了解 IPv6 递归 DNS 服务器
要访问 Internet 上的任意位置,域名系统 (DNS) 服务器在将域名解析到其关联 IP 地址方面扮演着重要角色。DNS 解析服务也可由 DHCP 服务器提供。路由器的路由协议进程 (rpd) 会生成路由器通告,以方便自动配置和学习网络信息中的 IPv6 主机。对于 IPv6 无状态自动配置,DNS 配置由路由器播发提供。在 IPv6 主机的地址通过 IPv6 无状态地址自动配置且没有现有 DHCPv6 基础架构的网络中,基于广告的路由器 DNS 配置非常有用。
根据配置,DNS 服务器可分类为以下类型:
递归域名系统
非递归域名系统
DNS 服务器可以解决递归查询和非递归查询。对于 DNS 客户端的递归查询,DNS 服务器将返回与域名相关联的 IP 地址或错误。递归查询不会返回推荐信息。对于非递归查询,DNS 服务器将返回域名的 IP 地址,或者向另一个可能解决查询的 DNS 服务器返回错误或推荐。
对于 IPv6 主机,最多可以配置三个递归 DNS 服务器地址及其相应的生存期。已配置的递归 DNS 服务器地址的生存期默认值为 1800 秒。配置的 IPv6 主机使用指定的递归 DNS 服务器地址进行 DNS 解析,其中 IPv6 主机的地址通过 IPv6 无状态地址自动配置,并且没有 DHCPv6 基础架构可用。
路由器通告数据包中包含递归 DNS 服务器配置,该数据包是邻接方发现协议 (NDP) 的一部分。通常,在不安全的部署场景中,攻击者可能会发送具有欺诈递归 DNS 服务器地址的路由器广告,误导 IPv6 主机与意想不到的 DNS 服务器联系以解析 DNS 名称。这些攻击类似于邻居发现攻击和针对未经身份验证的 DHCP 的攻击。建议使用安全邻接者发现 (SEND) 协议作为邻接者发现的安全机制,以允许所有邻接发现选项(包括递归 DNS 服务器选项)自动包含在签名中。
有关配置 SEND 协议的信息,请参阅www.juniper.net/documentation/en_US/junos14.1/topics/topic-map/ipv6-secure-neighbor.html