Аппаратные DNS-серверы

Специализированные серверы с заранее установленным программным обеспечением DNS

Уже много лет компании выпускают специализированные сетевые аппаратные устройства с заранее инсталлированным программным обеспечением, которые можно запустить в работу с минимальными усилиями или вовсе без дополнительной настройки конфигурации. У таких устройств есть ряд преимуществ, в том числе низкая цена, простота использования и высокая надежность. Специализированные устройства продаются полностью собранными, с заранее установленным программным обеспечением, благодаря чему удается сэкономить время и снизить затраты на их подготовку к работе. Благодаря упрощенному интерфейсу настройки конфигурации и администрирования, для успешного развертывания глубоких технических знаний обычно не требуется. Устройства, спроектированные для выполнения единственной функции, зачастую бывают надежнее универсальных серверов, решающих те же задачи.

Как и специализированные сетевые устройства, DNS-серверы выпускаются уже несколько лет и обращают на себя внимание пользователей по нескольким причинам. Для пользователя преобразование DNS — скрытая функция, один из компонентов технической инфраструктуры. При этом надежные службы DNS столь же необходимы для успешной работы сети, как электроэнергия. Если нарушен процесс преобразования имен, то связь клиента с сервером прерывается и работа останавливается.

Администраторам, использующим DNS-службу Windows Server 2003 или Windows 2000 Server, будет интересно сравнить специализированные DNS-серверы с универсальными серверами, обеспечивающими работу Windows DNS Service. DNS-службы Windows 2003 подробно описаны в статьях Марка Минаси «Служба DNS в Windows Server 2003» и «Устраняем проблемы DNS», опубликованных в Windows & NET Magazine/RE 8, 2003.

Две важнейшие характеристики сервера Windows DNS Service — поддержка зон-заглушек (stub zone) и условных ретрансляторов (conditional forwarder). В серверах зон-заглушек хранятся только записи Start of Authority (SOA) и Name Server (NS) для домена (то есть зоны). Если клиент настроен на работу с сервером DNS Service, домен которого работает как зона-заглушка, то сервер не может непосредственно отвечать на запросы преобразования имен от узлов в этой зоне. Вместо этого сервер зоны-заглушки передает запрос одному из известных ему серверов DNS Service, ответственных за эту зону. Администратор может передать список уполномоченных серверов на сервер зоны-заглушки с помощью Active Directory (AD) или вручную ввести список уполномоченных серверов DNS Service на каждый сервер зоны-заглушки. Зоны с условными ретрансляторами похожи на зоны-заглушки, но в условный ретранслятор каждой зоны необходимо ввести список серверов DNS Service, предназначенных для данной зоны, — автоматическая репликация этой информации в AD не предусмотрена.

В таких областях, как интеграция с AD и безопасность, между серверами Windows DNS Services и специализированными DNS-серверами, отличными от Windows, существуют заметные различия. Например, некоторые устройства, работающие с иными операционными системами, не полностью интегрированы с AD. И наоборот, в серверах Windows DNS Service нет функций шифрованных зональных пересылок и обновления, как в ряде серверов DNS на других платформах. В данной статье рассматриваются специализированные серверы DNS ведущих поставщиков: ApplianSys, BlueCat Networks, BorderWare Technologies, Incognito Software, Infoblox, Offmyserver и Threshold Networks.

Семейство ApplianSys DNSBOX

Компания ApplianSys выпускает три специализированных сервера DNS: DNSBOX300, DNSBOX050 и DNSBOX100. DNSBOX300 и DNSBOX050 работают с Nixu NameSurfer Suite, программным комплексом для управления преобразованием имен и IP-адресами. DNSBOX100 — DNS-сервер на базе BIND, который работает исключительно в режиме вторичного устройства и может функционировать в качестве вспомогательного DNS-сервера с любым стандартным первичным DNS-сервером. В паре DNSBOX100-DNSBOX300 зональные пересылки и обновления выполняются через защищенный туннель VPN; в результате достигается более высокий уровень защиты, чем при использовании сигнатур транзакций (Transaction Signature, TSIG) программы BIND 9.

В трех устройствах ApplianSys используется версия Linux с усиленной защитой. Уникальное отличие моделей DNSBOX от других устройств в данном обзоре заключается в том, что для начальной загрузки и работы вместо жесткого диска используются две карты CompactFlash (CF). В результате исключается подвижный механический компонент, который часто становится причиной отказов. DNSBOX300 выпускается в монтируемом в стойку корпусе высотой 1U с процессором Pentium III на 1ГГц, оперативной памятью объемом 512 Мбайт и 10/100-Мбит/с портом Ethernet. Модель DNSBOX050 оснащается процессором Celeron, работающим с тактовой частотой 1,4 ГГц, оперативной памятью типа PC133 DRAM объемом 512 Мбайт, а устройство DNSBOX100 — процессором Celeron на 1,7 ГГц и памятью типа PC2100 Double Data Rate (DDR) объемом 512 Мбайт.

Функциональность DNS модели DNSBOX050 похожа на DNSBOX300, но это устройство предназначено для малых сетей. Все серверы могут быть интегрированы с AD и поддерживают определение SRV-записей, данное в документе Request for Comments (RFC) 2782 группы Internet Engineering Task Force (IETF). Оба мастер-сервера располагают DHCP-сервером, встроенной функцией регистрации узлов DDNS (динамическая DNS) и функциями проверки достоверности и корректности данных для поиска синтаксических ошибок, логических ошибок и дублированных имен и IP-адресов. Встроенный брандмауэр уменьшает вероятность несанкционированного доступа.

Настраивать конфигурацию и управлять устройствами можно из Web-интерфейса, который обеспечивает безопасную связь с использованием протокола SSL (Secure Sockets Layer), отслеживание и аудит изменений и располагает неограниченными возможностями отмены/повтора действий. Устройства поддерживают распределенное администрирование. Главный администратор может создать несколько административно-пользовательских учетных записей, предоставив каждой из них право управлять только конкретным доменом. Устройства также можно настроить на автоматическое обновление программы BIND и операционной системы Linux, что дополнительно облегчает задачу администратора.

Цена модели DNSBOX300 в корпусе 1U составляет 10 950 долл., а модели DNSBOX100 в корпусе 1U — 2950 долл. Цена настольного мини-куба DNSBOX050 — 4250 долл.

BlueCat Adonis и BorderWare NameVault

Компания BlueCat предлагает Adonis DNS Management Server, специализированный сервер DNS (без функций DHCP или WINS) с программой BIND 9. Программа работает с усиленно защищенной версией ядра Linux. В стандартной конфигурации открыты только порт 53 (DNS) и порт, используемый интерфейсом управления.

Для конфигурирования и управления устройством используется консоль Adonis Management Console — графический интерфейс на базе Java, который работает на любой платформе, совместимой с Java 1.3. Для защиты функций управления сервером в консоли применяется аутентификация пользователей на базе сертификатов и 128-разрядное SSL-соединение между клиентом и сервером. Для упрощения работы в консоли предусмотрено 100 уровней отмены/повтора действий, а начальная установка и конверсия с другими платформами DNS облегчаются благодаря программным мастерам.

В целях обеспечения безопасности проводится аутентификация зональных пересылок и других изменений DNS с помощью шифрования и сигнатур транзакций (TSIG) BIND 9. Инструментарий проверки данных обнаруживает логические ошибки в конфигурациях DNS и обеспечивает полную и точную синхронизацию и репликацию с подчиненными серверами. Устройство можно настроить на аутентифицированный доступ с применением сертификатов как на клиентской, так и на серверной стороне. Встроенный брандмауэр можно настроить на блокирование любого сетевого трафика, не связанного с DNS или консолью Adonis Management Console.

Устройство Adonis поддерживает DDNS и кэширование серверных конфигураций. Модель интегрируется с AD и совместима с SRV-записями, соответствующими требованиям спецификации RFC 2782. Возможна работа в конфигурации с первичным AD-сервером. При использовании обоих устройств модель Adonis автоматически передает функции отказавшего устройства исправному.

Adonis поставляется в монтируемом в стойку корпусе высотой 1U и оснащается системной платой с процессором Pentium 4 на 2,6 ГГц, оперативной памятью объемом 512 Мбайт, жестким диском емкостью 40 Гбайт и 10/100-Мбит/с портом Ethernet. Представители BlueCat утверждают, что сервер может обрабатывать более 20 тыс. запросов в секунду и обеспечивает работу сетей, в которых насчитывается более 100 тыс. IP-адресов. Рекомендуемая изготовителем цена Adonis — 9995 долл.

Компания BorderWare добавила специализированный DNS-сервер к своему семейству продуктов, продавая его под именем NameVault DNS Appliance. В отличие от BlueCat, BorderWare предлагает покупателям NameVault DNS Appliance договор на обслуживание в течение года. Цена пакета — 12 тыс долл.

Семейство Incognito MSA

В специализированных DNS-серверах MSA 300 и MSA 800 компании Incognito используются серверы компании Cubix, состоящие из трех и восьми модулей-«лезвий» соответственно. На машины инсталлируется программа DNS Commander от Incognito или программа IP Commander (сопутствующий DHCP-сервер), работающие с Red Hat Linux или Windows 2000 Professional. Например, в типичном сервере с тремя модулями один модуль может работать с DNS Commander на платформе Red Hat Linux, один модуль — с DNS Commander на платформе Windows 2000 Pro и один — с IP Commander и любой из этих операционных систем. Более подробно о серверах-«лезвиях» можно прочитать в статье «Компактные модульные серверы», Windows & NET Magazine/RE №5 за 2003 год.

В отличие от некоторых специализированных DNS-серверов, DNS Commander выполнен не на базе открытой программы BIND, хотя продукт совместим с документом RFC на уровне BIND 9. В основе DNS Commander — собственная реализация относящихся к DNS документов RFC. Представители Incognito утверждают, что данный продукт очень надежно защищен (так как исходный текст не является общедоступным) и более стабилен (потому что проходит тестирование перед выпуском в продажу).

DNS Commander не поддерживает AD. Однако программа обеспечивает работу с зонами-заглушками, а также кэширование и условную ретрансляцию конфигураций. Среди других функций, представляющих интерес для администраторов Windows, — функции преобразования WINS и обновления DDNS от DHCP-серверов и клиентов Windows 2000. Web-администраторов нескольких доменов должна заинтересовать возможность блокировать домены и записи ресурсов. DNS можно настроить до развертывания системы и отключить преобразование имен для домена, не удаляя информацию из DNS.

Существует три способа управлять DNS Commander. С помощью приложения Win32 администраторы могут настраивать и управлять конфигурациями как Red Hat Linux, так и Windows. Web-интерфейс также можно использовать для модулей, работающих с Microsoft IIS (на платформе Windows) или Apache (Red Hat Linux). Из интерфейса командной строки можно выполнять типичные административные задачи.

Цена DNS Commander зависит от числа модулей и числа адресов (записей A), которыми управляет система. Типичная система на базе MSA 300 располагает двумя модулями DNS Commander с процессором Pentium III на 1 ГГц (один с Red Hat Linux и один с Windows 2000 Pro); цена лицензии для 1000 A-записей — 7350 долл. Компания Incognito перестала активно рекламировать MSA 300 и MSA 800 на своем Web-узле, но может предоставить более подробную информацию об этих устройствах.

Infoblox DNS One

Специалисты Infoblox называют DNS One, продукт исследований компании в области технологий распределенных баз данных, новым этапом в распределенных вычислениях. DNS One можно использовать как сервер кэширования и сервер условной ретрансляции для зон и сетей. В 2004 г. Infoblox планирует обеспечить поддержку зон-заглушек.

В состав DNS One входит стандартный DHCP-сервер с новейшей стабильной редакцией BIND 9. Благодаря интеграции служб DHCP и DNS, DNS One обеспечивает динамическую регистрацию клиентов DHCP в DNS, независимо от совместимости клиентской операционной системы с DDNS. DHCP-сервер работает в сетях с масками подсети переменной длины (Variable-Length Subnet Masks, VLSM) и адресацией CIDR (Classless Inter-Domain Routing — бесклассовая междоменная маршрутизация). Благодаря совместимости DHCP Relay и BOOTP, DNS One предоставляет услуги DHCP в охватывающих все предприятие сетях с оборудованием от многих поставщиков.

Как и большинство других устройств, представленных в данном обзоре, DNS One работает с упрощенной и дополнительно защищенной версией Linux. В DNS One открыто лишь несколько портов TCP/IP, и эти порты можно настроить. Порт 53 (DNS) и порт 443 (SSL) открыты; администратор может открыть порт 66 или 67 (DHCP) или порт 15300 (API сценариев). По данным Infoblox, DNS One можно использовать в сетях, содержащих до 100 тыс. IP-адресов. Благодаря совместимости с AD, DNS On может работать как высокопроизводительный DNS-сервер для зон на базе AD. DNS One проектировался для смешанных платформ, в том числе сетей с клиентами с различными операционными системами, клиентами Voice over IP (VoIP) и другими шлюзами.

Для настройки и управления DNS One используется графический интерфейс на базе Java. Этот интерфейс реализован во встроенном SSL-совместимом Web-сервере. Благодаря управлению на основе ролей главный администратор может делегировать полномочия другим администраторам, ограничив их доступ к определенным зонам и функциям управления. DNS One совместим с протоколом SNMP, что позволяет интегрировать его с продуктами управления сетями от независимых поставщиков. Функция обновления программы одним нажатием кнопки позволяет без труда модернизировать программу и установить программные исправления для системы безопасности. С помощью API, доступного через Perl, можно автоматизировать типовые административные задания. Функция Phone Home оповещает о неполадках в аппаратных средствах и программном обеспечении.

Если связать между собой два устройства DNS One, то в случае отказа одного из них функции неисправного устройства автоматически передаются другому. Работая в активном/пассивном отказоустойчивом режиме, DNS One переназначает адреса IP и MAC сервера пассивному серверу. Цена DNS One — 12 тыс. долл.

Offmyserver DNSdevil

Компания Offmyserver, новый участник рынка специализированных DNS-серверов, планирует выпустить DNSdevil в продажу во втором квартале 2004 г. В отличие от других устройств в данном обзоре, в DNSdevil используется специально настроенное ядро FreeBSD. Машина располагает оперативной памятью типа DDR объемом 1 Гбайт, жестким диском емкостью 40 Гбайт и четырьмя 100-Мбит/с контроллерами Ethernet компании Intel.

DNSdevil также работает с BIND 9, совместим с AD и регистрацией DDNS. Конфигурацию DNSdevil можно настроить из SSL-защищенного Web-интерфейса, а при необходимости — получить доступ к системе через оболочку Secure Shell (SSH).

Процесс создания новых зон упрощается благодаря зональным параметрам, выбираемым по умолчанию. Можно даже строить несколько зон одновременно.

DNSdevil располагает обширным инструментарием. Например, с помощью функции запросов DNS можно сравнить результаты запроса к локальному серверу с результатами такого же запроса к другим DNS-серверам в Internet и убедиться, что имя домена и локальный сервер корректно настроены для общего использования. Управление зоной упрощается благодаря инструментам аудита записей о ресурсах.

Цена DNSdevil — 5500 долл. Компания Offmyserver бесплатно предоставляет исправления системы безопасности; дополнительная техническая поддержка оплачивается.

Семейство Razzo IP компании Threshold Networks

Компания Threshold Networks выпускает модели Razzo IP E-1000 и Razzo IP C-2500. Эти DNS-серверы отличаются друг от друга в основном уровнем отказоустойчивости базовой аппаратной платформы. Razzo IP E-1000 оснащается процессором Celeron на 2 ГГц, оперативной памятью объемом 1 Гбайт, жестким диском IDE емкостью 80 Гбайт и двумя 100-Мбит/с контроллерами Ethernet. Razzo IP C-2500 располагает двумя процессорами Xeon на 2,4 ГГц, оперативной памятью объемом 2 Гбайт, зеркалированными жесткими дисками Ultra 160 SCSI емкостью 36 Гбайт, двумя контроллерами Gigabit Ethernet; жесткие диски и избыточные источники питания можно заменять без отключения источников питания.

В Razzo IP используется BIND 9 и вариант DHCP 3.0, предложенный консорциумом Internet Software Consortium (ISC). Информация DNS и DHCP хранится в базе данных типа SQL, в которой реализована одношаговая операция резервного копирования и восстановления, а также возможность отменить некоторые административные изменения. Благодаря интеграции DNS и DHCP, функции DDNS автоматически вводят и удаляют информацию об узлах DNS для клиентов DHCP по мере истечения срока клиентских лицензий.

Встроенный сервер WINS управляет преобразованием имен для клиентов WINS. Встроенный брандмауэр защищает от нападений, вызывающих отказы в обслуживании (DoS), и позволяет открывать и закрывать порты IP и TCP. Специализированное ядро Linux с усиленной защитой обеспечивает дополнительную стабильность и безопасность системы. Благодаря совместимости с AD можно импортировать и экспортировать SRV-записи между Razzo IP и DNS-зонами на базе AD.

Для настройки конфигурации и управления Razzo IP используется приложение Win32 или графический Web-интерфейс на базе Java. Программные исправления для Razzo IP можно получить на компакт-диске или загрузить с Web-узла компании Threshold Networks. С помощью SNMP-систем управления сетью можно собрать данные о производительности Razzo IP. Функция обнаружения узлов позволяет сравнить обнаруженные сетевые адреса со списком сетевых узлов в базе данных Razzo IP; при необходимости мастер помогает вставить адреса обнаруженных узлов. Еще одна функция позволяет преобразовать DHCP-клиентов для работы со статическими IP-адресами.

В случае неполадок как Razzo IP E-1000, так и Razzo IP C-2500 обеспечивают переключение на второе, резервное устройство. Цена Razzo IP C-2500 вместе с неограниченным числом хост-лицензий — 4995 долл. Цена Razzo IP E-1000 вместе с 10 тыс. хост-лицензий — 2995 долл.

Реальная альтернатива

Каждый из представленных в данном обзоре специализированных DNS-серверов имеет уникальные достоинства. Одним администраторам могут понравиться устройства со стандартной реализацией BIND, не требующие особых усилий при обслуживании (например, Adonis, DNS One, DNSdevil, Razzo IP), другие предпочтут модели с закрытым исходным текстом (MSA 300, DNSBOX300). Третья категория администраторов выберет DNS-сервер для работы в небольшой частной сети (DNSBOX050). Вне зависимости от потребностей заказчика, специализированные DNS-серверы будут недорогой и очень надежной альтернативой развертыванию DNS-службы Windows на универсальном сервере.

Контактная информация поставщиков

NAMEVAULT DNS APPLIANCE

BorderWare Technologies http://www.borderware.com

RAZZO IP E-1000, RAZZO IP C-2500

Threshold Networks http://www.thresholdnetworks.com

Джон Грин — президент компании Nereus Computer Consulting. С ним можно связаться по адресу: john@nereus.cc