it-swarm.cn

专用网络的顶级域/域后缀?

在我们的办公室中,我们有一个纯内部DNS设置的局域网,所有客户端都命名为whatever.lan。我也有一个VMware环境,并且在仅虚拟机的网络上,我将虚拟机命名为whatever.vm

当前,该虚拟机的网络无法从我们的局域网访问,但是我们正在建立一个生产网络,以将这些虚拟机迁移到局域网(可访问)。结果,我们试图确定一个域名后缀/ TLD的约定,该约定适用于我们要建立的这个新网络上的访客,但鉴于.vm.local.lan在我们的环境中都具有现有的含义。

那么,在这种情况下的最佳实践是什么?在纯内部网络上可以安全使用的TLD或域名列表吗?

121
Otto

不要使用发明的TLD。如果ICANN要委派它,那么您将遇到很大的麻烦。如果您与碰巧使用相同虚拟TLD的另一个组织合并,则也是一样。这就是为什么首选全球唯一域名。

标准 RFC 2606 保留用于示例,文档,测试的名称,但不保留任何用于一般用途的名称,并且出于充分的理由:今天,获得真实唯一的域名是如此简单和廉价,以至于在那里没有理由使用假人。

因此,购买iamthebest.org并使用它来命名您的设备。

96
bortzmeyer

将公司注册域的子域用于您不想在Internet上使用其名称的内部计算机。 (然后,当然,仅将这些名称托管在内部DNS服务器上。)以下是虚拟“示例公司”的一些示例。

面向Internet的服务器:
www.example.com
mail.example.com
dns1.example.com

内部机器:
dc1.corp.example.com
dns1.corp.example.com
client1.corp.example.com

我使用“ corp”表示该子域描述了内部公司网络上的计算机,但是您可以在此处使用任何您想要的东西,例如“ internal”:client1.internal.example.com。

还要记住,DNS区域和子域也不必与您的网络编号方案保持一致。例如,我的公司有37个位置,每个位置都有自己的子网,但是所有位置都使用相同的(内部)域名。相反,您可能只有一个或几个子网,但是可以使用许多对等内部域或子域级别来帮助您组织计算机。

52
Jay Michaud

使用内部子域的另一个优点是:巧妙地使用搜索后缀和仅主机名而不是FQDN,您可以构建在开发,质量检查和生产中均可使用的配置文件。

例如,您始终在配置文件中使用“ database = dbserv1”。

在开发服务器上,将搜索后缀设置为“ dev.example.com” =>使用的数据库服务器:dbserv1.dev.example.com

在质量检查服务器上,将搜索后缀设置为“ qa.example.com” =>使用的数据库服务器:dbserv1.qa.example.com

在生产服务器上,将搜索后缀设置为“ example.com” =>使用的数据库服务器:dbserv1.example.com

这样,您可以在每个环境中使用相同的设置。

33
geewiz

自从编写了该问题的先前答案以来,已经有一些RFC在某种程度上改变了指南。 RFC 6761 讨论了特殊用途的域名,但没有为专用网络提供特定的指导。 RFC 6762 仍然建议不要使用未注册的TLD,但也承认在某些情况下仍会使用它。由于常用。local与多播DNS(RFC的主要主题)冲突,因此 附录G.专用DNS命名空间 建议使用以下TLD:

  • 内联网
  • 内部
  • 私人的
  • 公司
  • lan

IANA似乎 识别两个RFC ,但(当前)没有合并附录G中列出的名称。

换句话说:您不应该这样做。但是,无论如何,您都决定使用上述名称之一。

26
blihp

如前所述,您不应将未注册的TLD用于私有网络。尤其是现在ICANN允许几乎任何人都注册新的TLD。然后,您应该使用真实域名。

另一方面, RFC 1918 很清楚:

对此类地址的间接引用应包含在企业内部。此类引用的突出示例是DNS资源记录和其他引用内部私有地址的信息。

因此,您的名称服务器还应该使用视图来防止私人记录在Internet上传输。

13
Benoit

我们倾向于认为主机的虚拟命名与物理名称没有区别-实际上,我们已经从物理层抽象了主机配置(软件)。

因此,我们购买了硬件项目,并在它们之上创建了主机项目(并使用简单的关系在我们的文档中进行显示)。

目的是当主机存在时,DNS不应成为决定因素-因为我们已经将计算机从一个空间移到另一个空间-例如,性能低下的Web应用无需消耗昂贵的CPU周期-对其进行虚拟化,并且保留了其命名方案,一切都将继续进行。

10
Mike Fiedler