Boris Morozov писал(а):таких хитростей. Я как практик спрашиваю. Ведь насколько я понимаю, речь идет о небольшом числе хостов, которые должны иметь разные адреса. Тогда почему бы не использовать для них короткие имена.
Тем более, что разные DNS сервера спасают положение частично, поскольку тогда при переходе из внутреннего во внешний и наоборот, должен меняться адрес DNS сервера. Сразу вопрос как? DHCP?
Насколько я понял речь идет о пользователях с нотбуками, которые бегают туда-сюда. Я бы лично решил это короткими именами, со сменой имени домена через DHCP.
Если машины не бегают, тогда почему нельзя сделать просто внутренний поддомен для машин внутри сети.
А если речь идет о навороченном DNS, который по разному отвечает на разные интерфейсы, то значит он должен быть на машине к которой подключены эти интерфейсы. Или это должна быть какая-то система правил и скриптов, по которым должен отвечать этот DNS в зависимости от чего: IP? имени клиентской машины? имени пользователя?
У-у-у, как всё запущено...
Придётся разжёвывать. Вы вообще представляете, как строится защита корпоративных сетей? Не физически - там всё более менее ясно, а логически?
Тогда задачка - дано: компания ABC, имеющая массу внутренних серверов, которые надо выставлять наружу. Но есть также другая масса
серверов, которые дложны быть видны
только внутри.
Наличие корпоративного стандарта на имена/домен - соответственно домен
должен быть один и тот же снаружи и внутри периметра (т.е., сервер www должен быть виден как
www.abc.com и снаружи и изнутри). Периметр реализован на МЭ + прокси (раз уж мы тут - BorderManager
).
Изнутри должен работать резолвинг
только внутренних адресов + контролируемый форвард запросов наружу (для прямого резолвинга внешних имён Инета для специальных задач, напр. - Lotus Domino как SMTP сервер).
Посему, по пунктам:
1)
речь идет о небольшом числе хостов, которые должны иметь разные адреса. Тогда почему бы не использовать для них короткие имена.
Неверно. Во-первых, число может быть и большим (несколько десятков/сотен). Пример - name-based virtual servers. Во-вторых, как Вы себе представляете разрешение
короткого имени в глобальной структуре Инета? Ещё раз повторяю - в глобальном масштабе работоспособен (и стандартизован) только метод разрешения через FQDN.
2)
разные DNS сервера спасают положение частично, поскольку тогда при переходе из внутреннего во внешний и наоборот, должен меняться адрес DNS сервера.
Обратно неверно.
Никакого перехода нет, поскольку внутренние пользователь пользуют
только внутренние DNS-сервера, а внешние -
только внешние. Прокси пользует оба...
3)
Насколько я понял речь идет о пользователях с нотбуками, которые бегают туда-сюда. Я бы лично решил это короткими именами, со сменой имени домена через DHCP. Если машины не бегают, тогда почему нельзя сделать просто внутренний поддомен для машин внутри сети.
Нет, никаких буков и никто никуда не бегает. Просто есть сеть, разделённая периметром на trusted и untrusted. Есть сервера, которые должны быть видны снаружи и изнутри по одним именем. Натурально, имеем 2 зоны с одним именем - одна обслуживает trusted-сеть (и в ней
вся информация о компании), другая обслуживает untrusted-сеть (а вот в ней - информация
только о серверах, видимых снаружи). Соответственно - либо DNS-сервер работает на МЭ (и может обслуживать на разных интерфейсах разные файлы зон). Но Нетварь это не умеет. Либо - два DNS-сервера (внутренний и наружный) + форвардинг изнутри наружу (DNS-proxy).
Это может быть реализовано в "псевдо"-"сплит" режиме (как описано у Крейга), но мы сразу имеем массу ограничений на ту зону, которая обслуживается файлом hosts - невозможность использования записей, отличных от "A" (NS, MX, CNAME и т.п.) + неработоспособность реверс-резолва (особенно, при наличии алиасов). Для компании это неприемлемо.
Надеюсь, теперь прояснение наступило...