Yeti雪人计划:纯IPv6域名根服务器系统试验床

在今天召开的2015全球IPv6下一代互联网高峰会议上,来自下一代互联网工程中心首席架构师Shane Kerr为我们带来了一个十分新颖的话题《Yeti雪人计划 纯IPv6域名根服务器系统试验床》。通过实际项目的实施分享了在IPv6的情况下去做雪人计划的相关经验。

 

下一代互联网工程中心首席架构师Shane Kerr

Shane Kerr讲到,我们现在涉足的一个项目就叫Yeti雪人计划,首先解释一下dns——我们的工作,它是互联网域名的分布式系统,就像Akira Kato刚才谈到的,它就是一个域名系统,它是一个基础设施,可以将我们人类可读的名字转化到那些数字系统上,这些数据系统可以为机器所识别。我在这里工作的时候,你可以看到我们的公司网站,这就是我们输入的东西,但是我们的后台要将这些人类可读的域名转化成数字的系统。当然,对于IPv4而言,他是20年前创造的。我希望在IPv6上也能实现当初在Ipv4上所实现的东西。能够让全世界的人都能够有能力使用这样的系统,就我们所预见的一样,这就意味着我们可以从下而上,或者在DNS从左到右,我们可以从根开始,我们可以看到这些域名。这些是我们无法看到的点,这取决于下一个层级。我们可以看到不同的根服务器之间来能够得到最终的响应答案,为什么会有这样的安排呢?因为同样我们有很多其他的非常棒的特性,不同的组织可以来运行不同的网络部分,支持不同的政策,不同的当地的资源,不同的当地情况,可以让当地的组织得到不同的利益。

事实上,有一些服务器可以看出端倪,现在有13个根服务器运营者,有12个组织,运营13个根服务器。我们可以看到这个图表上,这是所有不同的足迹,以及这是不同的IP地址。我们将不同的字母的根服务器,从A到M,有A根、F根或者M根,不同的12个根运营者其中9个在美国,两个在欧洲,一个在荷兰,一个在瑞典,一个在Yeti项目运营下,在日本。有非常有趣的方式,就是Akira Kato先生刚才提到的,有13个字母,有475个不同的任播节点,每个人波节点可以对不同的查询作出响应,我们有一个单独的地址,IP数字可以对应到不同的地方,这就是人波系统的工作原理。在世界上不同的地方我们可以查询到相同的数字。

但是它与IPV6之间有什么关系呢?首先,它可以公布其他电脑的地址,即4A记录。或者说,使用IPV6,使用IPV6公布这些信息,当计算机询问这些问题的时候我们就可以查找到这些数字。所以这其中一个部分关于公布计算机的信息,根服务器就是使用我们所说的胶合原理。在高的一个层级上,将响应传递到下一个层级上,在IPv6我们将其称为胶合原理。就像Akira Kato所说的一样,在2004年DNS根服务器,他们建立起了世界上第一个项目,现在有1000多个域名,在全世界很多的地方都有他们自己的顶级域。在1054个,这是一个非常好的消息,因为没有这些记录,我们不可能实现这些纯IPv6的服务。有这些记录,我们并不需要IPv4,我们可以用双栈或者是使用纯IPv6的系统,我们谈论这些没有IPv4的系统可能有点奇怪,但是事实上这是我们非常有兴趣来谈在IPv6,在过去的二十当年,我们应该想想如何利用IPv6工作,来建立起这些基本的协议软件以及基础设施,因为这些东西不是一夜之间实现的。

DNS是不是即将抛弃IPv4了呢?现在有一些小的国家可能还没有用到IPv6,比如说一些欧洲的小国家。但是我觉得我们在很短的未来可以解决这个问题。接下来下一种方式就是根服务器如何跟IPv6进行合作,它们在2008年,他们当时自己就将IPv6的记录添加到他们的根服务器当中,在当时13字母类的根服务器当中6个接入了IPv6,但是现在已经有11个了,所以发展非常迅速。如果有两个根服务器支持IPv6的话,将会提供很大的便利,所以这是一个非常好的趋势。今天我不是来谈根服务器的,我是谈雪人计划。雪人的DNS是四个月之前开启的项目,DNS根服务器测试床,这是我们所做的一个实验,那么在DNS根,我们想要测试的东西很多,包括DNSSEC,我们要确定它的安全性,我们要做到响应回答,这能够帮助我们防止黑客的攻击,扰乱我们的信息传递。在DNS安全方面,我们可以提供或者增加一些协议,我们也可以测试加了一些新的协议有什么影响,根据你增加的不同内容得到的结果是不一样的。接下来我们要测试根服务器的解码,每一个根服务器都有一个IP,它是一个动态IP。如果我们要增加或者根除了一个服务器会有什么影响,在十五年前我们还添加过根服务器,但是现在我们没有增加过新的服务器了。接下来我们希望了解的测试的内容就是使这样的一些限制扩大它的规模,会造成怎样的结果。

最后一点,如果我们只支持IPv6的运行,将会产生怎样的影响呢?对于一些工程师来说这些问题都是非常有意义和感兴趣的,但是我们不能够在这样的根系统上做实验,这会造成很多严重的后果。就像在飞机上我们测试一些新技术造成的不安全性产生的影响也很大。世界依赖于互联网,它对于人与人之间的沟通非常重要,所以我们不能在互联网本身做实验,我们要找到其他的途径。我们在实验的环境当中测试根服务器,我们能够找几台机器来连接,形成一个实验室环境下的虚拟互联网,我们在其中做一些参数的变化,它的变化也能给我们带来一些新的启示。我们现在需要大型的试验床,现在互联网和实验室操作有很多方式,测试环境是非常重要的,我们为什么做这样一个雪人计划的DNS测试床呢?我们希望找到一些新的问题和新的问题的解决方案。DNS方面进行的工作也常常是一个政治的话题,在英文当中,一方面它表示国与国之间的对话,此外也可以表示不同的人群当中会有不同的意见,最后要寻求一种妥协。DNS并不是与之相关,那么DNS是一个树状的结构,树越高,我们的树的分枝要少,所以比较要解决根部的问题,在根服务器上进行实验是非常难的,每次你提出一些新的想法人们就会猜测你的初衷,为什么你会做这样的实验,你希望改变是出于什么样的目的。现在我们希望这个实验永远是科学研究,而不是政治话题,或带有其他的色彩。因为这对互联网是非常有意思的话题,我们在做实验的时候必须了解哪些是不能做的。我们感兴趣的是这些域名是如何被广播出来的,它们之间如何进行通讯,这样我们才能更好的了解互联网的通讯和设计。我们在测试环境当中作出的改变不是那么大,我们不希望改变根服务器域当中的内容,我们只希望做一些调整。那么实际上,我们以后有一些数据验证我们的变化。

那么,这个项目是怎么运行的呢?概念上是非常简单的。我们首先会找到一个根服务器,因为找到一个根服务器,在一个根服务器上做是比较的高效、快捷的。任何一个人在网上都可以进行这样的实验,我们有三个不同的组织,分别配置主机,这个配置主机就是为其他的分机公布数据信息的,这是DNS当中常用的一种方式。接下来我们会有一个协同器,可以协同不同主机之间的沟通。我们发现Y的DNS都有不同的协同器,然后我们进行配置。每个协同器都会保证是独立存在的,我们会在根服务器当中做一些微小的调整,比如说我们会将根服务器列表用雪人DNS列表进行替代,之后观察它们的变化,这是我们做的唯一调整。我们将这些信息传送到雪人的这样一些DNS网络当中,我们并不会对它进行集中管理,但是我们发现这对很多企业也在做一些对其内部的网络进行测试。我们发现有一些运营商希望扩展它们的网络,我们有14个运营者,我们希望能够有超过13个运营者参与到这样的测试环境当中。我们在测试中发现了一些有意思的问题,从一个研究的角度来说,我认为问题并不是坏事,这是一个有意思的发现,因为我们能够解决一些新的问题。那么接下来还希望大家了解的一点,就是它所有的都是IPv6,就所有的实验环境都是基于IPv6的,我们之间的信息交换,数据的发布都是基于IPv6,这一点是值得注意的。这是一个非常有意思的系统,它成功了,那么唯一缺少的一个就是解析器,DNS网络当中通常会有一个DNS的解析器,这个解析器就是向不同主机解析其所查询的域名的,但是目前在我们这个实验当中并没有配置一个解析器,解析器的参与能够让更个过程对于用户来说变得更加的透明。

首先,我们会有一个协调人,这个协调人是需要参与到我们测试床项目当中来扮演管理者的角色。那么接下来我们还一些合作方给我们提供了帮助,这些运营者他会使用雪人DNS,我们这个DNS的系统覆盖的地理面积是非常丰富的,在哥伦比亚、南美地区,还有在欧洲和世界其他地区都部署了根服务器,现在在中国有BII参与到合作当中。当然对于这些运营者我们会有一些解析器的运营者来传送这样的一些序列。我们整个的这个实验接受到多方的参与,我们现在这个实验还没有完成,我们现在还在收集相关重要的数据,总结相关的经验,我们还在等待着,看看它能产生怎样的惊人结果。对于我们这个小组来说,主要是希望如果在DNS只使用IPv6会产生怎样的影响。我们发现它最小的包尺寸将会变得更大,然后我们也会有不同的IP分片的模型,所以我们在实验环境当中希望看到的是更大的包的尺寸和更多元的IP的切分模型。IP切分也就是说一台电脑如果要与网络中的另外一台电脑进行通讯,通常有尺寸限制的,如果它的包超过限制就必须进行切分,或者无法传输到电脑当中,每一个热点会检查,是否这个包太大了。如果太大了,就会将这个包切分成两个小包传送给目的地。IPv6用的是不同的模型,如果包太大了不会切分,会这个包传送给原来的发送者,这个原来的发送者有责任使用更小的包将数据进行传送。所以说会有一些协议上的变化,比如说DNS中会有一些协议的变化,我们必须用UDP,UDP对于这个包的尺寸有限制。坦言我们还不确定,如果包太大会有什么样的影响,我们需要有更多的测试进行更深入的了解。

其次,是一个测试,关于DNSSSEC,它涉及到信任,我如何知道我获得的这些数据是值得信任和安全的呢?所以他们现在设计一些关键的密钥,比如说KSK,因为攻击者可能解析你DNS当中的一些秘密,所以KSK需要进行轮转,此后翻转需改为轮转。我们最初的计划就是每到五年我们就要将这些信任的编码进行一次翻转,但是我们现在要提升这样的翻转的频率和加强我们算法的抵抗攻击的能力。现在有一群非常聪明的人,他们正在就这个问题展开研究。我们希望雪人计划能够为他们提供一些有意义的建设性的意见。

就像之前谈过,当我们的运营者遇到危险,我们要在项目上看看我们能作出什么样的事情。所有的专家都在致力于这方面的努力,能够提出更好的建议,有不同的其他考量。我提过DNS上面的不同的算法,我们可以让这些东西可能变得更大或者变得更小。另外,我们要测试的领域就是有更多的根服务器,现在的根服务器的数量是建立在我们DNS所使用的包大小上,当我们增加第一批IPv6的地址的时候,我们可能让这些包的大小限制变得越来越大,我们并不是说要严格的限制这些,这就是我们现在做的实验所研究的方向。


原文发布时间为:2015年09月07日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

你可能感兴趣的:(运维,网络)