Configuración recomendada para resolvers de ISPs

• Introducción
• Configuración recomendada
• Transición

Introducción

• un servicio de resolver para los clientes conmutados y
• un servicio de nombres primario y secundario para aquellos que quieren tener un dominio propio.

El escenario típico de error es el siguiente:

1. Un ISP provee servicio de resolver en la máquina dns.isp.cl, cuya dirección IP se configura como servidor de DNS en todos sus clientes de acceso conmutado.
2. Un cliente contrata con él un hosting para su dominio ejemplo.cl.
3. El cliente inscribe su dominio en el NIC con dns.isp.cl como servidor primario.
4. El ISP modifica la configuración de dns.isp.cl para que actúe como primario para ejemplo.cl.
5. Todo funciona bien durante un tiempo...
6. El cliente decide cambiarse de ISP, y contrata hosting y DNS primario con dns.otro-isp.cl. Se modifica correctamente la configuración de ejemplo.cl en el NIC y la configuración del nuevo ISP.
7. Todo el mundo ve bien la nueva ubicación de ejemplo.cl, excepto los clientes conmutados del primer ISP.

Una solución para este problema sería que, al irse un cliente, el ISP de inmediato lo eliminara de su zona, pero la experiencia muestra que esto no siempre se hace oportunamente y, a veces, no se hace nunca.

Recomendación de configuración correcta

Un servidor provisto como resolver para uso público no debe al mismo tiempo servir como primario ni secundario para ningún dominio.

1. resolver.isp.cl, para uso de los clientes conmutados (y, en general, de todos quienes necesiten resolución de nombres); esta máquina sólo necesita mantener al día la lista de servidores raíz y estar configurada para responder consultas recursivas
2. dns.isp.cl, para servicio primario y secundario de clientes; esta máquina está configurada para no responder preguntas recursivas, es decir, no acepta actuar como resolver.

   Si no es fácil contar con dos máquinas separadas, se pueden correr ambos servicios en la misma máquina usando dos direcciones IP diferentes (el port debe ser el mismo del DNS estándar), asignando una dirección explícitamente a una versión del servidor (resolver o primario).

   Transición

   Para migrar a la configuración recomendada, lo más simple darle al resolver una nueva dirección IP, porque si los clientes conmutados obtienen su configuración dinámicamente al conectarse (con DHCP) obtendrán automáticamente la dirección correcta. Para permitir la transición de aquellos clientes que tengan configurado el servidor de DNS estáticamente, se debería mantener al antiguo servidor resolviendo consultas recursivas durante un tiempo, anunciando que esta funcionalidad será eliminada a partir de una fecha dada.

   Por lo tanto la secuencia en el tiempo es:

   1. Habilitar un nuevo resolver en una nueva dirección IP
   2. Cambiar la configuración de los clientes, para que usen de resolver ese nuevo servidor
   3. Desactivar las respuestas recursivas en el viejo servidor, que ahora sólo mantendrá los primarios y secundarios.

   La recomendación anterior es una buena política incluso para empresas que dan servicio de DNS primario o secundario a sus propios dominios, porque facilita la administración. Si embargo, bajo condiciones controladas, ellas pueden mezclar las dos funcionalidades en un mismo servidor, porque pueden responsabilizarse de que todos los cambios se hagan y porque, en último término, cualquier falla de resolución de nombres sólo los afecta a ellos y no a terceros.

   Por otra parte, debemos enfatizar que para los ISPs que proveen servicio de resolución de nombres a los consumidores, es muy recomendable adoptar la política aquí descrita, porque de lo contrario se arriesgan a que su resolver esté entregando información distinta de la de todos los otros resolvers del mundo, lo cual significaría en la práctica estar comercializando un servicio defectuoso.

   NIC Chile

   Santiago, 18 de diciembre de 2000.