DNS64dan NAT64 - Amazon Virtual Private Cloud
Apa yang dimaksud dengan DNS64?Apa yang dimaksud dengan NAT64?Konfigurasikan DNS64 dan NAT64

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

DNS64dan NAT64

NATGateway mendukung terjemahan alamat jaringan dari IPv6 keIPv4, yang dikenal sebagaiNAT64. NAT64membantu IPv6 AWS sumber daya Anda berkomunikasi dengan IPv4 sumber daya yang sama VPC atau berbedaVPC, di jaringan lokal Anda atau melalui internet. Anda dapat menggunakan NAT64 dengan DNS64 di Amazon Route 53 Resolver atau menggunakan server Anda sendiri. DNS64

Apa yang dimaksud dengan DNS64?

Beban kerja IPv6 -only Anda yang berjalan hanya VPCs dapat mengirim dan menerima paket IPv6 jaringan. TanpaDNS64, DNS kueri untuk layanan IPv4 -only akan menghasilkan alamat IPv4 tujuan sebagai tanggapan dan layanan IPv6 -only Anda tidak dapat berkomunikasi dengannya. Untuk menjembatani kesenjangan komunikasi ini, Anda dapat mengaktifkan DNS64 subnet dan itu berlaku untuk semua AWS sumber daya dalam subnet itu. DenganDNS64, Amazon Route 53 Resolver mencari catatan untuk layanan DNS yang Anda kueri dan melakukan salah satu hal berikut:

  • Jika catatan berisi IPv6 alamat, ia mengembalikan catatan asli dan koneksi dibuat tanpa terjemahan apa punIPv6.

  • Jika tidak ada IPv6 alamat yang terkait dengan tujuan dalam DNS catatan, Route 53 Resolver mensintesisnya dengan mendahului /96 awalan terkenal, yang didefinisikan dalam RFC6 052 (64:ff9b::/96), ke alamat dalam catatan. IPv4 Layanan IPv6 -only Anda mengirimkan paket jaringan ke alamat yang disintesisIPv6. Anda kemudian perlu mengarahkan lalu lintas ini melalui NAT gateway, yang melakukan terjemahan yang diperlukan pada lalu lintas untuk memungkinkan IPv6 layanan di subnet Anda mengakses IPv4 layanan di luar subnet itu.

Anda dapat mengaktifkan atau menonaktifkan DNS64 pada subnet menggunakan menggunakan AWS CLI atau dengan VPC konsol dengan memilih subnet dan memilih Actions > Edit pengaturan subnet. modify-subnet-attribute

Apa yang dimaksud dengan NAT64?

NAT64memungkinkan layanan IPv6 -only Anda di Amazon VPCs untuk berkomunikasi dengan layanan IPv4 -only dalam subnet yang sama VPC (dalam subnet yang berbeda) atau terhubungVPCs, di jaringan lokal Anda, atau melalui internet.

NAT64secara otomatis tersedia di NAT gateway yang ada atau di NAT gateway baru yang Anda buat. Ini bukan fitur yang Anda aktifkan atau nonaktifkan. Subnet tempat NAT gateway berada tidak perlu menjadi subnet dual-stack agar dapat berfungsi. NAT64

Setelah Anda mengaktifkanDNS64, jika layanan IPv6 -only Anda mengirim paket jaringan ke IPv6 alamat yang disintesis melalui NAT gateway, hal berikut terjadi:

  • Dari 64:ff9b::/96 awalan, NAT gateway mengenali bahwa tujuan asli adalah IPv4 dan menerjemahkan IPv6 paket ke dengan mengganti: IPv4

    • Sumber IPv6 dengan IP pribadinya sendiri yang diterjemahkan ke alamat IP Elastis oleh gateway internet.

    • Tujuan IPv6 ke IPv4 dengan memotong awalan. 64:ff9b::/96

  • NATGateway mengirimkan IPv4 paket yang diterjemahkan ke tujuan melalui gateway internet, gateway pribadi virtual, atau gateway transit dan memulai koneksi.

  • Host IPv4 -only mengirim kembali paket IPv4 respons. Setelah koneksi dibuat, NAT gateway menerima IPv4 paket respons dari host eksternal.

  • IPv4Paket respon ditujukan untuk NAT gateway, yang menerima paket dan de- NATs mereka dengan mengganti IP (IP tujuan) dengan alamat host dan prepending kembali 64:ff9b::/96 ke IPv6 alamat sumber. IPv4 Paket kemudian mengalir ke host mengikuti rute lokal.

Dengan cara ini, NAT gateway memungkinkan beban kerja IPv6 -only Anda di subnet untuk berkomunikasi dengan layanan IPv4 -only di luar subnet.

Konfigurasikan DNS64 dan NAT64

Ikuti langkah-langkah di bagian ini untuk mengonfigurasi DNS64 dan NAT64 mengaktifkan komunikasi dengan layanan IPv4 -only.

Aktifkan komunikasi dengan layanan IPv4 -only di internet dengan AWS CLI

Jika Anda memiliki subnet dengan beban kerja IPv6 -only yang perlu berkomunikasi dengan layanan IPv4 -only di luar subnet, contoh ini menunjukkan kepada Anda cara mengaktifkan layanan -only ini untuk berkomunikasi dengan IPv4 layanan IPv6 -only di internet.

Anda harus terlebih dahulu mengonfigurasi NAT gateway di subnet publik (terpisah dari subnet yang berisi beban kerja IPv6 -only). Misalnya, subnet yang berisi NAT gateway harus memiliki 0.0.0.0/0 rute yang menunjuk ke gateway internet.

Selesaikan langkah-langkah ini untuk mengaktifkan layanan IPv6 -only ini untuk terhubung dengan layanan IPv4 -only di internet:

  1. Tambahkan tiga rute berikut ke tabel rute subnet yang berisi beban kerja IPv6 -only:

    • IPv4rute (jika ada) menunjuk ke NAT gateway.

    • 64:ff9b::/96rute yang menunjuk ke NAT gateway. Ini akan memungkinkan lalu lintas dari beban kerja IPv6 -only Anda yang ditujukan untuk layanan IPv4 -only yang akan dirutekan melalui gateway. NAT

    • IPv6::/0rute yang menunjuk ke gateway internet khusus egres (atau gateway internet).

    Perhatikan bahwa menunjuk ::/0 ke gateway internet akan memungkinkan IPv6 host eksternal (di luarVPC) untuk memulai koneksi. IPv6

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9

  2. Aktifkan DNS64 kemampuan di subnet yang berisi beban kerja IPv6 -only.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64

Sekarang, sumber daya di subnet pribadi Anda dapat membangun koneksi stateful dengan keduanya IPv4 dan IPv6 layanan di internet. Konfigurasikan grup keamanan Anda dan NACLs dengan tepat untuk memungkinkan lalu lintas keluar dan masuk ke lalu lintas. 64:ff9b::/96

Aktifkan komunikasi dengan layanan IPv4 -only di lingkungan lokal

Amazon Route 53 Resolver memungkinkan Anda DNS meneruskan kueri dari VPC jaringan lokal ke jaringan lokal dan sebaliknya. Anda dapat melakukan ini dengan melakukan hal berikut:

  • Anda membuat titik akhir keluar Route 53 Resolver di a VPC dan menetapkannya IPv4 alamat yang Anda inginkan Route 53 Resolver untuk meneruskan kueri. Untuk DNS resolver lokal Anda, ini adalah alamat IP tempat DNS kueri berasal dan, oleh karena itu, harus berupa alamat. IPv4

  • Anda membuat satu atau beberapa aturan yang menentukan nama domain DNS kueri yang ingin diteruskan Route 53 Resolver ke resolver lokal. Anda juga menentukan IPv4 alamat resolver lokal.

  • Setelah menyiapkan titik akhir keluar Route 53 Resolver, Anda harus mengaktifkan DNS64 subnet yang berisi beban kerja IPv6 -only dan merutekan data apa pun yang ditujukan untuk jaringan lokal Anda melalui gateway. NAT

Cara DNS64 kerja untuk tujuan IPv4 -only di jaringan lokal:

  1. Anda menetapkan IPv4 alamat ke titik akhir keluar Route 53 Resolver di titik akhir Anda. VPC

  2. DNSKueri dari IPv6 layanan Anda masuk ke Route 53 Resolver over. IPv6 Route 53 Resolver mencocokkan kueri dengan aturan penerusan dan mendapatkan IPv4 alamat untuk resolver lokal Anda.

  3. Route 53 Resolver mengkonversi paket query dari IPv6 ke IPv4 dan meneruskannya ke endpoint keluar. Setiap alamat IP titik akhir mewakili alamat ENI yang meneruskan permintaan ke IPv4 alamat lokal resolver Anda. DNS

  4. Penyelesai lokal mengirimkan paket respons IPv4 kembali melalui titik akhir keluar ke Route 53 Resolver.

  5. Dengan asumsi kueri dibuat dari subnet DNS64 yang diaktifkan, Route 53 Resolver melakukan dua hal:

    1. Memeriksa isi paket respons. Jika ada IPv6 alamat dalam catatan, itu menyimpan konten apa adanya, tetapi jika hanya berisi IPv4 catatan. Ini mensintesis IPv6 catatan juga dengan mendahului 64:ff9b::/96 alamat. IPv4

    2. Mengepak ulang konten dan mengirimkannya ke layanan di VPC over IPv6 Anda.