Qu'est-ce qu'DNS64 ?Qu'est-ce qu'NAT64 ?Configurer DNS64 et NAT64

DNS64et NAT64

Une NAT passerelle prend en charge la traduction d'adresses réseau de IPv6 versIPv4, communément appeléeNAT64. NAT64permet à vos IPv6 AWS ressources de communiquer avec IPv4 des ressources identiques VPC ou différentesVPC, sur votre réseau local ou sur Internet. Vous pouvez l'utiliser NAT64 avec DNS64 Amazon Route 53 Resolver ou utiliser votre propre DNS64 serveur.

Qu'est-ce qu'DNS64 ?

Vos charges de travail IPv6 uniquement exécutées ne VPCs peuvent envoyer et recevoir que des paquets IPv6 réseau. Dans le cas contraireDNS64, une DNS requête pour un service IPv4 réservé produira une adresse de IPv4 destination en réponse et votre IPv6 service réservé ne pourra pas communiquer avec lui. Pour combler ce manque de communication, vous pouvez activer DNS64 un sous-réseau et cela s'applique à toutes les AWS ressources de ce sous-réseau. AvecDNS64, Amazon Route 53 Resolver recherche l'DNSenregistrement du service que vous avez demandé et effectue l'une des opérations suivantes :

Si l'enregistrement contient une IPv6 adresse, il renvoie l'enregistrement d'origine et la connexion est établie sans qu'aucune traduction ne soit effectuéeIPv6.
Si aucune IPv6 adresse n'est associée à la destination dans l'DNSenregistrement, le résolveur Route 53 en synthétise une en ajoutant le /96 préfixe connu, défini dans RFC6 052 (64:ff9b::/96), à l'adresse de l'IPv4enregistrement. Votre service IPv6 réservé uniquement envoie des paquets réseau à l'adresse synthétisée. IPv6 Vous devrez ensuite acheminer ce trafic via la NAT passerelle, qui effectue la traduction nécessaire sur le trafic pour permettre aux services de votre sous-réseau d'accéder IPv4 aux IPv6 services situés en dehors de ce sous-réseau.

Vous pouvez activer ou désactiver DNS64 sur un sous-réseau à l'modify-subnet-attributeaide de AWS CLI ou avec la VPC console en sélectionnant un sous-réseau et en choisissant Actions > Modifier les paramètres du sous-réseau.

Qu'est-ce qu'NAT64 ?

NAT64permet à vos services IPv6 uniquement sur Amazon de VPCs communiquer avec des services IPv4 réservés au sein du même réseau VPC (dans différents sous-réseaux) ou connectésVPCs, sur vos réseaux locaux ou via Internet.

NAT64est automatiquement disponible sur vos NAT passerelles existantes ou sur toutes les nouvelles NAT passerelles que vous créez. Il ne s'agit pas d'une fonction que vous pouvez activer ou désactiver. Le sous-réseau dans lequel se trouve la NAT passerelle n'a pas besoin d'être un sous-réseau à double pile pour NAT64 fonctionner.

Après l'activationDNS64, si votre service réservé IPv6 uniquement envoie des paquets réseau à une IPv6 adresse synthétisée via la NAT passerelle, voici ce qui se passe :

À partir du 64:ff9b::/96 préfixe, la NAT passerelle reconnaît que la destination d'origine est IPv4 et traduit les IPv6 paquets IPv4 en remplaçant :
- Source IPv6 avec sa propre adresse IP privée qui est traduite en adresse IP élastique par la passerelle Internet.
- Destination IPv6 vers IPv4 en tronquant le 64:ff9b::/96 préfixe.
La NAT passerelle envoie les IPv4 paquets traduits à la destination via la passerelle Internet, la passerelle privée virtuelle ou la passerelle de transit et établit une connexion.
L'hôte IPv4 -only renvoie les paquets de IPv4 réponse. Une fois la connexion établie, la NAT passerelle accepte les IPv4 paquets de réponse des hôtes externes.
Les IPv4 paquets de réponse sont destinés à la NAT passerelle, qui reçoit les paquets et NATs les supprime en remplaçant son IP (IP de destination) par l'IPv6adresse de l'hôte et en commençant par 64:ff9b::/96 l'IPv4adresse source. Le paquet est ensuite acheminé vers l'hôte en suivant l'acheminement local.

De cette façon, la NAT passerelle permet à vos charges de travail IPv6 uniquement situées dans un sous-réseau de communiquer avec des services IPv4 uniquement situés en dehors du sous-réseau.

Configurer DNS64 et NAT64

Suivez les étapes décrites dans cette section pour configurer DNS64 et NAT64 activer la communication avec les services IPv4 réservés.

Table des matières

Activez la communication avec les services Internet réservés IPv4 uniquement à l'aide du AWS CLI
Activez la communication IPv4 uniquement avec les services de votre environnement sur site

Activez la communication avec les services Internet réservés IPv4 uniquement à l'aide du AWS CLI

Si vous avez un sous-réseau avec des IPv6 charges de travail réservées qui doivent communiquer avec des services IPv4 uniquement extérieurs au sous-réseau, cet exemple vous montre comment activer ces services uniquement pour communiquer avec IPv4 des services IPv6 uniquement sur Internet.

Vous devez d'abord configurer une NAT passerelle dans un sous-réseau public (distinct du sous-réseau IPv6 contenant les charges de travail uniquement). Par exemple, le sous-réseau contenant la NAT passerelle doit avoir une 0.0.0.0/0 route pointant vers la passerelle Internet.

Procédez comme suit pour permettre à ces services IPv6 réservés de se connecter à des services IPv4 uniquement sur Internet :

Ajoutez les trois itinéraires suivants à la table de routage du sous-réseau IPv6 contenant les charges de travail uniquement :
- IPv4itinéraire (le cas échéant) pointant vers la NAT passerelle.
- 64:ff9b::/96route pointant vers la NAT passerelle. Cela permettra au trafic provenant de vos charges de travail IPv6 réservées uniquement à des services IPv4 uniquement d'être acheminé via la passerelle. NAT
- IPv6::/0route pointant vers la passerelle Internet de sortie uniquement (ou la passerelle Internet).
Notez que le fait ::/0 de pointer vers la passerelle Internet permettra aux IPv6 hôtes externes (extérieurs àVPC) d'établir une connexionIPv6.
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9
```
Activez la DNS64 fonctionnalité dans le sous-réseau contenant les charges de IPv6 travail uniquement.
```
aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
```

Désormais, les ressources de votre sous-réseau privé peuvent établir des connexions dynamiques avec les deux réseaux IPv4 et les IPv6 services sur Internet. Configurez votre groupe de sécurité de NACLs manière appropriée pour autoriser le trafic sortant et entrant dans le trafic. 64:ff9b::/96

Activez la communication IPv4 uniquement avec les services de votre environnement sur site

Amazon Route 53 Resolver vous permet de transférer des DNS requêtes de votre réseau VPC vers un réseau sur site et vice versa. Pour ce faire, procédez comme suit :

Vous créez un point de terminaison sortant du résolveur Route 53 dans un VPC et vous lui attribuez les IPv4 adresses à partir desquelles vous souhaitez que le résolveur Route 53 transfère les requêtes. Pour votre DNS résolveur local, il s'agit des adresses IP d'où proviennent les DNS requêtes et doivent donc être IPv4 des adresses.
Vous créez une ou plusieurs règles qui spécifient les noms de domaine des DNS requêtes que vous souhaitez que Route 53 Resolver transmette à vos résolveurs locaux. Vous spécifiez également les IPv4 adresses des résolveurs locaux.
Maintenant que vous avez configuré un point de terminaison sortant Route 53 Resolver, vous devez l'activer DNS64 sur le sous-réseau IPv6 contenant uniquement vos charges de travail et acheminer toutes les données destinées à votre réseau local via une passerelle. NAT

Comment DNS64 fonctionne pour les destinations IPv4 réservées aux réseaux locaux :

Vous attribuez une IPv4 adresse au point de terminaison sortant Route 53 Resolver dans votre. VPC
La DNS requête de votre IPv6 service est envoyée à Route 53 ResolverIPv6. Route 53 Resolver fait correspondre la requête à la règle de transfert et obtient une IPv4 adresse pour votre résolveur local.
Route 53 Resolver convertit le paquet de requête de IPv6 en IPv4 et le transmet au point de terminaison sortant. Chaque adresse IP du point de terminaison représente une adresse ENI qui transmet la demande à l'IPv4adresse locale de votre DNS résolveur.
Le résolveur local renvoie le paquet de réponse via le point de IPv4 terminaison sortant au résolveur Route 53.
En supposant que la requête a été effectuée à partir d'un sous-réseau DNS64 activé, Route 53 Resolver effectue deux opérations :
1. Il vérifie le contenu du paquet de réponses. Si l'enregistrement contient une IPv6 adresse, il conserve le contenu tel quel, mais s'il ne contient qu'un IPv4 enregistrement. Il synthétise également un IPv6 enregistrement en commençant par 64:ff9b::/96 l'IPv4adresse.
2. Reconditionne le contenu et l'envoie au service qui se trouve dans votre couvertureVPC. IPv6

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Cas d’utilisation

CloudWatch métriques