централизованного кеширования соответствий доменных имен и IP-адресов. Идея организации кэширующего сервера состоит в том, чтобы на искать соответствие доменного имени и IP-адреса в сети, а накапливать их в своем локальном кэше и обслуживать от туда запросы relover-ов.
"невидимых" серверах (stealth, см. RFC-1996). Суть такого сервера в том, что он не упоминается в описании зоны. Таким образом, его никто не видит, т.к. в рамках DNS-обмена данными информацию о нем получить нельзя ни путем простых запросов, ни путем копирования описания зоны.
сервера, которые обслуживают корневую зону (Root servers). Их место в получении отклика на запрос к системе доменных имен ключевое. Именно к одному из корневых серверов обращается локальный сервер доменных имен, если не находит в зоне своей ответственности или в своем кэше соответствия между доменным именем и IP-адресом.
Понятие NAT. Основные положения технологии ретрансляции адресов.
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитныхпакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.
Принципы трансляции сетевых адресов
Трансляция
NAT, определенная в RFC 3022, позволяет узлу,
который не имеет
действительного,
зарегистрированного глобально уникального
IP-адреса, осуществлять
связь с другими
узлами через Интернет. Эти узлы могут
использовать частные адреса
или
адреса, назначенные другими организациями.
В любом из этих случаев
трансляция
NAT позволяет продолжать использование
этих адресов, не готовых для
Интернета,
и осуществлять связь с узлами в
Интернете.
Эта цель достигается
трансляцией NAT путем использования
действительных
зарегистрированных
IP - адресов для представления данного
частного адреса всем
остальным узлам
Интернета. Функции NAT заменяет частные
IP-адреса открытыми
зарегистрированными
IP-адерсами в каждом пакете протокола
IP, как показано
на рис. 16.2.
Обратите
внимание на то, что, выполняя трансляцию
NAT, маршрутизатор изменяет
IP-адрес
отправителя в тот момент, когда пакет
покидает организацию.
Маршрутизатор,
выполняющий NAT, также изменяет адрес
получателя каждого
пакета, который
возвращается назад в частную сеть (на
рис. 16.2. это зарегистрированная
сеть
200.1.1.0). Функция NAT, сконфигурированная
на маршрутизаторе с надписью NAT,
выполняет
трансляцию адресов. Программное
обеспечение Cisco IOS поддерживает
несколько
разновидностей трансляции NAT. Далее в
настоящей главе описываются
принципы,
лежащие в основе этих разновидностей
трансляции. В следующих
разделах
описывается конфигурирование, связанное
с каждой опцией.
Основы безопасности сетей. Списки доступа.
Список доступа
Список доступа (access list) — это список условий для управления доступом. Списки управляют доступом к или из сетевого сегмента. Они способны фильтровать пакеты и формировать политики безопасности. При согласованной комбинации списков доступа сетевой администратор получает мощное средство реализации практически любой политики, которую можно вообразить.
Существует несколько важных правил, используемых во время сравнения пакета со списком доступа:
• Сравнение выполняется последовательно со всеми строками списка, т.е. начинается со строки 1, затем пакет сравнивается со строкой 2, затем со строкой 3 и т.д.
• Сравнение выполняется до первого совпадения. Если пакет совпадает с условием в одной из строк списка доступа, над ним выполняется указанное в строке действие, а дальнейшее сравнение
прекращается.
• Существует неявное условие "deny" в конце каждого списка доступа — если пакет не совпал со всеми предыдущими строками, этот пакет отбрасывается.