<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<br>
<div class="moz-cite-prefix">On 10/05/18 08:06, Pabluster wrote:<br>
</div>
<blockquote type="cite" cite="mid:CABiG3wXhSg=uvCKLKVNt=+32Bi-CCNMdEVitk-gdJFkikr_rMw@mail.gmail.com">
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>Hola listeros, quizás esta consulta es básica para vosotros, pero estoy en busca de conseguir un alto performance en una red.<br>
<br>
</div>
El Problema es el siguiente:<br>
<br>
</div>
Tengo una red conectada a internet por medio de un firewall, cuyo firewall hace la hora de router separando los traficos de la red en varias vlans, estas están dedicadas a varios propósitos, sobre todo a separar la administración de la red, de clientes intrusos
como también generando una dmz que es donde ira una granja de varios servicios.<br>
Por sentido común, tengo dos NS en la DMZ cuyo objetivo es resolver las consultas realizadas desde internet con el fin de publicar estos servicios al mundo.
<br>
con el fin de tener el máximo de Performance tengo un NS en la vlan de administración y otro en la vlan de clientes como DNS-Cache<br>
<br>
</div>
Las preguntas:<br>
</div>
<br>
1.- es necesario configurar los NS de las vlan's de administración y de los clientes como NS-Locales para que accedan a los servicios alojados en la DMZ de forma que resuelvan por la red local y no estén saliendo a internet para acceder a estos servicios?<br>
<br>
</div>
2.- a vista de ojos mas expertos y considerando como un ejemplo estas tres vlan's (administración, clientes y dmz) cuantos dns debería de tener en cada red de estas y que tipo de configuración me recomiendan para cada caso?<br>
<br>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div><br>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
</blockquote>
<br>
Hola Pablo,<br>
<br>
entiendo que los NS que tenés en las VLAN de administración y clientes son <b>resolvers</b> (es decir, que brindan servicio de resolución de todos los nombres de internet para los usuarios locales y clientes) y los dos NS que tenés en la DMZ son
<b>autoritativos</b> (es decir, los que publican la información de tus dominios a toda la internet). Tené en cuenta que, si bien toda la vida llamamos "servidores DNS" a ambas cosas y ambos servicios utilizan el mismo protocolo en el mismo puerto, son conceptualmente
distintos y, si bien podrías brindarlos juntos (y de hecho, lo hacíamos casi siempre hace 20 años o más), hoy conviene separarlos.<br>
<br>
Suponiendo que efectivamente lo que tenés en las VLAN de administración y clientes son resolvers y los de la DMZ son autoritativos, la cantidad depende de varias cosas.<br>
<br>
Con 2 autoritativos en la DMZ te va a alcanzar. Se recomienda utilizar más pero "separarlos" (es decir, podrías contratar un servicio de DNS autoritativo secundario para tener cobertura en distintos puntos del mundo, pero si están topológicamente juntos no
tiene sentido tener más de uno o dos).<br>
<br>
En general, la percepción de "velocidad" para los usuarios depende de la performance de los
<b>resolvers</b>. El hecho de que los <b>resolvers</b> tengan acceso a los autoritativos tuyos a través de internet o por un camino más local no creo que tenga una influencia muy grande ya que en general el resolver obtiene la información del autoritativo una
vez y luego la tiene cacheada localmente (hasta que expira) y contesta inmediatamente. Por otra parte, el consumo que hagan tus usuarios de tus propios nombres, probablemente sea relativamente marginal, y la mayor parte del tiempo estén resolviendo nombres
públicos sobre los que no tenés control (google, facebook, clientes, proveedores, etc).<br>
<br>
Lo que te va a importar para que tus usuarios y clientes tengan buena "performance de DNS" es que tus resolvers sean rápidos y funcionen bien. En general uno debería poder asegurar la disponibilidad del servicio con lo cual sería recomendable tener al menos
dos en cada VLAN. Luego de eso, hay que ver las cuestiones de performance.<br>
<br>
Cuando uno tiene varios resolvers con cache, a diferencia de lo que pasa con otros servicios (como mail o web), en general es mejor tener todo el tráfico posible en el mismo servidor
<b><i>hasta</i></b> que se empiece a perder performane (normalmente porque el servidor no puede contestar y dropea consultas) ya que lo que te conviene es tener la cache de ese servidor llena de información para poder contestar instantáneamente sin hacer las
consultas autoritativas "hacia afuera".<br>
<br>
La gente de PowerDNS tiene un producto que se llama DNSdist que es una especie de "load balancer" de DNS que maneja estos conceptos. Es decir, intenta enviar todas las consultas al mismo resolver hasta que detecta una pérdida de performance.<br>
<br>
En cuanto a la cantidad efectiva de resolvers para poner en cuanto a performance, depende muchísimo de la cantidad de usuarios de cada lado. Además, una cosa es una oficina, otra cosa un ISP corporativo y otra un proveedor de servicios a redes celulares.<br>
<p><br>
</p>
<div class="moz-signature">
<table>
<tbody>
<tr>
<td style="width:77.75pt; padding:0cm 0cm 0cm 0cm" valign="top" width="100">
<p><span style=""><a href="https://nic.ar" target="_blank"><img id="logo_NIC_firma" src="cid:part1.BA33B12A.D5B26F15@nic.ar" alt="NIC
Argentina" name="logo_NIC_firma" height="90" width="92"></a></span></p>
</td>
<td style="width:278.55pt; padding:0cm 0cm 0cm 0cm" valign="top" width="400">
<p><b><span style="font-size:10.0pt;
font-family:Arial,sans-serif; color:#767171;
letter-spacing:.5pt">Mariano Absatz</span></b><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:gray"><b>Consultor de Tecnología</b></span><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#767171">E-mail:</span>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#52A9DE">
<a href="mailto:mariano@nic.ar">mariano@nic.ar</a></span><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#767171"><b>Dirección Nacional del Registro de Dominios de Internet</b></span><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#767171">San Martín 536 1°Piso (C1004AAL), C.A.B.A.</span><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#767171">+54 (11) 5238-1350</span><br>
<span style="font-size:8.0pt;
font-family:Arial,sans-serif; color:#767171">Argentina</span></p>
</td>
</tr>
</tbody>
</table>
<br>
</div>
</body>
</html>