12.5. BIND: caratteristiche avanzate

La maggior parte delle versioni di BIND utilizza named per fornire servizi di risoluzione nomi o per fungere da autorità per un particolare dominio o sottodominio. Tuttavia la versione 9 di BIND comprende una serie di caratteristiche avanzate che, se opportunamente configurate e utilizzate, garantiscono un servizio DNS più sicuro ed efficiente.

CautelaAvvertenza
 

Alcune di questi contenuti, come DNSSEC, TSIG e IXFR, andrebbero usate solo in ambienti di rete con nameserver che supportano talicontenuti. Se la vostra rete comprende nameserver non BIND o con versioni precedenti, verificate che ogni contenuto sia supportato prima di usarlo.

Tutte le caratteristiche trattate in questo paragrafo vengono approfondite nel BIND 9 Administrator Reference Manual in la Sezione 12.7.

12.5.1. Miglioramenti del protocollo DNS

BIND supporta i trasferimenti di zona incrementali (IXFR), grazie ai quali un nameserver slave effettua solo il download delle parti aggiornate di una zona modificata su di un nameserver master. Il processo di trasferimento standard richiede che l'intera zona venga trasferita a ogni nameserver slave, perfino per la più piccola modifica. Per domini molto diffusi con file di zona lunghi e molti nameserver slave, IXFR semplifica i processi di notifica e aggiornamento.

IXFR è disponibile solo se utilizzate un aggiornamento dinamico per modificare i record della zona master. Se invece modificate manualmente il file zone per effettuare dei cambiamenti, viene utilizzato AXFR. Per maggiori informazioni sull'aggiornamento dinamico, consultate il BIND 9 Administrator Reference Manual. Per maggiori informazioni, far riferimento a la Sezione 12.7.1.

12.5.2. Visualizzazioni multiple

Mediante l'uso dell'istruzione view del file named.conf BIND presenta informazioni diverse a seconda di quale rete effettua la richiesta.

Questa possibilità è utile soprattutto se desiderate che i client esterni alla vostra rete non possano eseguire un determinato servizio DNS, ma non volete invece escludere i client interni.

L'istruzione view utilizza l'opzione match-clients per far corrispondere indirizzi IP o reti intere e per offrire loro opzioni speciali e dati di zona.

12.5.3. Sicurezza

BIND supporta vari metodi di protezione per l'aggiornamento e il trasferimento di zone, in entrambi i server master e slave:

12.5.4. IP versione 6

La versione 9 di BIND supporta il servizio del nome in ambienti IP versione 6 (IPv6) utilizzando i record di zona A6.

Se la vostra rete comprende host con IPv4 e IPv6, è necessario usare il demone lwresd (lightweight resolver daemon) nei vostri client. Questo demone è un server dei nomi caching-only davvero efficiente, che riconosce i nuovi record A6 e DNAME utilizzati con IPv6. Per maggiori informazioni, consultate la pagina man di lwresd.