從IPv4到IPv6，中國根服務器到底誰說了算

　　IPv6時代正快速來臨，在IPv4時代，人們一直困惑的“中國缺乏DNS根服務器”的情況是否因此有了改善?一些報道中所說的中國已經部署了IPv6的1臺主根，3臺輔根的根服務器又是怎么回事呢?

　　就這些問題，記者采訪了國內最早的互聯網加速服務提供商藍汛ChinaCache的技術專家、資深架構師王立鷗。

　　域名服務器如同“黃頁”

　　在以前的書信時代，人們寫信時要在信封上寫明收信地址和寄信地址，“××市××路××號××室”，這樣信件才會按照收信地址送到對方的手中，對方也會知道是誰、從哪里郵寄過來的。也就是說，每個單位、每戶人家都有自己的“門牌號”，從而方便信息傳遞。

　   以前也經常碰到這種情況，自己只知道對方單位的名稱，但不知道對方的具體地址、郵編信息。這個時候，人們經常通過翻厚厚的“中國黃頁”來進行查詢，找到具體的地址。

　　互聯網時代其實也是如此，每個網站都有自己的“郵政編碼”，但這是用一長串數字(IP地址， IPv4時代是32位，IPv6時代是128位)來表示的，普通人根本無法記住。所以網站都采用了比較容易讓人記住的網址，比如說baidu.com，qq.com，amazon.com等等。

　　王立鷗介紹說，人們在瀏覽器中輸入網址后，比如說amazon.com，訪問的網址中域名的部分會被瀏覽器發往DNS服務器做解析，然后服務器再將用戶所訪問網站的IP地址傳送回來。瀏覽器拿到網站的IP地址后，再發出自己的請求，然后就可以登錄。這樣一個域名和IP地址之間相互查詢轉換的服務操作的技術體系就叫做DNS(Domain Name System)。

　　由此可見，域名服務器的查詢轉換工作是非常重要的，它如同是“域名的黃頁”，如果不能通過它找到網站對應的IP地址，用戶自然上不了網。

　　然而，域名服務的查詢不是一次操作完成的，代理我們用戶進行查詢的DNS服務器(通常就是運營商的DNS服務器)只是進行代理查詢和緩存，采用的是一個迭代的過程。這個過程，和我們管理地理地址的邏輯是一樣的，如同從國家->省->市一樣，從根服務器開始查詢，一直查到目標訪問的域名服務器。這樣，從域名管理的角度看， 每個層級就只管自己那一段的域名管理，相互不干涉了。

　　中國沒有根服務器是誤解

　　IPv4是第一個被廣泛使用的IP協議，現在全世界正處于從IPv4向IPv6升級的階段。一些自媒體之基于中國沒有全球根域名服務器，如果一旦被“卡住脖子”，斷掉了根服務器的訪問途徑，無法進行域名解析，就可能被斷網了。這就如同沒有“中國黃頁”，人們寫信時查詢不到對方的地址，自然也就無法通信了。

　　現在，比較常見的說法是：全球有13個根服務器(1個主根服務器+12個輔根服務器)，其中主根服務器和9個輔根服務器都在美國，另外英國、瑞典和日本各有一個輔根服務器。也就是說，中國沒有根服務器。

　　對于這種觀點，王立鷗認為這是一個片面的理解，“互聯網非常早的時期，是這樣，但現在根本不是這樣。中國沒有根服務器的說法是不對的。”

　　“北京至少有四個根服務器鏡像:I、J、F、L根服務器。根服務器實際上是個集群，比如I服務器，在北京有I服務器，在美國和歐洲也有I服務器，它們用的是同一個IP地址。”王立鷗介紹說，根服務器通過anycast協議來實現尋址，“anycast協議的好處是，當用戶要訪問一個IP地址的時候，系統會先看離用戶最近的有這個IP地址的服務器在哪。比如中國用戶在訪問I服務器，那么數據包沒必要跑到其他地方，處理包在北京就能實現。”所有的鏡像之間的內容是嚴格同步的。不存在單獨系統管理者私自修改內容的可能性。

　　王立鷗還舉例表示，以前南美地區互聯網訪問的根服務器鏡像都在美國邁阿密，后來南美本地流量增多以后，在本地也設置了根服務器鏡像。

　　“而且，很多大的運營商都將根服務器的內容映射過來，從而直接從自己的系統中進行域名解析，在進行解析操作時候，直接從自己的映射的鏡像來進行查詢解析，從而提高給自己服務的用戶的整個解析請求的速度。”王立鷗說道。

　　另外，根服務器是由不同的企業和非盈利組織來運營的。比如說，L服務器是由ICANN負責運營的，ICANN的中文名稱是互聯網名稱與數字地址分配機構，是一家非營利社團。2016年10月，美國商務部下屬機構國家電信和信息局把互聯網域名管理權(IANA)完全交給ICANN，這標志著互聯網邁出走向全球共治的重要一步。

　　中國逐步獲得純IPv6根服務器的運行和管理經驗

　　考慮到我國互聯網的安全性，由于所有的13個根的運營者都非中國的企業和組織，而由于IPv4的DNS數據包的容量限制，又沒有可能再添加新的根的信息。因此，在IPv4的環境下，要想解決自主可控的根服務器，幾無可能。

　　如果說，IPv6相對于IPv4在DNS域名解析的變化，那就是IPv6時代，和DNSSEC越來越廣泛的運用，使得承載DNS請求和響應的UDP協議數據包不再成為限制根服務器數量的限制。

　　我國“互聯網工程中心”聯合日本WIDE機構(現國際互聯網M根運營者)和互聯網域名工程中心(ZDNS)等共同發起了“雪人計劃”， 其官網是 www.yeti-dns.org。從這個項目的主頁上，Yeti DNS Project 的標題下，可以看到一個副標題：“--A Live IPv6-only Root DNS Server System Testbed”即在線的純IPv6 DNS根服務器系統測試床。

　　雪人計劃(Yeti DNS Project)的安排是2015年6月底前，面向全球招募25個根服務器運營志愿單位，共同對IPv6根服務器運營、域名系統安全擴展密鑰簽名和密鑰輪轉等方面進行測試驗證。由于雪人的服務器不是真正的根服務器，因此，就不可能得到zone更新的通知信息(RFC1996)。雪人服務器通過無需鑒權的輪詢方式從13個根當中的F根來獲取zone文件和更新。雪人計劃一共是3個DM(distribution master)分別是BII(中國)，WIDE(日本)和TISF(美國)。

　　雪人計劃的關閉時間是2018年底。

　　雖然，雪人計劃目前看沒有帶給我們獨立的根服務器，但是，雪人計劃成功地幫助我們掌握了DNS根服務器的運行和管理技術。體現了我國在IPv6時代管理和服務DNS根服務器的不斷進步的技術能力。這個對于快速鋪開的IPv6網絡的中國因特網具有極大的安全意義。