DNS64und NAT64 - Amazon Virtual Private Cloud
Was istDNS64?Was ist? NAT64Konfigurieren und DNS64 NAT64

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

DNS64und NAT64

Ein NAT Gateway unterstützt die Netzwerkadressübersetzung von IPv6 nachIPv4, im Volksmund auch bekannt als. NAT64 NAT64hilft Ihren IPv6 AWS Ressourcen, mit IPv4 Ressourcen in demselben VPC oder einem anderen NetzwerkVPC, in Ihrem lokalen Netzwerk oder über das Internet zu kommunizieren. Sie können den Resolver NAT64 mit DNS64 Amazon Route 53 verwenden oder Ihren eigenen DNS64 Server verwenden.

Was istDNS64?

Ihre Workloads, die IPv6 nur in ausgeführt werden, VPCs können nur IPv6 Netzwerkpakete senden und empfangen. Andernfalls liefert eine DNS Abfrage nach einem DienstDNS64, der nur für die Option „IPv4-only“ bestimmt ist, als Antwort eine IPv4 Zieladresse, und Ihr IPv6 Nur-Dienst kann nicht mit dieser kommunizieren. Um diese Kommunikationslücke zu schließen, können Sie die Option DNS64 für ein Subnetz aktivieren. Die Aktivierung gilt dann für alle AWS Ressourcen innerhalb dieses Subnetzes. Mit DNS64 sucht der Amazon Route 53 Resolver nach dem DNS Datensatz für den Service, nach dem Sie gefragt haben, und führt einen der folgenden Schritte aus:

  • Wenn der Datensatz eine IPv6 Adresse enthält, wird der ursprüngliche Datensatz zurückgegeben und die Verbindung wird ohne Übersetzung hergestellt. IPv6

  • Wenn dem Ziel im DNS Datensatz keine IPv6 Adresse zugeordnet ist, synthetisiert der Route 53 Resolver eine, indem er der IPv4 Adresse im Datensatz das in RFC6 052 (64:ff9b::/96) definierte bekannte /96 Präfix voranstellt. Ihr IPv6 Only-Dienst sendet Netzwerkpakete an die synthetisierte Adresse. IPv6 Sie müssen diesen Datenverkehr dann durch das NAT Gateway leiten, das die erforderliche Übersetzung des Datenverkehrs durchführt, damit IPv6 Dienste in Ihrem Subnetz auf IPv4 Dienste außerhalb dieses Subnetzes zugreifen können.

Sie können die Aktivierung oder Deaktivierung DNS64 in einem Subnetz modify-subnet-attributemithilfe der AWS CLI oder mit der VPC Konsole vornehmen, indem Sie ein Subnetz auswählen und Aktionen > Subnetzeinstellungen bearbeiten wählen.

Was ist? NAT64

NAT64ermöglicht es Ihren IPv6 Nur-Diensten bei AmazonVPCs, mit IPv4 Nur-Diensten innerhalb derselben VPC (in verschiedenen Subnetzen) oder verbundenen DienstenVPCs, in Ihren lokalen Netzwerken oder über das Internet zu kommunizieren.

NAT64ist automatisch auf Ihren vorhandenen NAT Gateways oder auf allen neuen Gateways, die Sie erstellen, verfügbar. NAT Es ist kein Feature, das Sie aktivieren oder deaktivieren können. Das Subnetz, in dem sich das NAT Gateway befindet, muss kein Dual-Stack-Subnetz sein, damit es funktioniert. NAT64

Wenn Ihr IPv6 Only-Dienst nach der Aktivierung DNS64 Netzwerkpakete über das NAT Gateway an eine synthetisierte IPv6 Adresse sendet, passiert Folgendes:

  • Anhand des 64:ff9b::/96 Präfixes erkennt das NAT Gateway, dass es sich um das ursprüngliche Ziel handelt, IPv4 und übersetzt die IPv6 Pakete in Folgendes, indem es Folgendes ersetzt: IPv4

    • Quelle IPv6 mit eigener privater IP, die vom Internet-Gateway in eine Elastic IP-Adresse übersetzt wird.

    • Ziel IPv6 zu, IPv4 indem das Präfix gekürzt wird64:ff9b::/96.

  • Das NAT Gateway sendet die übersetzten IPv4 Pakete über das Internet-Gateway, das Virtual Private Gateway oder das Transit-Gateway an das Ziel und initiiert eine Verbindung.

  • Der Host „IPv4-only“ sendet IPv4 Antwortpakete zurück. Nachdem eine Verbindung hergestellt wurde, akzeptiert das NAT Gateway die IPv4 Antwortpakete von den externen Hosts.

  • Die IPv4 Antwortpakete sind für das NAT Gateway bestimmt, das die Pakete empfängt und NATs sie degeneriert, indem es seine IP (Ziel-IP) durch die IPv6 Adresse des Hosts ersetzt und der IPv4 Quelladresse wieder 64:ff9b::/96 voranstellt. Das Paket fließt dann in der lokalen Route zum Host.

Auf diese Weise ermöglicht das NAT Gateway Ihren IPv6 reinen Workloads in einem Subnetz die Kommunikation mit IPv4 Nur-Diensten außerhalb des Subnetzes.

Konfigurieren und DNS64 NAT64

Folgen Sie den Schritten in diesem Abschnitt, um die Kommunikation mit IPv4 reinen Diensten NAT64 zu konfigurieren DNS64 und zu aktivieren.

Ermöglichen Sie die IPv4 Kommunikation mit reinen Diensten im Internet mit dem AWS CLI

Wenn Sie über ein Subnetz mit IPv6 reinen Workloads verfügen, das mit IPv4 Nur-Diensten außerhalb des Subnetzes kommunizieren muss, zeigt Ihnen dieses Beispiel, wie Sie diese Nur-Dienste für die Kommunikation mit IPv6 Nur-Diensten im Internet aktivieren. IPv4

Sie sollten zunächst ein NAT Gateway in einem öffentlichen Subnetz konfigurieren (getrennt von dem Subnetz, das die reinen Workloads enthält). IPv6 Beispielsweise sollte das Subnetz, das das NAT Gateway enthält, eine 0.0.0.0/0 Route haben, die auf das Internet-Gateway zeigt.

Gehen Sie wie folgt vor, damit diese IPv6 Nur-Dienste eine Verbindung zu IPv4 Nur-Diensten im Internet herstellen können:

  1. Fügen Sie der Routentabelle des Subnetzes, das die reinen Workloads enthält, die folgenden drei Routen hinzu: IPv6

    • IPv4Route (falls vorhanden), die auf das Gateway verweist. NAT

    • 64:ff9b::/96Route, die auf das NAT Gateway zeigt. Auf diese Weise kann der Datenverkehr von Ihren Workloads, die IPv6 nur für IPv4 -Dienste bestimmt sind, durch das Gateway geleitet werden. NAT

    • IPv6::/0Route, die auf das Internet-Gateway für ausgehenden Datenverkehr (oder das Internet-Gateway) verweist.

    Beachten Sie, dass das Zeigen ::/0 auf das Internet-Gateway es externen IPv6 Hosts (außerhalb desVPC) ermöglicht, eine Verbindung herzustellen. IPv6

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9

  2. Aktivieren Sie die DNS64 Funktion in dem Subnetz, das die reinen IPv6 Workloads enthält.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64

Jetzt können Ressourcen in Ihrem privaten Subnetz statusbehaftete Verbindungen IPv4 sowohl IPv6 mit Diensten im Internet herstellen. Konfigurieren Sie Ihre Sicherheitsgruppe NACLs entsprechend, um ausgehenden und eingehenden Datenverkehr dem Datenverkehr zuzulassen. 64:ff9b::/96

Ermöglichen Sie die Kommunikation mit IPv4 reinen Diensten in Ihrer lokalen Umgebung

Mit Amazon Route 53 Resolver können Sie DNS Anfragen von Ihrem Netzwerk VPC an ein lokales Netzwerk weiterleiten und umgekehrt. Sie können dies wie folgt tun:

  • Sie erstellen einen ausgehenden Route 53 Resolver-Endpunkt in a VPC und weisen ihm die IPv4 Adressen zu, von denen Route 53 Resolver Abfragen weiterleiten soll. Für Ihren lokalen DNS Resolver sind dies die IP-Adressen, von denen die DNS Abfragen stammen, und es sollten sich daher um Adressen handeln. IPv4

  • Sie erstellen eine oder mehrere Regeln, die die Domänennamen der DNS Abfragen angeben, die Route 53 Resolver an Ihre lokalen Resolver weiterleiten soll. Sie geben auch die IPv4 Adressen der lokalen Resolver an.

  • Nachdem Sie nun einen ausgehenden Route 53 Resolver-Endpunkt eingerichtet haben, müssen Sie ihn in DNS64 dem Subnetz aktivieren, das IPv6 nur Ihre Workloads enthält, und alle Daten, die für Ihr lokales Netzwerk bestimmt sind, über ein Gateway weiterleiten. NAT

So DNS64 funktioniert das für reine Ziele in lokalen Netzwerken: IPv4

  1. Sie weisen dem ausgehenden Route 53 Resolver-Endpunkt in Ihrem eine IPv4 Adresse zu. VPC

  2. Die DNS Anfrage von Ihrem IPv6 Service geht an Route 53 Resolver vorbeiIPv6. Route 53 Resolver gleicht die Abfrage mit der Weiterleitungsregel ab und ruft eine IPv4 Adresse für Ihren lokalen Resolver ab.

  3. Route 53 Resolver konvertiert das Abfragepaket von IPv6 in IPv4 und leitet es an den ausgehenden Endpunkt weiter. Jede IP-Adresse des Endpunkts stellt eine IP-Adresse darENI, die die Anfrage an die lokale IPv4 Adresse Ihres Resolvers weiterleitet. DNS

  4. Der lokale Resolver sendet das Antwortpaket über den ausgehenden Endpunkt IPv4 zurück an den Route 53 Resolver.

  5. Unter der Annahme, dass die Abfrage von einem DNS64 -aktivierten Subnetz aus gestellt wurde, führt Route 53 Resolver zwei Dinge aus:

    1. Überprüft den Inhalt des Antwortpakets. Wenn der Datensatz eine IPv6 Adresse enthält, wird der Inhalt unverändert beibehalten, wenn er jedoch nur einen Datensatz enthält. IPv4 Es synthetisiert auch einen IPv6 Datensatz, indem es der IPv4 Adresse 64:ff9b::/96 vorangestellt wird.

    2. Packt den Inhalt neu und sendet ihn in Ihrem Over an den Dienst. VPC IPv6