Daniel Widrick's questions

我们example.com组织的一个分支机构向我们施加了实施 DNSSEC 的压力：security.example.com.

ns1.example.com我们当前的名称服务器ns2.example.com是未签名的非 dnssec 服务器。

我们想ns1.example.com用作隐藏的主节点并按照以下方式实现内联登录：Example #2。我们新的启用 DNSSEC 的服务器example.com将是dns1.example.com和dns2.example.com.

我们希望将DS记录发布给.com注册商，以便我们可以在内部测试新的 DNSSEC 服务器。将SOA保留ns1.example.com（并且NS记录暂时不包括 DNSSEC 服务器）。

我的问题是：

如果我们为我们的 DNSSEC 服务器发布DS记录，当 dnssec 验证 DNS 服务器意识到在或.com没有 DNSSEC 功能时，它们会中断吗？ns1.example.comns2.example.com

和

对于这种混合设置，我们是否应该注意其他任何副作用？

我知道足够的网络是危险的。NAT 的底层细节并不是我特别了解的。

我无意中发现自己在今天早些时候的一次讨论中关于将我们的一堆节点放在 NAT 网关后面。（1 个公共 IP 地址和 X 个私有 LAN 地址）。我在 TCP 协议中调用了对源和目标端口字段的 16 位限制，（http://www.ietf.org/rfc/rfc793.txt - 第 15 页）并提到它会将我们限制为大约 65,000 个连接（ 65536）。——我对那个答案不再那么自信了。你能帮我提供一些细节吗？

我知道我们这边的传入端口（服务器端口）可以接受与 sourceIP x SourcePort 组合一样多的连接。让我们暂时忽略这些，关注源自 LAN、通过 NAT 网关并在随机端口上的随机主机上结束的连接。

在普通的 [Linux] 系统上，我认为每个源 IP 每个端口的传出连接限制为 1 个。如果我们假设我们生活在一个简单的世界中，每个系统只有一个 IP 地址，那么“正常系统”将被限制为最多 65536 个连接。

1) 在 TCP 中，单源 IP 是否限制为 65536 MAX 理论上的传出连接？

2）或者每个远程主机的限制实际上是 65536 个连接？

2）【换种方式写】：同一个源端口可以用于不同的remoteHostIP:RemotePort组合吗？

例如：（以下可以吗？）

Source IP   |Source Port |Remote IP|Remote Port   
192.168.0.20:36500   -->    8.8.8.8:23
192.168.0.20:36500   -->    8.8.4.4:23

3) 问题 1 和 2 的答案对于...'非正常系统'[充当 NAT 网关的思科路由器] 的答案是否不同？

例如：一个专门的网络设备，它有一个面向公众的 IP 和多达 65,000 个局域网 IP [或更多]？是否有魔法，或者问题2的答案总是：是的？（或者没有）

4）以上问题都假设有状态的TCP连接。像 UDP 这样的无状态连接有什么不同吗？

最终：

5) 我们的 LAN 是否会被限制为通过单个公共 IP 地址与外界的 65536 个（或其他一些理论上的限制）并发连接？

谢谢！:)

出于这个问题的目的，我们支持非常强大且全新的 Cisco Nexus 设备（我认为是 7000 系列）。除非可以具体量化，否则最好忽略内存/等限制。