从IPv4到IPv6,中国根服务器到底谁说了算

2018-10-15 11:18:22 GDIDC

  IPv6时代正快速来临,在IPv4时代,人们一直困惑的“中国缺乏DNS根服务器”的情况是否因此有了改善?一些报道中所说的中国已经部署了IPv6的1台主根,3台辅根的根服务器又是怎么回事呢?


  就这些问题,记者采访了国内最早的互联网加速服务提供商蓝汛ChinaCache的技术专家、资深架构师王立鸥。


  域名服务器如同“黄页”


  在以前的书信时代,人们写信时要在信封上写明收信地址和寄信地址,“××市××路××号××室”,这样信件才会按照收信地址送到对方的手中,对方也会知道是谁、从哪里邮寄过来的。也就是说,每个单位、每户人家都有自己的“门牌号”,从而方便信息传递。

广东IDC网

    以前也经常碰到这种情况,自己只知道对方单位的名称,但不知道对方的具体地址、邮编信息。这个时候,人们经常通过翻厚厚的“中国黄页”来进行查询,找到具体的地址。


  互联网时代其实也是如此,每个网站都有自己的“邮政编码”,但这是用一长串数字(IP地址, IPv4时代是32位,IPv6时代是128位)来表示的,普通人根本无法记住。所以网站都采用了比较容易让人记住的网址,比如说baidu.com,qq.com,amazon.com等等。


  王立鸥介绍说,人们在浏览器中输入网址后,比如说amazon.com,访问的网址中域名的部分会被浏览器发往DNS服务器做解析,然后服务器再将用户所访问网站的IP地址传送回来。浏览器拿到网站的IP地址后,再发出自己的请求,然后就可以登录。这样一个域名和IP地址之间相互查询转换的服务操作的技术体系就叫做DNS(Domain Name System)。


  由此可见,域名服务器的查询转换工作是非常重要的,它如同是“域名的黄页”,如果不能通过它找到网站对应的IP地址,用户自然上不了网。


  然而,域名服务的查询不是一次操作完成的,代理我们用户进行查询的DNS服务器(通常就是运营商的DNS服务器)只是进行代理查询和缓存,采用的是一个迭代的过程。这个过程,和我们管理地理地址的逻辑是一样的,如同从国家->省->市一样,从根服务器开始查询,一直查到目标访问的域名服务器。这样,从域名管理的角度看, 每个层级就只管自己那一段的域名管理,相互不干涉了。


  中国没有根服务器是误解


  IPv4是第一个被广泛使用的IP协议,现在全世界正处于从IPv4向IPv6升级的阶段。一些自媒体之基于中国没有全球根域名服务器,如果一旦被“卡住脖子”,断掉了根服务器的访问途径,无法进行域名解析,就可能被断网了。这就如同没有“中国黄页”,人们写信时查询不到对方的地址,自然也就无法通信了。


  现在,比较常见的说法是:全球有13个根服务器(1个主根服务器+12个辅根服务器),其中主根服务器和9个辅根服务器都在美国,另外英国、瑞典和日本各有一个辅根服务器。也就是说,中国没有根服务器。


  对于这种观点,王立鸥认为这是一个片面的理解,“互联网非常早的时期,是这样,但现在根本不是这样。中国没有根服务器的说法是不对的。”


  “北京至少有四个根服务器镜像:I、J、F、L根服务器。根服务器实际上是个集群,比如I服务器,在北京有I服务器,在美国和欧洲也有I服务器,它们用的是同一个IP地址。”王立鸥介绍说,根服务器通过anycast协议来实现寻址,“anycast协议的好处是,当用户要访问一个IP地址的时候,系统会先看离用户最近的有这个IP地址的服务器在哪。比如中国用户在访问I服务器,那么数据包没必要跑到其他地方,处理包在北京就能实现。”所有的镜像之间的内容是严格同步的。不存在单独系统管理者私自修改内容的可能性。


  王立鸥还举例表示,以前南美地区互联网访问的根服务器镜像都在美国迈阿密,后来南美本地流量增多以后,在本地也设置了根服务器镜像。


  “而且,很多大的运营商都将根服务器的内容映射过来,从而直接从自己的系统中进行域名解析,在进行解析操作时候,直接从自己的映射的镜像来进行查询解析,从而提高给自己服务的用户的整个解析请求的速度。”王立鸥说道。


  另外,根服务器是由不同的企业和非盈利组织来运营的。比如说,L服务器是由ICANN负责运营的,ICANN的中文名称是互联网名称与数字地址分配机构,是一家非营利社团。2016年10月,美国商务部下属机构国家电信和信息局把互联网域名管理权(IANA)完全交给ICANN,这标志着互联网迈出走向全球共治的重要一步。


  中国逐步获得纯IPv6根服务器的运行和管理经验


  考虑到我国互联网的安全性,由于所有的13个根的运营者都非中国的企业和组织,而由于IPv4的DNS数据包的容量限制,又没有可能再添加新的根的信息。因此,在IPv4的环境下,要想解决自主可控的根服务器,几无可能。


  如果说,IPv6相对于IPv4在DNS域名解析的变化,那就是IPv6时代,和DNSSEC越来越广泛的运用,使得承载DNS请求和响应的UDP协议数据包不再成为限制根服务器数量的限制。


  我国“互联网工程中心”联合日本WIDE机构(现国际互联网M根运营者)和互联网域名工程中心(ZDNS)等共同发起了“雪人计划”, 其官网是 www.yeti-dns.org。从这个项目的主页上,Yeti DNS Project 的标题下,可以看到一个副标题:“--A Live IPv6-only Root DNS Server System Testbed”即在线的纯IPv6 DNS根服务器系统测试床。


  雪人计划(Yeti DNS Project)的安排是2015年6月底前,面向全球招募25个根服务器运营志愿单位,共同对IPv6根服务器运营、域名系统安全扩展密钥签名和密钥轮转等方面进行测试验证。由于雪人的服务器不是真正的根服务器,因此,就不可能得到zone更新的通知信息(RFC1996)。雪人服务器通过无需鉴权的轮询方式从13个根当中的F根来获取zone文件和更新。雪人计划一共是3个DM(distribution master)分别是BII(中国),WIDE(日本)和TISF(美国)。


  雪人计划的关闭时间是2018年底。


  虽然,雪人计划目前看没有带给我们独立的根服务器,但是,雪人计划成功地帮助我们掌握了DNS根服务器的运行和管理技术。体现了我国在IPv6时代管理和服务DNS根服务器的不断进步的技术能力。这个对于快速铺开的IPv6网络的中国因特网具有极大的安全意义。