© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Matthias Teege <matthias-dbsdc(at)mteege.de> wrote:
> Ich bin gerade dabei, ein kleines Netzwerk neu zu sortieren. Wir haben
> hier drei interne Netze (192.168.97.0/24, 192.168.98.0/24,
> 192.168.99.0/24), ein Funnetz (192.168.4.0/24) und eine DMZ
> (212.21.92.152/29). Das "Problem" ist jetzt die Namensvergabe.
>
> Die einfachste Variante ist wohl, einfach durchgehende Namen zu
> vergeben wie h1.domain.net, h2.domain.net .... Die zweite Variante
> wäre, die Subnetze auch in den Namen zu repraesentieren bspw.
> h1.net1.domain.net, h2.net1.domain.net, h1.net2.domain.net ....
Kannst Du beides machen. Welches von beiden, ist wohl Ge-
schmackssache. Da Du die Namen eh in einer (oder mehreren)
eigenen, lokalen BIND-Zone(s) hast, kannst Du da nach Be-
lieben drin herumpfuschen.
Evtl. wäre es empfehlenswert, einen DHCP-Server aufzuset-
zen; dann mußt Du Dir auch um die Config der einzelnen Ma-
schinen wenig Gedanken machen.
> Nachteil dieser Version ist, dass die Dateinamen relativ lang werden.
Du meinst die Hostnamen? Das ist ja egal; Du kannst es so
einrichten, daß Du die Domain nicht mit eingeben mußt (das
kann man per resolv.conf(5) ziemlich flexibel konfigurie-
ren).
> Ein dritte Variante ist unter http://cr.yp.to/djbdns/dot-local.html
> beschrieben. Dort werden für lokale Rechner kurze Domains wie .3 oder
> .9 verwendet.
Das halte ich für die -- mit Abstand -- schlechteste Lö-
sung. Gerade .3 oder .9 sollten für solche Zwecke nicht
mißbraucht werden. Es gibt RFCs, die festlegen, welche
TLDs bzw. Domains für interne Zwecke verwendet werden
können (und .3/.9 gehören nicht dazu), aber ich neige
dazu, sowas auf Test-Setups und Beispiele in Dokumenta-
tionen zu beschränken.
> Das haette den Vorteil, dass nur die Rechner in der DMZ,
> die auch von aussen erreichbar sind, den offiziellen Domainnamen
> verwenden.
Inwiefern wäre das ein Vorteil? Ich fände es eher vorteil-
haft, eine einheitliche Domain zu verwenden -- insbesondere
eine Domain, die einem auch offiziell gehört, denn dann
kann man gar nicht erst in Konfliktsituationen geraten.
Da die internen Rechner eh nicht von außen erreichbar sind,
spielt es keine Rolle, ob sie die offizielle Domain verwen-
den oder nicht, und wenn man einen ordentlich konfigurier-
ten DNS-Service laufen hat (z.B. mit »split horizon« oder
int./ext.-Forwarding), sind auch die Hostnamen draußen
nicht sichtbar.
Wenn Du ganz sichergehen möchtest, kannst Du für alle in-
ternen Namen eine Subdomain verwenden, also nach dem Schema
*.intern.deinedomain.de (oder was auch immer), und nur Dein
interner DNS kennt diese Subdomain.
> Ausserdem sind die Namen dann sehr kurz.
Wie gesagt, Du mußt die Domain nicht immer mit eingeben,
daher ist das kein Argument.
> Wie macht Ihr das? Ist das Geschmackssache oder gibt es gute Gründe
> für eine der Versionen?
Ich persönlich benutze intern wie extern »flache« Namen
unter meiner Domain fromme.com. Einer der Rechner daheim
heißt z.B. voltago.fromme.com, aber auflösen läßt sich der
nur von intern. Dagegen ist trokan.fromme.com ein Rechner
von mir, der »draußen« steht und auch von extern auflösbar
ist.
Ursprünglich hatte ich mal überlegt, meine Sachen in Sub-
domains aufzuspalten (z.B. *.wlan.fromme.com für alle IPs
in meinem WLAN-Netz). Es hätte per-se nichts dagegen ge-
sprochen, aber da mir auch kein konkreter Nutzen einfiel,
habe ich's gelassen. (YMMV.)
Wenn man nicht allein ist, sondern zu mehreren an einem
Netz herumwerkelt, sollte man solche grundlegenden Design-
entscheidungen mit den anderen Admins abstimmen. Es kann
gut sein, daß der eine oder andere noch weitere Aspekte
einbringt, die im jeweiligen konkreten Fall von Bedeutung
sind und an die man nicht selbst gedacht hat. Zum Beispiel
kann die Unterteilung in Subdomains hilfreich sein, um die
Netzstruktur im DNS-Namensraum wiederzuspiegeln und somit
zu dokumentieren (was für eine größere gemischte Admin-
Truppe durchaus hilfreich sein kann).
Soweit meine 2 Eurocents zu dem Thema.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"When your hammer is C++, everything begins to look like a thumb."
-- Steve Haflich, in comp.lang.c++
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message
Received on Wed 21 Jul 2004 - 14:40:18 CEST