Qu'est-ce que DNS64 ?Qu'est-ce que NAT64 ?Configuration de DNS64 et NAT64

DNS64 et NAT64

La passerelle NAT A prend en charge la traduction d'adresses réseau de IPv6 vers IPv4, communément appelée NAT64. NAT64 permet à vos AWS ressources IPv6 de communiquer avec les ressources IPv4 du même VPC ou d'un autre VPC, sur votre réseau local ou sur Internet. Vous pouvez utiliser NAT64 avec DNS64 sur Amazon Route 53 Resolver ou utiliser votre propre serveur DNS64.

Qu'est-ce que DNS64 ?

Vos charges de travail IPv6 uniquement exécutées dans des VPC peuvent uniquement envoyer et recevoir des paquets réseau IPv6. Sans DNS64, une requête DNS pour un service IPv4 uniquement produira une adresse de destination IPv4 en réponse et votre service IPv6 uniquement ne peut pas communiquer avec. Pour combler ce manque de communication, vous pouvez activer le DNS64 pour un sous-réseau et il s'applique à toutes les AWS ressources de ce sous-réseau. Avec DNS64, Amazon Route 53 Resolver recherche l'enregistrement DNS du service que vous avez interrogé et effectue l'une des opérations suivantes :

Si l'enregistrement contient une adresse IPv6, il renvoie l'enregistrement d'origine et la connexion est établie sans aucune traduction via IPv6.
S'il n'y a pas d'adresse IPv6 associée à la destination dans l'enregistrement DNS, Route 53 Resolver en synthétise une en ajoutant le préfixe /96 bien connu, défini dans RFC6052 (64:ff9b::/96), à l'adresse IPv4 de l'enregistrement. Votre service IPv6 uniquement envoie des paquets réseau à l'adresse IPv6 synthétisée. Vous devrez ensuite acheminer ce trafic via la passerelle NAT, qui effectue la traduction nécessaire sur le trafic pour permettre aux services IPv6 de votre sous-réseau d'accéder aux services IPv4 en dehors de ce sous-réseau.

Vous pouvez activer ou désactiver le DNS64 sur un sous-réseau à l'aide de la AWS CLI ou de modify-subnet-attributela console VPC en sélectionnant un sous-réseau et en choisissant Actions > Modifier les paramètres du sous-réseau.

Qu'est-ce que NAT64 ?

NAT64 permet à vos services IPv6 uniquement dans les VPC Amazon de communiquer avec des services IPv4 uniquement au sein du même VPC (dans différents sous-réseaux) ou des VPC connectés, dans vos réseaux sur site ou sur Internet.

NAT64 est automatiquement disponible sur vos passerelles NAT existantes ou sur toutes les nouvelles passerelles NAT que vous créez. Il ne s'agit pas d'une fonction que vous pouvez activer ou désactiver.

Après avoir activé DNS64, si votre service IPv6 uniquement envoie des paquets réseau à une adresse IPv6 synthétisée via la passerelle NAT, les actions suivantes ont lieu :

Grâce au préfixe 64:ff9b::/96, la passerelle NAT reconnaît que la destination d'origine est IPv4 et traduit les paquets IPv6 en IPv4 en remplaçant :
- l'IPv6 source par sa propre adresse IP privée qui est traduite en adresse IP Elastic par la passerelle Internet ;
- l'IPv6 de destination par une IPv4 en tronquant le préfixe 64:ff9b::/96.
La passerelle NAT envoie les paquets IPv4 traduits vers la destination via la passerelle Internet, la passerelle réseau privé virtuel ou la passerelle de transit et initie une connexion.
L'hôte IPv4 uniquement renvoie des paquets de réponse IPv4. Une fois la connexion établie, la passerelle NAT accepte les paquets IPv4 de réponse provenant des hôtes externes.
Les paquets IPv4 de réponse sont destinés à la passerelle NAT, qui reçoit les paquets et annule le protocole NAT en remplaçant son adresse IP (IP de destination) par l'adresse IPv6 de l'hôte et en ajoutant à nouveau le préfixe 64:ff9b::/96 à l'adresse IPv4 source. Le paquet est ensuite acheminé vers l'hôte en suivant l'acheminement local.

De cette façon, la passerelle NAT permet à vos charges de travail IPv6 uniquement dans un sous-réseau de communiquer avec les services IPv4 uniquement en dehors du sous-réseau.

Configuration de DNS64 et NAT64

Suivez les étapes de cette section pour configurer DNS64 et NAT64 afin d'activer la communication avec les services IPv4 uniquement.

Table des matières

Activez la communication avec les services IPv4 uniquement sur Internet avec la CLI AWS
Activez la communication avec les services IPv4 uniquement dans votre environnement sur site

Activez la communication avec les services IPv4 uniquement sur Internet avec la CLI AWS

Si vous disposez d'un sous-réseau avec des charges de travail IPv6 uniquement qui doit communiquer avec des services IPv4 uniquement en dehors du sous-réseau, cet exemple montre comment configurer ces services IPv6 uniquement pour leur permettre de communiquer avec les services IPv4 uniquement sur Internet.

Vous devez d'abord configurer une passerelle NAT dans un sous-réseau public (distinct du sous-réseau contenant les charges de travail IPv6 uniquement). Par exemple, le sous-réseau contenant la passerelle NAT doit avoir une 0.0.0.0/0 route pointant vers la passerelle Internet.

Suivez ces étapes pour permettre à ces services IPv6 uniquement de se connecter à des services IPv4 uniquement sur Internet :

Ajoutez les trois acheminements suivants à la table de routage du sous-réseau contenant les charges de travail IPv6 uniquement :
- Acheminement IPv4 (le cas échéant) pointant vers la passerelle NAT.
- Acheminement 64:ff9b::/96 pointant vers la passerelle NAT. Cela permettra au trafic provenant de vos charges de travail IPv6 uniquement destinées aux services IPv4 uniquement d'être acheminé via la passerelle NAT.
- Acheminement ::/0 IPv6 pointant vers la passerelle Internet de sortie uniquement (ou la passerelle Internet).
Notez que le fait de pointer ::/0 vers la passerelle Internet permettra aux hôtes IPv6 externes (en dehors du VPC) d'initier une connexion via IPv6.
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408
```
```
aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9
```
Activez la fonctionnalité DNS64 dans le sous-réseau contenant les charges de travail IPv6 uniquement.
```
aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64
```

Désormais, les ressources de votre sous-réseau privé peuvent établir des connexions avec état avec les services IPv4 et IPv6 sur Internet. Configurez votre groupe de sécurité et vos listes ACL réseau de manière appropriée pour autoriser le trafic de sortie et d'entrée vers le trafic 64:ff9b::/96.

Activez la communication avec les services IPv4 uniquement dans votre environnement sur site

Amazon Route 53 Resolver vous permet de transférer des requêtes DNS depuis votre VPC vers un réseau sur site et vice versa. Pour ce faire, procédez comme suit :

Créez un point de terminaison Route 53 Resolver sortant dans un VPC et attribuez-lui les adresses IPv4 à partir desquelles vous souhaitez que Route 53 Resolver transfère les requêtes. Pour votre résolveur DNS sur site, ce sont les adresses IP d'où proviennent les requêtes DNS. Par conséquent, ce doit être des adresses IPv4.
Créez une ou plusieurs règles pour spécifier les noms de domaine des requêtes DNS que vous voulez que Route 53 Resolver transfère vers les résolveurs sur site. Spécifiez également les adresses IPv4 des résolveurs sur site.
Maintenant que vous avez configuré un point de terminaison Route 53 Resolver sortant, vous devez activer DNS64 sur le sous-réseau contenant vos charges de travail IPv6 uniquement et acheminer toutes les données destinées à votre réseau sur site via une passerelle NAT.

Fonctionnement de DNS64 pour les destinations IPv4 uniquement dans les réseaux sur site :

Vous attribuez une adresse IPv4 au point de terminaison Route 53 Resolver sortant dans votre VPC.
La requête DNS provenant de votre service IPv6 est transférée à Route 53 Resolver sur IPv6. Route 53 Resolver met la requête en correspondance avec la règle de transfert et obtient une adresse IPv4 pour votre résolveur sur site.
Route 53 Resolver convertit le paquet de requête d'IPv6 en IPv4 et le transmet au point de terminaison sortant. Chaque adresse IP du point de terminaison représente une ENI qui transmet la demande à l'adresse IPv4 sur site de votre résolveur DNS.
Le résolveur sur site renvoie le paquet de réponse sur IPv4 via le point de terminaison sortant vers Route 53 Resolver.
En supposant que la requête ait été effectuée à partir d'un sous-réseau compatible DNS64, Route 53 Resolver effectue deux opérations :
1. Il vérifie le contenu du paquet de réponses. Si une adresse IPv6 est présente dans l'enregistrement, il conserve le contenu tel quel, mais uniquement s'il ne contient qu'un enregistrement IPv4. Il synthétise également un enregistrement IPv6 en ajoutant le préfixe 64:ff9b::/96 à l'adresse IPv4.
2. Il recrée un package avec le contenu et l'envoie au service de votre VPC via IPv6.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Cas d’utilisation

CloudWatch métriques