Журнальное: “Доменные имена”, РФ, IPv6

Ушёл в печать новый номер журнала “Доменные имена”. Тема, конечно, “Домен РФ”. Я в обращении главного редактора так и написал: тему номера выбрать было не сложно, вариантов по значению для отрасли просто не было (и тут не важно, с плюсом или минусом ставить оценки).

Новый номер планируем начать распространять на “Доменинах” – кому интересна тема, приходите (обложку пока не показываю). Как обычно “Доменные имена” можно найти на других профильных мероприятиях (и в офисе RU-CENTER). Тираж – 10 000. Должно многим хватить.

Теперь развитие.

Вот что касается доменов в Интернете, то сейчас сложилась такая устойчивая тенденция на превращение адресного доменного пространства в “плоский мир”. Главный признак – новые домены верхнего уровня (в дополнение к зонам .com, .net, .biz и т.д, и т.п.).

Журналисты часто пишут, что причина ввода новых доменов, дескать, в недостатке адресов. Но это вообще не так. Свободных адресов в действующей DNS просто огромное количество. Для адресации всех существующих веб-ресурсов хватило бы и доменов внутри .com (но разного уровня). Изначально DNS – иерархическая система, поэтому если даже исчерпать пространство в, условно, .ru, то можно использовать какую-нибудь зону типа .net.ru – и наделать там ещё почти столько же имён, сколько и в верхней .ru.

Реальная причина совсем в другом: просто Интернет – теперь коммерческий инструмент. В коммерческом смысле развивать DNS просто некуда, кроме как в плоский вариант, в котором для каждого крупного бренда – свой домен верхнего уровня. Других путей развития нет, а вариант с “замораживанием” доменного пространства в состоянии “как есть” – он не устраивает инвесторов и разросшуюся бюрократию, управляющую Интернетом административными рычагами. Первые (инвесторы) – хотят увеличить прибыль от использования Интернета. Вторые – продолжить реализовывать свои функции по управлению: ну есть же комитеты по выработке предложений и так далее, они должны работать. Итогом движения этой мощной машины из денежных и административных механизмов обязательно станет плоская DNS, где много доменов верхнего уровня типа .google, .canon и так далее.

Других причин, кроме только что описанных, для появления новых доменов верхнего уровня – просто нет. Все задачи решаются в рамках имеющихся доменов. Но и описанных причин – достаточно.

Недостаток адресов ещё чаще упоминается в отношении IP (если кто не знает, то IP – это протокол, являющийся базовым транспортом данных в логической структуре сети Internet). Сейчас ICANN усиленно предлагает переходить на новую версию протокола IPv6 (вместо IPv4), потому что, дескать, адреса IPv4 заканчиваются (действительно, этих адресов из-за ограничения в 4 байта на адрес – существенно меньше, чем в IPv6). В реальности проблемы с адресами, конечно, возникают и возникали раньше, но с ними научились бороться.

Если глянуть глубже, чем пишут в пресс-релизах, то тут ситуация не менее интересная, чем с развитием доменного пространства. IP-адреса, в качестве уникальных идентификаторов узлов Интернета, можно рассматривать с двух концов.

Конец первый – от, например, веб-сайта (веб – сейчас самый важный для стандартного пользователя сервис) к пользователю. В современном Интернете ситуация такова, что пользователь на веб-сайт приходит с какого-нибудь специального “внешнего” IP-адреса интернет-провайдера. При этом в целях экономии адресов большое число пользователей сидят за одним внешним адресом (это позволяют технологии NAT). Веб-сайт может целые города интернет-пользователей видеть как единый узел сети с единственным IP-адресом.

Конец второй – в другую сторону, от пользователя к веб-сайту. В идеальной сети и у пользователя должен был бы быть один уникальный “анонсированный” во вне ( в составе подсети) IP-адрес, и у веб-сайта – тоже один (ну, в простом случае) уникальный IP-адрес. В реальном современно Интернете куча сайтов сидят на одном IP, на виртуальных хостингах – тысячи сайтов разделяют единственный адрес. И ничего – особенности HTTP (протокола, по которому работает веб) позволяют пользователям подключаться к нужным сайтам по имени хоста (по домену, условно говоря).

То есть, адреса экономятся и не видно пока пределов этой экономии, и многочисленные пользователи легко, в прозрачном режиме работают с миллионами сайтов. Всё, в общем-то, не так плохо, несмотря на некоторые трудности с маршрутизацией и на большое количество так называемых анонсов сетей (сейчас не стану пояснять, что это такое – не важно). Зачем же нам IPv6? Ну вот точно не из-за мнимой нехватки адресов.

У IPv6 есть радикальное отличие от IPv4 – новый подход к маршрутизации. Тут можно сделать данный IP-адрес – “мобильным”: он сможет перемещаться между сегментами Сети, сохраняя свою уникальность и связь с неким “домашним” центром, проводящим авторизацию при подключении к Интернету. Что напоминает такая схема? Правильно – роуминг в GSM. Преимущества? Они в возможности реализовать строгую и устойчивую идентификацию пользователя (у него один и тот же IP, где бы и каким образом он не подключался к Сети). Вот это важно. Приплюсуйте сюда новые политики распределения блоков адресов и некоторые криптографические процедуры – и мы оказываемся в совершенно новом Интернете. Впрочем, об этом я писал ранее.

Адрес записки: https://dxdt.ru/2010/03/21/3021/

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 13

  • 1 <t> // 21st March 2010, 22:57 // Читатель Zui написал:

    NAT это дорого, очень дорого (для ISP). Но пока что дешевле чем тотальный переход на IPv6. Как только цены сравняются, IPv4 сразу коллапсирует.

  • 2 <t> // 22nd March 2010, 03:13 // Читатель Igor написал:

    Александр, вообще-то у технологии трансляции (NAT) есть ограничение. Это кол-во одновременно открытых портов от одного внешнего адресадля (TCP и UDP).
    То есть, 64k портов TCP за вычетом первой тысячи) и такое же количество для UDP.
    Рассматривая граничные условия, за одним адресом в каждый момент времени может максимум находится 64k-1k=63k пользователей с установленным TCP соединением, и столько же — для UDP (неустановленного).
    Это если не брать в расчет экзотические протоколы (GRE и т.п.).

  • 3 <t> // 24th March 2010, 06:22 // Читатель Vladimir Dyuzhev написал:

    > .cannon

    .canon таки

  • 4 <t> // 24th March 2010, 06:30 // Читатель Vladimir Dyuzhev написал:

    > NAT это дорого, очень дорого (для ISP).

    чем? o_O

    > То есть, 64k портов TCP за вычетом первой тысячи)

    первые 1024 отбрасываются только для юникс-боксов. да и то – NAT на уровне ядра пашет, какое ему дело до разделения root/userland? так что честные 65К.

    на самом деле, не особо много — учитывая, что браузеры сразу по много коннекшенов открывают. keepalive тоже проблематично держать — надо бы коннекшн закрывать как можно быстрее…

    только вот кажется мне, что именно для НАТ можно пропатчить внутренности, чтобы с одного порта можно было держать сразу кучу соединений — различая входящие пакеты по адресу “той стороны”… тогда число соединений ограничено только возможностями железа.

  • 5 <t> // 24th March 2010, 09:00 // Читатель ffedoroff написал:

    1) А разве нелья за одним NAT поставить еще один NAT ?

    2) Действительно, на одном IP адресе помещается практически неограниченное кол-во сайтов. Но если сайт требует HTTPS доступ, то он уже требует отдельного адреса на 443 порту, иначе прийдется указывать порт в самом урле, что навряд ли понравится пользователю. Поэтому для моих сайтов как правило требуется отдельный адрес.

  • 6 <t> // 24th March 2010, 14:53 // Александр Венедюхин:

    .canon таки

    Да, поправил, спасибо. Как-то я не дружу с этой техникой canon.

  • 7 <t> // 28th March 2010, 19:55 // Читатель Алексей написал:

    И опять же: IP-адреса – это НЕ идентификаторы! Это именно адреса, являющиеся записью маршрута для пакетов.

    Аналогия с роумингом (который работает не только в GSM-сетях) неуместна. Как сота, имея “на руках” только номер абонента, определит, куда нужно посылать сигнал вызова – в Москву или в Урюпинск? А никак, в телефонном номере такая информация отсутствует. Номер является лишь идентификатором, а маршрут задается каким-то иным способом. Если использовать аналогии, то телефонный номер корректнее сравнивать с DNS, а не с IP.

    В принципе, уникальные IP-адреса можно использовать для идентификации: номер сети указывает на некоего регистратора (например, производителя оборудования), а номер машины – на конкретное устройство (или конкретного человека). (Вариант с тотальным переписыванием таблиц маршрутизации не рассматривается по понятным причинам). При обращении к уникальному IP пакет пересылается регистратору. А вот дальше идея рушится: для связи регистратора с устройством это самое устройство должно иметь нормальный IP-адрес в той сети, к которой оно в данный момент подключено, в противном случае пакеты не дойдут. Плюс добавляется проблема “встречных перевозок” – возможно, что для связи с компьютером, находящимся в соседней комнате, придется гонять ВСЕ пакеты на другую сторону Земли и обратно. И стоило ли тогда городить огород с этими IP-идентификаторами?

    Если нужно обозначиь кого-либо или что-либо в сети, то эта проблема уже решена. E-mail, номер ICQ, Jabber ID – все это уникальные идентификаторы пользователя. Которые работают и без IPv6.

  • 8 <t> // 30th March 2010, 18:58 // Александр Венедюхин:

    Аналогия с роумингом (который работает не только в GSM-сетях) неуместна. Как сота, имея “на руках” только номер абонента

    Какой именно номер-то? Откуда у Вас вообще вылезли эти номера?

    И роуминг в GSM таки работает, верно? Сота, кстати, не должна отправлять трафик “в Урупинск”.

    А вот дальше идея рушится: для связи регистратора с устройством это самое устройство должно иметь нормальный IP-адрес в той сети

    Ничего не рушится. В IPv6 совсем другая маршрутизация просто. Для определённого типа адресов маршруты выстраиваются до нужной точки, в которой сейчас данное устройство подключено.

    E-mail, номер ICQ, Jabber ID – все это уникальные идентификаторы пользователя.

    Они, может, и уникальные, но вот только без привязки к сетевой инфраструктуре не пользователя идентифицируют, а сами себя, в лучшем случае. За уникальным адресом e-mail может запросто сидеть бот или “группа товарищей” и так далее. С получением реквизитов доступа – ситуация иная: там подразумевается некая процедура идентификации (типа, попросят предъявить паспорт).

  • 9 <t> // 31st March 2010, 22:14 // Читатель Алексей написал:

    Какой именно номер-то? Откуда у Вас вообще вылезли эти номера?

    Телефонный номер. Который вылез из Вашего комментария к предыдущей статье на эту тему:

    ?с тем же номером? можно выходить в сеть и из Москвы, и из Урюпинска

    “Тем же” остается только телефонный номер, а вот маршруты разные. И маршрут задается НЕ номером телефона, а как-то иначе.

    Для определния маршрута IP-пакета используется записанный в нем IP-адрес получателя (и отправителя). Других данных маршрутизации в пакете нет. Представим, что используются постоянные адреса, закрепленные за мобильными устройствами. Эти адреса не имеют никакого отношения к топологии сетей. Устройства с “соседними” адресами могут оказаться в разных частях света. Устройства могут менять сети (меняются маршруты пакетов). Существуют миллиарды (а если назначать IP каждой рубашке, то триллионы) таких устройств. И каким образом маршрутизатор по IP-адресу получателя определит, куда слать пакет?

    При использовании иерархических адресов все просто: маршрутизатор хранит таблицу, в которой каждому диапазону адресов (префиксу) сопоставлен соседний узел сети, которому нужно передавать пакеты. Маршрутизатор сверяет адрес пакета с таблицей и определяет, кому нужно этот пакет отфутболить. Если подходящего префикса в таблице нет, то пакет передается узлу по умолчанию. А как быть с “адресами”-идентификаторами?

    Вообще, откуда взялась идея таких “адресов”? Можно ссылку?

    За уникальным адресом e-mail может запросто сидеть бот или ?группа товарищей? и так далее. С получением реквизитов доступа ? ситуация иная: там подразумевается некая процедура идентификации (типа, попросят предъявить паспорт).

    Никто не мешает создать официального регистратора, который будет раздавать идентификаторы по паспортам и осуществлять аутентификацию пользователей, нечто вроде OpenID.

    P. S. Не по теме. Нельзя ли в форме ввода сделать кнопки для форматирования текста? Или хотя бы написать, что, мол, можно использовать такие-то и такие-то теги?

  • 10 <t> // 1st April 2010, 13:21 // Александр Венедюхин:

    Телефонный номер. Который вылез из Вашего комментария к предыдущей статье на эту тему:

    Ну там речь-то о другом совсем.

    И маршрут задается НЕ номером телефона, а как-то иначе.

    И что? Звонки же продолжают доставляться, верно? И как раз там используется уникальный номер, привязанный к SIM-карте. Кстати, и насчёт того, что обычный телефонный номер “не задёт маршрута”, Вы тоже не правы – задаёт; ещё с самых первых автоматических АТС определяет “маршрут” телефонный номер. Например, по первым цифрам можно было назвать “домашнюю АТС” и так далее: телефония уж так устроена.

    При использовании иерархических адресов все просто: маршрутизатор хранит таблицу, в которой каждому диапазону адресов

    Вы наступаете на известные грабли: если у вас миллиарды адресов для каждой рубашки, то с хранением подобных таблиц “для каждого диапазона” – тоже возникают известные трудности. Не забывайте, что речь об одноранговой сети, так что – какая ещё иерархическая адресация? Проще говоря, альтернативу Вы выбрали не верную.

    Можно ссылку?

    Ну всё, началось. Ссылку. Что тут сказать? Начинайте, например, прямо с соответствующих RFC. Хоть бы с исходного RFC 3775: http://tools.ietf.org/html/rfc3775

  • 11 <t> // 1st April 2010, 13:23 // Александр Венедюхин:

    Никто не мешает создать официального регистратора,

    Зачем создавать, когда уже есть интернет-провайдеры и операторы связи?

  • 12 <t> // 1st April 2010, 20:26 // Читатель Алексей написал:

    Спасибо за ссылку. В документе описываются механизмы, которые можно, с оговорками, использовать (а можно и не использовать) для идентификации мобильных устройств. Механизмы работают со старой доброй IP-маршрутизацией, радикально новых методов не видно (все это могло бы работать и поверх IPv4). Картина, в целом, примерно такая (секция 4.1. Basic Operation):

    Каждое мобильное устройство имееет более-менее постоянный домашний адрес (home address). Пока устройство находится в домашней сети, домашний адрес является реальным IP-адресом устройства. Если же устройство подключилось к чужой сети, то ему назначается хотя бы один текущий адрес (care-of address) в этой сети, который устройство сообщает “домой”. Когда некий корреспондент связывается с мобильным устройством, это можно сделать двумя способами:
    1) (bidirectional tunneling) – корреспондент отправляет пакеты на домашний адрес, домашняя сеть пересылает пакеты на текущий адрес устройства; ответные пакеты идут тем же путем в обратном направлении;
    2) (route optimization) – устройство сообщает свой текущий адрес корреспонденту, и тот связывается с устройством “напрямую”; в качестве адреса получателя указывается текущий адрес, домашний же указывается в дополнительном заголовке, “на всякий случай”.

    Нигде не сказано, что устройство не может сменить домашнюю сеть (а значит и домашний адрес). Нигде не сказано, что домашний адрес должен быть постоянным даже в пределах сети. Наоборот, в последнем абзаце секции 4.1 говорится:

    Mobile IPv6 also provides support for multiple home agents, and a limited support for the reconfiguration of the home network. In these cases, the mobile node may not know the IP address of its own home agent, and even the home subnet prefixes may change over time.

    Т. е. полная анархия, а не идентификация :)

    К тому же, когда устройство само желает с кем-нибудь связаться, оно может использовать в качестве обратного свой текущий адрес, домашний же упоминать необязательно. В секции 11.3.1. Sending Packets While Away from Home так прямо и говорится:

    The mobile node MAY choose to directly use one of its care-of addresses as the source of the packet, not requiring the use of a Home Address option in the packet.

    В принципе, можно обязать “анонимов” называть свой домашний адрес и проверять его (например, высылать сеансовый ключ “на дом”, а шированные данные получать у “анонима”), но все равно остается проблема с непостоянным домашним адресом. Потому что на самом деле IP-адреса используются для маршрутизации. Для идентификации нужно что-то другое.

  • 13 <t> // 1st April 2010, 23:20 // Александр Венедюхин:

    Невнимательно Вы читаете, однако. Сменить-то и паспорт можно.