DNS64 et NAT64 - Amazon Virtual Private Cloud

DNS64 et NAT64

La passerelle NAT A prend en charge la traduction d'adresses réseau de IPv6 vers IPv4, communément appelée NAT64. NAT64 aide vos ressources AWS IPv6 à communiquer avec les ressources IPv4 du même VPC ou d'un autre VPC, sur votre réseau sur site ou sur Internet. Vous pouvez utiliser NAT64 avec DNS64 sur Amazon Route 53 Resolver ou utiliser votre propre serveur DNS64.

Qu'est-ce que DNS64 ?

Vos charges de travail IPv6 uniquement exécutées dans des VPC peuvent uniquement envoyer et recevoir des paquets réseau IPv6. Sans DNS64, une requête DNS pour un service IPv4 uniquement produira une adresse de destination IPv4 en réponse et votre service IPv6 uniquement ne peut pas communiquer avec. Pour combler cette lacune de communication, vous pouvez activer DNS64 pour un sous-réseau. Ce service s'applique à toutes les ressources AWS au sein de ce sous-réseau. Avec DNS64, Amazon Route 53 Resolver recherche l'enregistrement DNS du service que vous avez interrogé et effectue l'une des opérations suivantes :

  • Si l'enregistrement contient une adresse IPv6, il renvoie l'enregistrement d'origine et la connexion est établie sans aucune traduction via IPv6.

  • S'il n'y a pas d'adresse IPv6 associée à la destination dans l'enregistrement DNS, Route 53 Resolver en synthétise une en ajoutant le préfixe /96 bien connu, défini dans RFC6052 (64:ff9b::/96), à l'adresse IPv4 de l'enregistrement. Votre service IPv6 uniquement envoie des paquets réseau à l'adresse IPv6 synthétisée. Vous devrez ensuite acheminer ce trafic via la passerelle NAT, qui effectue la traduction nécessaire sur le trafic pour permettre aux services IPv6 de votre sous-réseau d'accéder aux services IPv4 en dehors de ce sous-réseau.

Vous pouvez activer ou désactiver DNS64 sur un sous-réseau à l'aide de modify-subnet-attribute avec la CLI AWS ou avec la console VPC en sélectionnant un sous-réseau et en choisissant Actions > Edit subnet settings (Modifier les paramètres de sous-réseaux).

Qu'est-ce que NAT64 ?

NAT64 permet à vos services IPv6 uniquement dans les VPC Amazon de communiquer avec des services IPv4 uniquement au sein du même VPC (dans différents sous-réseaux) ou des VPC connectés, dans vos réseaux sur site ou sur Internet.

NAT64 est automatiquement disponible sur vos passerelles NAT existantes ou sur toutes les nouvelles passerelles NAT que vous créez. Il ne s'agit pas d'une fonction que vous pouvez activer ou désactiver.

Une fois que vous avez activé DNS64 et que votre service IPv6 uniquement envoie des paquets réseau à l'adresse IPv6 synthétisée via la passerelle NAT, les actions suivantes ont lieu :

  • Grâce au préfixe 64:ff9b::/96, la passerelle NAT reconnaît que la destination d'origine est IPv4 et traduit les paquets IPv6 en IPv4 en remplaçant :

    • l'IPv6 source par sa propre adresse IP privée qui est traduite en adresse IP Elastic par la passerelle Internet ;

    • l'IPv6 de destination par une IPv4 en tronquant le préfixe 64:ff9b::/96.

  • La passerelle NAT envoie les paquets IPv4 traduits vers la destination via la passerelle Internet, la passerelle réseau privé virtuel ou la passerelle de transit et initie une connexion.

  • L'hôte IPv4 uniquement renvoie des paquets de réponse IPv4. Une fois la connexion établie, la passerelle NAT accepte les paquets IPv4 de réponse provenant des hôtes externes.

  • Les paquets IPv4 de réponse sont destinés à la passerelle NAT, qui reçoit les paquets et annule le protocole NAT en remplaçant son adresse IP (IP de destination) par l'adresse IPv6 de l'hôte et en ajoutant à nouveau le préfixe 64:ff9b::/96 à l'adresse IPv4 source. Le paquet est ensuite acheminé vers l'hôte en suivant l'acheminement local.

De cette façon, la passerelle NAT permet à vos charges de travail IPv6 uniquement dans un sous-réseau Amazon VPC de communiquer avec les services IPv4 uniquement n'importe où en dehors du sous-réseau.

Configuration de DNS64 et NAT64

Suivez les étapes de cette section pour configurer DNS64 et NAT64 afin d'activer la communication avec les services IPv4 uniquement.

Activez la communication avec les services IPv4 uniquement sur Internet avec la CLI AWS

Si vous disposez d'un sous-réseau avec des charges de travail IPv6 uniquement qui doit communiquer avec des services IPv4 uniquement en dehors du sous-réseau, cet exemple montre comment configurer ces services IPv6 uniquement pour leur permettre de communiquer avec les services IPv4 uniquement sur Internet.

Vous devez d'abord configurer une passerelle NAT dans un sous-réseau public (distinct du sous-réseau contenant les charges de travail IPv6 uniquement). Par exemple, le sous-réseau contenant la passerelle NAT doit comporter un acheminement 0.0/0 pointant vers la passerelle Internet.

Suivez ces étapes pour permettre à ces services IPv6 uniquement de se connecter à des services IPv4 uniquement sur Internet :

  1. Ajoutez les trois acheminements suivants à la table de routage du sous-réseau contenant les charges de travail IPv6 uniquement :

    • Acheminement IPv4 (le cas échéant) pointant vers la passerelle NAT.

    • Acheminement 64:ff9b::/96 pointant vers la passerelle NAT. Cela permettra au trafic provenant de vos charges de travail IPv6 uniquement destinées aux services IPv4 uniquement d'être acheminé via la passerelle NAT.

    • Acheminement ::/0 IPv6 pointant vers la passerelle Internet de sortie uniquement (ou la passerelle Internet).

    Notez que le fait de pointer ::/0 vers la passerelle Internet permettra aux hôtes IPv6 externes (en dehors du VPC) d'initier une connexion via IPv6.

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block 0.0.0.0/0 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block 64:ff9b::/96 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
  2. Activez la fonctionnalité DNS64 dans le sous-réseau contenant les charges de travail IPv6 uniquement.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d –-enable-dns64

Désormais, les ressources de votre sous-réseau privé peuvent établir des connexions avec état avec les services IPv4 et IPv6 sur Internet. Configurez votre groupe de sécurité et vos listes ACL réseau de manière appropriée pour autoriser le trafic de sortie et d'entrée vers le trafic 64:ff9b::/96.

Activez la communication avec les services IPv4 uniquement dans votre environnement sur site

Amazon Route 53 Resolver vous permet de transférer des requêtes DNS depuis votre VPC vers un réseau sur site et vice versa. Pour ce faire, procédez comme suit :

  • Créez un point de terminaison Route 53 Resolver sortant dans un VPC et attribuez-lui les adresses IPv4 à partir desquelles vous souhaitez que Route 53 Resolver transfère les requêtes. Pour votre résolveur DNS sur site, ce sont les adresses IP d'où proviennent les requêtes DNS. Par conséquent, ce doit être des adresses IPv4.

  • Créez une ou plusieurs règles pour spécifier les noms de domaine des requêtes DNS que vous voulez que Route 53 Resolver transfère vers les résolveurs sur site. Spécifiez également les adresses IPv4 des résolveurs sur site.

  • Maintenant que vous avez configuré un point de terminaison Route 53 Resolver sortant, vous devez activer DNS64 sur le sous-réseau contenant vos charges de travail IPv6 uniquement et acheminer toutes les données destinées à votre réseau sur site via une passerelle NAT.

Fonctionnement de DNS64 pour les destinations IPv4 uniquement dans les réseaux sur site :

  1. Vous attribuez une adresse IPv4 au point de terminaison Route 53 Resolver sortant dans votre VPC.

  2. La requête DNS provenant de votre service IPv6 est transférée à Route 53 Resolver sur IPv6. Route 53 Resolver met la requête en correspondance avec la règle de transfert et obtient une adresse IPv4 pour votre résolveur sur site.

  3. Route 53 Resolver convertit le paquet de requête d'IPv6 en IPv4 et le transmet au point de terminaison sortant. Chaque adresse IP du point de terminaison représente une ENI qui transmet la demande à l'adresse IPv4 sur site de votre résolveur DNS.

  4. Le résolveur sur site renvoie le paquet de réponse sur IPv4 via le point de terminaison sortant vers Route 53 Resolver.

  5. En supposant que la requête ait été effectuée à partir d'un sous-réseau compatible DNS64, Route 53 Resolver effectue deux opérations :

    1. Il vérifie le contenu du paquet de réponses. Si une adresse IPv6 est présente dans l'enregistrement, il conserve le contenu tel quel, mais uniquement s'il ne contient qu'un enregistrement IPv4. Il synthétise également un enregistrement IPv6 en ajoutant le préfixe 64:ff9b::/96 à l'adresse IPv4.

    2. Il recrée un package avec le contenu et l'envoie au service de votre VPC via IPv6.