Журнальное: “Доменные имена”, РФ, IPv6
Ушёл в печать новый номер журнала “Доменные имена”. Тема, конечно, “Домен РФ”. Я в обращении главного редактора так и написал: тему номера выбрать было не сложно, вариантов по значению для отрасли просто не было (и тут не важно, с плюсом или минусом ставить оценки).
Новый номер планируем начать распространять на “Доменинах” – кому интересна тема, приходите (обложку пока не показываю). Как обычно “Доменные имена” можно найти на других профильных мероприятиях (и в офисе RU-CENTER). Тираж – 10 000. Должно многим хватить.
Теперь развитие.
Вот что касается доменов в Интернете, то сейчас сложилась такая устойчивая тенденция на превращение адресного доменного пространства в “плоский мир”. Главный признак – новые домены верхнего уровня (в дополнение к зонам .com, .net, .biz и т.д, и т.п.).
Журналисты часто пишут, что причина ввода новых доменов, дескать, в недостатке адресов. Но это вообще не так. Свободных адресов в действующей DNS просто огромное количество. Для адресации всех существующих веб-ресурсов хватило бы и доменов внутри .com (но разного уровня). Изначально DNS – иерархическая система, поэтому если даже исчерпать пространство в, условно, .ru, то можно использовать какую-нибудь зону типа .net.ru – и наделать там ещё почти столько же имён, сколько и в верхней .ru.
Реальная причина совсем в другом: просто Интернет – теперь коммерческий инструмент. В коммерческом смысле развивать DNS просто некуда, кроме как в плоский вариант, в котором для каждого крупного бренда – свой домен верхнего уровня. Других путей развития нет, а вариант с “замораживанием” доменного пространства в состоянии “как есть” – он не устраивает инвесторов и разросшуюся бюрократию, управляющую Интернетом административными рычагами. Первые (инвесторы) – хотят увеличить прибыль от использования Интернета. Вторые – продолжить реализовывать свои функции по управлению: ну есть же комитеты по выработке предложений и так далее, они должны работать. Итогом движения этой мощной машины из денежных и административных механизмов обязательно станет плоская DNS, где много доменов верхнего уровня типа .google, .canon и так далее.
Других причин, кроме только что описанных, для появления новых доменов верхнего уровня – просто нет. Все задачи решаются в рамках имеющихся доменов. Но и описанных причин – достаточно.
Недостаток адресов ещё чаще упоминается в отношении IP (если кто не знает, то IP – это протокол, являющийся базовым транспортом данных в логической структуре сети Internet). Сейчас ICANN усиленно предлагает переходить на новую версию протокола IPv6 (вместо IPv4), потому что, дескать, адреса IPv4 заканчиваются (действительно, этих адресов из-за ограничения в 4 байта на адрес – существенно меньше, чем в IPv6). В реальности проблемы с адресами, конечно, возникают и возникали раньше, но с ними научились бороться.
Если глянуть глубже, чем пишут в пресс-релизах, то тут ситуация не менее интересная, чем с развитием доменного пространства. IP-адреса, в качестве уникальных идентификаторов узлов Интернета, можно рассматривать с двух концов.
Конец первый – от, например, веб-сайта (веб – сейчас самый важный для стандартного пользователя сервис) к пользователю. В современном Интернете ситуация такова, что пользователь на веб-сайт приходит с какого-нибудь специального “внешнего” IP-адреса интернет-провайдера. При этом в целях экономии адресов большое число пользователей сидят за одним внешним адресом (это позволяют технологии NAT). Веб-сайт может целые города интернет-пользователей видеть как единый узел сети с единственным IP-адресом.
Конец второй – в другую сторону, от пользователя к веб-сайту. В идеальной сети и у пользователя должен был бы быть один уникальный “анонсированный” во вне ( в составе подсети) IP-адрес, и у веб-сайта – тоже один (ну, в простом случае) уникальный IP-адрес. В реальном современно Интернете куча сайтов сидят на одном IP, на виртуальных хостингах – тысячи сайтов разделяют единственный адрес. И ничего – особенности HTTP (протокола, по которому работает веб) позволяют пользователям подключаться к нужным сайтам по имени хоста (по домену, условно говоря).
То есть, адреса экономятся и не видно пока пределов этой экономии, и многочисленные пользователи легко, в прозрачном режиме работают с миллионами сайтов. Всё, в общем-то, не так плохо, несмотря на некоторые трудности с маршрутизацией и на большое количество так называемых анонсов сетей (сейчас не стану пояснять, что это такое – не важно). Зачем же нам IPv6? Ну вот точно не из-за мнимой нехватки адресов.
У IPv6 есть радикальное отличие от IPv4 – новый подход к маршрутизации. Тут можно сделать данный IP-адрес – “мобильным”: он сможет перемещаться между сегментами Сети, сохраняя свою уникальность и связь с неким “домашним” центром, проводящим авторизацию при подключении к Интернету. Что напоминает такая схема? Правильно – роуминг в GSM. Преимущества? Они в возможности реализовать строгую и устойчивую идентификацию пользователя (у него один и тот же IP, где бы и каким образом он не подключался к Сети). Вот это важно. Приплюсуйте сюда новые политики распределения блоков адресов и некоторые криптографические процедуры – и мы оказываемся в совершенно новом Интернете. Впрочем, об этом я писал ранее.
Адрес записки: https://dxdt.ru/2010/03/21/3021/
Похожие записки:
- Обновление темы dxdt.ru
- Экспериментальный сервер TLS 1.3: обновление
- Браузеры на dxdt.ru
- Ретроспектива заметок: ключ по фотографии
- Быстрые, но "нечестные" подписи в DNSSEC
- Статья о DNSSEC
- S/MIME-сертификаты ТЦИ
- Интернет-протокол "дымовой завесы"
- Reuters о сети разведывательных спутников SpaceX
- DNSSEC и DoS-атаки
- Смартфон-шпион: восемь лет спустя
Комментарии читателей блога: 13
1 <t> // 21st March 2010, 22:57 // Читатель Zui написал:
NAT это дорого, очень дорого (для ISP). Но пока что дешевле чем тотальный переход на IPv6. Как только цены сравняются, IPv4 сразу коллапсирует.
2 <t> // 22nd March 2010, 03:13 // Читатель Igor написал:
Александр, вообще-то у технологии трансляции (NAT) есть ограничение. Это кол-во одновременно открытых портов от одного внешнего адресадля (TCP и UDP).
То есть, 64k портов TCP за вычетом первой тысячи) и такое же количество для UDP.
Рассматривая граничные условия, за одним адресом в каждый момент времени может максимум находится 64k-1k=63k пользователей с установленным TCP соединением, и столько же — для UDP (неустановленного).
Это если не брать в расчет экзотические протоколы (GRE и т.п.).
3 <t> // 24th March 2010, 06:22 // Читатель Vladimir Dyuzhev написал:
> .cannon
.canon таки
4 <t> // 24th March 2010, 06:30 // Читатель Vladimir Dyuzhev написал:
> NAT это дорого, очень дорого (для ISP).
чем? o_O
> То есть, 64k портов TCP за вычетом первой тысячи)
первые 1024 отбрасываются только для юникс-боксов. да и то – NAT на уровне ядра пашет, какое ему дело до разделения root/userland? так что честные 65К.
на самом деле, не особо много — учитывая, что браузеры сразу по много коннекшенов открывают. keepalive тоже проблематично держать — надо бы коннекшн закрывать как можно быстрее…
только вот кажется мне, что именно для НАТ можно пропатчить внутренности, чтобы с одного порта можно было держать сразу кучу соединений — различая входящие пакеты по адресу “той стороны”… тогда число соединений ограничено только возможностями железа.
5 <t> // 24th March 2010, 09:00 // Читатель ffedoroff написал:
1) А разве нелья за одним NAT поставить еще один NAT ?
2) Действительно, на одном IP адресе помещается практически неограниченное кол-во сайтов. Но если сайт требует HTTPS доступ, то он уже требует отдельного адреса на 443 порту, иначе прийдется указывать порт в самом урле, что навряд ли понравится пользователю. Поэтому для моих сайтов как правило требуется отдельный адрес.
6 <t> // 24th March 2010, 14:53 // Александр Венедюхин:
Да, поправил, спасибо. Как-то я не дружу с этой техникой canon.
7 <t> // 28th March 2010, 19:55 // Читатель Алексей написал:
И опять же: IP-адреса – это НЕ идентификаторы! Это именно адреса, являющиеся записью маршрута для пакетов.
Аналогия с роумингом (который работает не только в GSM-сетях) неуместна. Как сота, имея “на руках” только номер абонента, определит, куда нужно посылать сигнал вызова – в Москву или в Урюпинск? А никак, в телефонном номере такая информация отсутствует. Номер является лишь идентификатором, а маршрут задается каким-то иным способом. Если использовать аналогии, то телефонный номер корректнее сравнивать с DNS, а не с IP.
В принципе, уникальные IP-адреса можно использовать для идентификации: номер сети указывает на некоего регистратора (например, производителя оборудования), а номер машины – на конкретное устройство (или конкретного человека). (Вариант с тотальным переписыванием таблиц маршрутизации не рассматривается по понятным причинам). При обращении к уникальному IP пакет пересылается регистратору. А вот дальше идея рушится: для связи регистратора с устройством это самое устройство должно иметь нормальный IP-адрес в той сети, к которой оно в данный момент подключено, в противном случае пакеты не дойдут. Плюс добавляется проблема “встречных перевозок” – возможно, что для связи с компьютером, находящимся в соседней комнате, придется гонять ВСЕ пакеты на другую сторону Земли и обратно. И стоило ли тогда городить огород с этими IP-идентификаторами?
Если нужно обозначиь кого-либо или что-либо в сети, то эта проблема уже решена. E-mail, номер ICQ, Jabber ID – все это уникальные идентификаторы пользователя. Которые работают и без IPv6.
8 <t> // 30th March 2010, 18:58 // Александр Венедюхин:
Какой именно номер-то? Откуда у Вас вообще вылезли эти номера?
И роуминг в GSM таки работает, верно? Сота, кстати, не должна отправлять трафик “в Урупинск”.
Ничего не рушится. В IPv6 совсем другая маршрутизация просто. Для определённого типа адресов маршруты выстраиваются до нужной точки, в которой сейчас данное устройство подключено.
Они, может, и уникальные, но вот только без привязки к сетевой инфраструктуре не пользователя идентифицируют, а сами себя, в лучшем случае. За уникальным адресом e-mail может запросто сидеть бот или “группа товарищей” и так далее. С получением реквизитов доступа – ситуация иная: там подразумевается некая процедура идентификации (типа, попросят предъявить паспорт).
9 <t> // 31st March 2010, 22:14 // Читатель Алексей написал:
Телефонный номер. Который вылез из Вашего комментария к предыдущей статье на эту тему:
“Тем же” остается только телефонный номер, а вот маршруты разные. И маршрут задается НЕ номером телефона, а как-то иначе.
Для определния маршрута IP-пакета используется записанный в нем IP-адрес получателя (и отправителя). Других данных маршрутизации в пакете нет. Представим, что используются постоянные адреса, закрепленные за мобильными устройствами. Эти адреса не имеют никакого отношения к топологии сетей. Устройства с “соседними” адресами могут оказаться в разных частях света. Устройства могут менять сети (меняются маршруты пакетов). Существуют миллиарды (а если назначать IP каждой рубашке, то триллионы) таких устройств. И каким образом маршрутизатор по IP-адресу получателя определит, куда слать пакет?
При использовании иерархических адресов все просто: маршрутизатор хранит таблицу, в которой каждому диапазону адресов (префиксу) сопоставлен соседний узел сети, которому нужно передавать пакеты. Маршрутизатор сверяет адрес пакета с таблицей и определяет, кому нужно этот пакет отфутболить. Если подходящего префикса в таблице нет, то пакет передается узлу по умолчанию. А как быть с “адресами”-идентификаторами?
Вообще, откуда взялась идея таких “адресов”? Можно ссылку?
Никто не мешает создать официального регистратора, который будет раздавать идентификаторы по паспортам и осуществлять аутентификацию пользователей, нечто вроде OpenID.
P. S. Не по теме. Нельзя ли в форме ввода сделать кнопки для форматирования текста? Или хотя бы написать, что, мол, можно использовать такие-то и такие-то теги?
10 <t> // 1st April 2010, 13:21 // Александр Венедюхин:
Ну там речь-то о другом совсем.
И что? Звонки же продолжают доставляться, верно? И как раз там используется уникальный номер, привязанный к SIM-карте. Кстати, и насчёт того, что обычный телефонный номер “не задёт маршрута”, Вы тоже не правы – задаёт; ещё с самых первых автоматических АТС определяет “маршрут” телефонный номер. Например, по первым цифрам можно было назвать “домашнюю АТС” и так далее: телефония уж так устроена.
Вы наступаете на известные грабли: если у вас миллиарды адресов для каждой рубашки, то с хранением подобных таблиц “для каждого диапазона” – тоже возникают известные трудности. Не забывайте, что речь об одноранговой сети, так что – какая ещё иерархическая адресация? Проще говоря, альтернативу Вы выбрали не верную.
Ну всё, началось. Ссылку. Что тут сказать? Начинайте, например, прямо с соответствующих RFC. Хоть бы с исходного RFC 3775: http://tools.ietf.org/html/rfc3775
11 <t> // 1st April 2010, 13:23 // Александр Венедюхин:
Зачем создавать, когда уже есть интернет-провайдеры и операторы связи?
12 <t> // 1st April 2010, 20:26 // Читатель Алексей написал:
Спасибо за ссылку. В документе описываются механизмы, которые можно, с оговорками, использовать (а можно и не использовать) для идентификации мобильных устройств. Механизмы работают со старой доброй IP-маршрутизацией, радикально новых методов не видно (все это могло бы работать и поверх IPv4). Картина, в целом, примерно такая (секция 4.1. Basic Operation):
Каждое мобильное устройство имееет более-менее постоянный домашний адрес (home address). Пока устройство находится в домашней сети, домашний адрес является реальным IP-адресом устройства. Если же устройство подключилось к чужой сети, то ему назначается хотя бы один текущий адрес (care-of address) в этой сети, который устройство сообщает “домой”. Когда некий корреспондент связывается с мобильным устройством, это можно сделать двумя способами:
1) (bidirectional tunneling) – корреспондент отправляет пакеты на домашний адрес, домашняя сеть пересылает пакеты на текущий адрес устройства; ответные пакеты идут тем же путем в обратном направлении;
2) (route optimization) – устройство сообщает свой текущий адрес корреспонденту, и тот связывается с устройством “напрямую”; в качестве адреса получателя указывается текущий адрес, домашний же указывается в дополнительном заголовке, “на всякий случай”.
Нигде не сказано, что устройство не может сменить домашнюю сеть (а значит и домашний адрес). Нигде не сказано, что домашний адрес должен быть постоянным даже в пределах сети. Наоборот, в последнем абзаце секции 4.1 говорится:
Т. е. полная анархия, а не идентификация :)
К тому же, когда устройство само желает с кем-нибудь связаться, оно может использовать в качестве обратного свой текущий адрес, домашний же упоминать необязательно. В секции 11.3.1. Sending Packets While Away from Home так прямо и говорится:
В принципе, можно обязать “анонимов” называть свой домашний адрес и проверять его (например, высылать сеансовый ключ “на дом”, а шированные данные получать у “анонима”), но все равно остается проблема с непостоянным домашним адресом. Потому что на самом деле IP-адреса используются для маршрутизации. Для идентификации нужно что-то другое.
13 <t> // 1st April 2010, 23:20 // Александр Венедюхин:
Невнимательно Вы читаете, однако. Сменить-то и паспорт можно.