DNS64 dan NAT64 - Amazon Virtual Private Cloud
Apa itu DNS64?Apa itu NAT64?Konfigurasikan DNS64 dan NAT64

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

DNS64 dan NAT64

Gateway NAT mendukung terjemahan alamat jaringan dari IPv6 ke IPv4, yang dikenal sebagai NAT64. NAT64 membantu sumber daya IPv6 Anda berkomunikasi dengan AWS sumber daya IPv4 di VPC yang sama atau VPC yang berbeda, di jaringan lokal Anda atau melalui internet. Anda dapat menggunakan NAT64 dengan DNS64 di Amazon Route 53 Resolver atau menggunakan server DNS64 Anda sendiri.

Apa itu DNS64?

Beban kerja khusus IPv6 Anda yang berjalan di VPC hanya dapat mengirim dan menerima paket jaringan IPv6. Tanpa DNS64, kueri DNS untuk layanan khusus IPv4 akan menghasilkan alamat tujuan IPv4 sebagai tanggapan dan layanan khusus IPv6 Anda tidak dapat berkomunikasi dengannya. Untuk menjembatani kesenjangan komunikasi ini, Anda dapat mengaktifkan DNS64 untuk subnet dan itu berlaku untuk semua AWS sumber daya dalam subnet itu. Dengan DNS64, Amazon Route 53 Resolver mencari data DNS untuk layanan yang Anda kueri dan melakukan salah satu hal berikut:

  • Jika catatan berisi alamat IPv6, ia mengembalikan catatan asli dan koneksi dibuat tanpa terjemahan apa pun melalui IPv6.

  • Jika tidak ada alamat IPv6 yang terkait dengan tujuan dalam catatan DNS, Route 53 Resolver mensintesisnya dengan mendahului /96 awalan terkenal, yang didefinisikan dalam RFC6052 (), ke alamat IPv4 dalam catatan. 64:ff9b::/96 Layanan khusus IPv6 Anda mengirimkan paket jaringan ke alamat IPv6 yang disintesis. Anda kemudian perlu merutekan lalu lintas ini melalui gateway NAT, yang melakukan terjemahan yang diperlukan pada lalu lintas untuk memungkinkan layanan IPv6 di subnet Anda mengakses layanan IPv4 di luar subnet itu.

Anda dapat mengaktifkan atau menonaktifkan DNS64 pada subnet menggunakan menggunakan AWS CLI atau dengan konsol VPC dengan memilih subnet dan memilih Actions > Edit pengaturan subnet. modify-subnet-attribute

Apa itu NAT64?

NAT64 memungkinkan layanan khusus IPv6 Anda di VPC Amazon untuk berkomunikasi dengan layanan khusus IPv4 dalam VPC yang sama (dalam subnet yang berbeda) atau VPC yang terhubung, di jaringan lokal Anda, atau melalui internet.

NAT64 secara otomatis tersedia di gateway NAT Anda yang ada atau di gateway NAT baru yang Anda buat. Ini bukan fitur yang Anda aktifkan atau nonaktifkan.

Setelah Anda mengaktifkan DNS64, jika layanan khusus IPv6 Anda mengirim paket jaringan ke alamat IPv6 yang disintesis melalui gateway NAT, hal berikut terjadi:

  • Dari 64:ff9b::/96 awalan, gateway NAT mengakui bahwa tujuan aslinya adalah IPv4 dan menerjemahkan paket IPv6 ke IPv4 dengan mengganti:

    • Sumber IPv6 dengan IP pribadinya sendiri yang diterjemahkan ke alamat IP Elastis oleh gateway internet.

    • Tujuan IPv6 ke IPv4 dengan memotong awalan. 64:ff9b::/96

  • Gateway NAT mengirimkan paket IPv4 yang diterjemahkan ke tujuan melalui gateway internet, gateway pribadi virtual, atau gateway transit dan memulai koneksi.

  • Host khusus IPv4 mengirimkan kembali paket respons IPv4. Setelah koneksi dibuat, gateway NAT menerima paket respons IPv4 dari host eksternal.

  • Paket IPv4 respon ditujukan untuk gateway NAT, yang menerima paket dan de-NAT mereka dengan mengganti IP (IP tujuan) dengan alamat IPv6 host dan prepending kembali ke alamat IPv4 sumber. 64:ff9b::/96 Paket kemudian mengalir ke host mengikuti rute lokal.

Dengan cara ini, gateway NAT memungkinkan beban kerja khusus IPv6 Anda di subnet untuk berkomunikasi dengan layanan khusus IPv4 di luar subnet.

Konfigurasikan DNS64 dan NAT64

Ikuti langkah-langkah di bagian ini untuk mengonfigurasi DNS64 dan NAT64 untuk mengaktifkan komunikasi dengan layanan khusus IPv4.

Aktifkan komunikasi dengan layanan khusus IPv4 di internet dengan CLI AWS

Jika Anda memiliki subnet dengan beban kerja khusus IPv6 yang perlu berkomunikasi dengan layanan khusus IPv4 di luar subnet, contoh ini menunjukkan kepada Anda cara mengaktifkan layanan khusus IPv6 ini untuk berkomunikasi dengan layanan khusus IPv4 di internet.

Pertama-tama Anda harus mengonfigurasi gateway NAT di subnet publik (terpisah dari subnet yang berisi beban kerja khusus IPv6). Misalnya, subnet yang berisi gateway NAT harus memiliki 0.0.0.0/0 rute yang menunjuk ke gateway internet.

Selesaikan langkah-langkah ini untuk mengaktifkan layanan khusus IPv6 ini untuk terhubung dengan layanan khusus IPv4 di internet:

  1. Tambahkan tiga rute berikut ke tabel rute subnet yang berisi beban kerja khusus IPv6:

    • Rute IPv4 (jika ada) menunjuk ke gateway NAT.

    • 64:ff9b::/96rute yang menunjuk ke gateway NAT. Ini akan memungkinkan lalu lintas dari beban kerja khusus IPv6 Anda yang ditujukan untuk layanan khusus IPv4 untuk dirutekan melalui gateway NAT.

    • ::/0Rute IPv6 menunjuk ke gateway internet khusus egres (atau gateway internet).

    Perhatikan bahwa menunjuk ::/0 ke gateway internet akan memungkinkan host IPv6 eksternal (di luar VPC) untuk memulai koneksi melalui IPv6.

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block
0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block
::/0 --egress-only-internet-gateway-id eigw-c0a643a9

  2. Aktifkan kemampuan DNS64 di subnet yang berisi beban kerja khusus IPv6.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64

Sekarang, sumber daya di subnet pribadi Anda dapat membangun koneksi stateful dengan layanan IPv4 dan IPv6 di internet. Konfigurasikan grup keamanan dan NACL Anda dengan tepat untuk memungkinkan lalu lintas keluar dan masuk ke lalu lintas. 64:ff9b::/96

Aktifkan komunikasi dengan layanan khusus IPv4 di lingkungan lokal Anda

Amazon Route 53 Resolver memungkinkan Anda meneruskan kueri DNS dari VPC ke jaringan lokal dan sebaliknya. Anda dapat melakukan ini dengan melakukan hal berikut:

  • Anda membuat titik akhir keluar Route 53 Resolver di VPC dan menetapkannya alamat IPv4 yang Anda inginkan Route 53 Resolver untuk meneruskan kueri. Untuk penyelesai DNS lokal Anda, ini adalah alamat IP tempat kueri DNS berasal dan, oleh karena itu, harus berupa alamat IPv4.

  • Anda membuat satu atau beberapa aturan yang menentukan nama domain kueri DNS yang ingin diteruskan Route 53 Resolver ke resolver lokal Anda. Anda juga menentukan alamat IPv4 dari resolver lokal.

  • Setelah menyiapkan titik akhir keluar Route 53 Resolver, Anda perlu mengaktifkan DNS64 di subnet yang berisi beban kerja khusus IPv6 dan merutekan data apa pun yang ditujukan untuk jaringan lokal Anda melalui gateway NAT.

Cara kerja DNS64 untuk tujuan khusus IPv4 di jaringan lokal:

  1. Anda menetapkan alamat IPv4 ke titik akhir keluar Route 53 Resolver di VPC Anda.

  2. Kueri DNS dari layanan IPv6 Anda masuk ke Route 53 Resolver melalui IPv6. Route 53 Resolver mencocokkan kueri dengan aturan penerusan dan mendapatkan alamat IPv4 untuk resolver lokal Anda.

  3. Route 53 Resolver mengubah paket kueri dari IPv6 menjadi IPv4 dan meneruskannya ke titik akhir keluar. Setiap alamat IP titik akhir mewakili satu ENI yang meneruskan permintaan ke alamat IPv4 lokal dari penyelesai DNS Anda.

  4. Penyelesai lokal mengirimkan paket respons melalui IPv4 kembali melalui titik akhir keluar ke Route 53 Resolver.

  5. Dengan asumsi kueri dibuat dari subnet berkemampuan DNS64, Route 53 Resolver melakukan dua hal:

    1. Memeriksa isi paket respons. Jika ada alamat IPv6 dalam catatan, itu menyimpan konten apa adanya, tetapi jika hanya berisi catatan IPv4. Ini mensintesis catatan IPv6 juga dengan prepending 64:ff9b::/96 ke alamat IPv4.

    2. Mengepak ulang konten dan mengirimkannya ke layanan di VPC Anda melalui IPv6.