※ 引述《alextwl (小镜~)》之铭言： : ※ 引述《ggg12345 (ggg)》之铭言： : : 假如教育部官员设定这台 DNS 当 server, 使用 browser 想看国立大学网站, : 在本部里能查到就没问题，外出的使用者要自己想办法。 : 而且我不认为常人会在移动装置把 DNS 设定写死，通常当地 ISP 也会提供 DNS。 : : MOECC 主任不挨骂也难 ! : 我来问问看赵主任有没有挨骂过。 :P MOEMOON 是 TWNIC 的机器. MOEVAX 则是老制的 DNS server, 上下层间有备援, 兼各大学 DNS 的 secondary server, 以现在这种隔离舱(自私自利)的做法下, 因为此 项传统仍在, MOE 才能透过 MOEVAX 找得到各大学的网页. 若 MOE 都设 MOEMOON 为 DNS server 看 MOECC主任 会不会挨骂?! : : 这台机器是由一个很有经费且靠这个在吃饭的单位所经营的, 这种 : : 管理心态是跟这个单位很不匹配的. : 对象不予置评。但如果由我来管理，我会认为 recursive 不是必要的服务， : 而且世界各地的网路几乎都有自己的 DNS，当地使用者去问当地 resolver 即可， : 我不会为了极少数人的特殊需求砸钱，因为还有许多比这更值得投注经费的事物。 现在台湾的 DNS server 因隔离舱的自私自利, 都设定限本地 IP-address 查询本地 的网址, 若 DNS 不回答外部的域名查询, 就需连到外部域名的原管辖 name server 查询, 若原管辖server 只回答当地的 user 询问, 要如何个问出答案? un-ahthorized answer 就是代理回覆, 回的就是非管辖区外的域名与网址对应. 代理回覆安全性来自於由 网址自 root 反查串的整串信任核验, 这假设是基於认 知的 root server 是可靠可信任的. recusive 回覆的需要是因为 IE browser 只就 URL 域名向 resolver 查询, resolver 不会自动 iterative 查询. 老 TANET 时代建制的 V4 dns server 都是支援代理查询, 某些学校自私自利的设定不协助外校 resolver 及外域 名查询, 众所周知这是配合 hinet dns 的开放而来. 如果不回答校外 resolver 查询, 也不协助查询校外域名. 大家都这样做, 那 是要 user 如何个查法, 才能查得到校外网站? : : 那麽 cisco 有义务做这种事吗 ? : 你大可举出一堆例子，这世上永远会有人跳出来做慈善事业。 : 你会问 Cisco 可以、为什麽 MOECC 不行，我相信以我们国力一定可以， : 但承上段所述，我认为这理由仍不够充分到会想投入心力。 : : 1.全世界的 DNS 都会向 ROOT server 从上到下查询, 下游三级以上的 DNS : : server 会有这样的负担吗? 两者的负担能相比拟? : root servers 的规模及其严谨的营运能力也非寻常单位所能比拟的。 : 而且超过半数的 roots 在世界各地都有 anycast servers， : 这等架构是不能与一般 DNS servers 相提并论的。 替远地 DNS server mirror 也兼代理回答, 就是 anycast 的刍型. 早期的 TANET 也是这样做, 只是现在的 anycast 是透过 router 做全自动全透通的代理回答. 没有甚麽不能相提并论的, 只是 root server 老美不随便让别地方自动 mirror 罢了! : : 2.如果 root dns server 代替做 recursive 查询, 那全世界可能有很多知 : : 情的 NIC 都会反对. root server 有特异功能, 能迳自对某个域名直接回 : : 答 A 记录. 一般的 DNS server 是办不到的. : 有特异功能又怎样？我看不出这跟 recursive 有何关连。别扯远了。 你看不出, 不代表没关连, 是吧 ! root 的架构与软体设计, 先天上就是能设定任何 A 记录迳自回答, 所以知情的都只要 root server 回答 ns server 就好, 不要回 A 记录. : 我还是看不出来有何理由要求这世上的 DNS servers 都给代查。 : 何况是谁在逼迫 client 去连非法独立的 DNS server？ 要求世界上的 dns server "都" 给代查? 对 root dns server 就没必要, 也不该做! 可没人要 root 代查 ! ================= DNS server 与 DNS server 上下间是个 trust and authorized relation, 彼此有某种程度能验明身份, 她是 server 也是 client 还认知彼此身份. 若是正规的 DNS server 她代理查来的都会是可信任, 是对的. 1 若 DNS 彼此间不询问代查, client 端就要能向管辖该域名之外地 DNS 能够 查询. 但只有 resolver 的 client 则无法像 DNS server 能彼此认知合法 DNS . 2 若 Client 端被外地 DNS 禁止不能向外地 DNS 查询, 那麽本地的 DNS server 就要协助代理向外地 DNS 查询. 1 与 2 是不可以同时发生的, 现在 V4 可以, 是有不限查询者与被查询对象 的 DNS server 存在. 如果只限本地 client 只能查询本地域名, 那不就是孤岛一个 ? : ISP 提供网路服务通常也会建置 DNS resolver，使用者应该去问自家的 resolver。 : 看你扯了那麽多，想必拥有相当的技术力吧？ : 如果没有可以问的 resolver，除了要求 ISP，也可以自己架一个啊！ : 一步一步问，总会问到 authoratative server 吧？ resolver 是DNS 的 client端, 每台上网(internet)机器都有, 不用自 己架啦! 如禁止外地 client 查询 DNS server, 那还能上网去那里问得到喔 ? 是该移动到那里, 再租条当地的 ISP 线路吗? 还是有 ISP 的 V6 dns 是正确, 肯开放代查的, 这不用只关心自利者 烦恼. 只是没有多部 DNS 开放查询就无从查验记录是否正确, 是否 国外也查得到. : : 要推 IPV6 是很难不用名称查询後, 直接来往的. V6 DNS server 在初创期 : : 都不肯替其他单位代理查询, 这个手动找原 DNS server 查询, 如果再碰到 : : 个不替外单位来源 ip-address 提供查询使用的管理者, 那这种用法会有可 : : 能, 会好用吗 ? : 若就初期推广的理由来看可以讨论，不过我认为各地 ISP 有义务提供 IPv6 resolver， : 你就别指望他人提供免费的 resolver、不如去要求自己的 ISP 吧！ 有这种网管的学校, 使用者一定是哭笑不得 ! ※ 编辑: ggg12345 来自: 140.115.4.12 (07/11 15:40)