DNS64 dan NAT64 - Amazon Virtual Private Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

DNS64 dan NAT64

Gateway NAT mendukung terjemahan alamat jaringan dari IPv6 ke IPv4, yang dikenal sebagai NAT64. NAT64 membantu IPv6 AndaAWSsumber daya berkomunikasi dengan sumber daya IPv4 di VPC yang sama atau VPC yang berbeda, di jaringan lokal atau melalui internet. Anda dapat menggunakan NAT64 dengan DNS64 di Amazon Route 53 Resolver atau menggunakan server DNS64 Anda sendiri.

Apa itu DNS64?

Beban kerja khusus IPv6 Anda yang berjalan di VPC hanya dapat mengirim dan menerima paket jaringan IPv6. Tanpa DNS64, kueri DNS untuk layanan IPv4 saja akan menghasilkan alamat tujuan IPv4 sebagai tanggapan dan layanan khusus IPv6 Anda tidak dapat berkomunikasi dengannya. Untuk menjembatani kesenjangan komunikasi ini, Anda dapat mengaktifkan DNS64 untuk subnet dan itu berlaku untuk semuaAWSsumber daya dalam subnet itu. Dengan DNS64, Amazon Route 53 Resolver mencari catatan DNS untuk layanan yang Anda tanyakan dan melakukan salah satu dari yang berikut ini:

  • Jika catatan berisi alamat IPv6, ia mengembalikan catatan asli dan koneksi dibuat tanpa terjemahan apa pun melalui IPv6.

  • Jika tidak ada alamat IPv6 yang terkait dengan tujuan dalam catatan DNS, Resolver Route 53 mensintesis satu dengan mendahului yang terkenal/96awalan, didefinisikan dalam RFC6052 (64:ff9b::/96), ke alamat IPv4 dalam catatan. Layanan khusus IPv6 Anda mengirimkan paket jaringan ke alamat IPv6 yang disintesis. Anda kemudian perlu merutekan lalu lintas ini melalui gateway NAT, yang melakukan terjemahan yang diperlukan pada lalu lintas untuk memungkinkan layanan IPv6 di subnet Anda untuk mengakses layanan IPv4 di luar subnet itu.

Anda dapat mengaktifkan atau menonaktifkan DNS64 pada subnet menggunakanmodify-subnet-attributemenggunakanAWSCLI atau dengan konsol VPC dengan memilih subnet dan memilihTindakan >Edit pengaturan subnet.

Apa itu NAT64?

NAT64 memungkinkan layanan khusus IPv6 Anda di VPC Amazon untuk berkomunikasi dengan layanan khusus IPv4 dalam VPC yang sama (dalam subnet berbeda) atau VPC yang terhubung, di jaringan lokal Anda, atau melalui internet.

NAT64 secara otomatis tersedia di gateway NAT yang ada atau pada gateway NAT baru yang Anda buat. Ini bukan fitur yang Anda aktifkan atau nonaktifkan.

Setelah Anda mengaktifkan DNS64 dan layanan khusus IPv6 Anda mengirimkan paket jaringan ke alamat IPv6 yang disintesis melalui gateway NAT, hal berikut terjadi:

  • Dari64:ff9b::/96awalan, gateway NAT mengakui bahwa tujuan aslinya adalah IPv4 dan menerjemahkan paket IPv6 ke IPv4 dengan mengganti:

    • Sumber IPv6 dengan IP pribadinya sendiri yang diterjemahkan ke alamat IP elastis oleh gateway internet.

    • Tujuan IPv6 ke IPv4 dengan memotong64:ff9b::/96prefiks.

  • Gateway NAT mengirimkan paket IPv4 yang diterjemahkan ke tujuan melalui gateway internet, gateway pribadi virtual, atau gateway transit dan memulai koneksi.

  • Host IPv4-satunya mengirimkan kembali paket respons IPv4. Setelah koneksi dibuat, NAT gateway menerima respon IPv4 paket dari host eksternal.

  • Paket respons IPv4 ditakdirkan untuk gateway NAT, yang menerima paket dan de-NATS dengan mengganti IP (IP tujuan) dengan alamat IPv6 host dan mendahului kembali64:ff9b::/96ke alamat IPv4 sumber. Paket kemudian mengalir ke host mengikuti rute lokal.

Dengan cara ini, gateway NAT memungkinkan beban kerja khusus IPv6 Anda di subnet Amazon VPC untuk berkomunikasi dengan layanan khusus IPv4 di mana saja di luar subnet.

Konfigurasikan DNS64 dan NAT64

Ikuti langkah-langkah di bagian ini untuk mengkonfigurasi DNS64 dan NAT64 untuk mengaktifkan komunikasi dengan layanan khusus IPv4.

Aktifkan komunikasi dengan layanan IPv4-satunya di internet denganAWSCLI

Jika Anda memiliki subnet dengan beban kerja IPv6 saja yang perlu berkomunikasi dengan layanan khusus IPv4 di luar subnet, contoh ini menunjukkan kepada Anda cara mengaktifkan layanan khusus IPv6 ini untuk berkomunikasi dengan layanan khusus IPv4 di internet.

Anda harus terlebih dahulu mengkonfigurasi gateway NAT di subnet publik (terpisah dari subnet yang berisi beban kerja khusus IPv6). Misalnya, subnet yang berisi gateway NAT harus memiliki0.0/0 rute menunjuk ke gateway internet.

Selesaikan langkah-langkah ini untuk mengaktifkan layanan khusus IPv6 ini untuk terhubung dengan layanan khusus IPv4 di internet:

  1. Tambahkan tiga rute berikut ke tabel rute subnet yang berisi beban kerja IPv6 saja:

    • Rute IPv4 (jika ada) menunjuk ke gateway NAT.

    • 64:ff9b::/96rute menunjuk ke gateway NAT. Ini akan memungkinkan lalu lintas dari beban kerja khusus IPv6 Anda yang ditujukan untuk layanan khusus IPv4 untuk dialihkan melalui gateway NAT.

    • IPv6::/0rute menunjuk ke gateway internet egress-only (atau gateway internet).

    Perhatikan bahwa menunjuk::/0ke gateway internet akan memungkinkan host IPv6 eksternal (di luar VPC) untuk memulai koneksi melalui IPv6.

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block 0.0.0.0/0 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block 64:ff9b::/96 –-nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 –-destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
  2. Aktifkan kemampuan DNS64 di subnet yang berisi beban kerja IPv6 saja.

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d –-enable-dns64

Sekarang, sumber daya di subnet pribadi Anda dapat membuat koneksi stateful dengan layanan IPv4 dan IPv6 di internet. Konfigurasikan grup keamanan dan NACL Anda dengan tepat untuk memungkinkan lalu lintas keluar dan masuknya64:ff9b::/96lalu lintas lintas lintas.

Mengaktifkan komunikasi dengan layanan khusus IPv4 di lingkungan lokal

Amazon Route 53 Resolver memungkinkan Anda meneruskan kueri DNS dari VPC ke jaringan lokal dan sebaliknya. Anda dapat melakukan hal ini dengan melakukan hal berikut:

  • Buat titik akhir keluar Route 53 Resolver di VPC dan tentukan alamat IPv4 yang akan digunakan Route 53 Resolver untuk meneruskan kueri. Untuk penyelesai DNS on-premis Anda, berikut adalah alamat IP tempat kueri DNS berasal dan, oleh karena itu, harus berupa alamat IPv4.

  • Buat satu atau lebih aturan yang menentukan nama domain kueri DNS yang akan diteruskan Route 53 Resolver ke penyelesai on-premis Anda. Anda juga menentukan alamat IPv4 dari resolver lokal.

  • Sekarang setelah Anda menyiapkan titik akhir keluar Route 53 Resolver, Anda harus mengaktifkan DNS64 di subnet yang berisi beban kerja khusus IPv6 dan merutekan data apa pun yang ditujukan untuk jaringan lokal Anda melalui gateway NAT.

Cara kerja DNS64 untuk tujuan khusus IPv4 di jaringan lokal:

  1. Anda menetapkan alamat IPv4 ke titik akhir keluar Route 53 Resolver di VPC Anda.

  2. Kueri DNS dari layanan IPv6 Anda pergi ke Route 53 Resolver melalui IPv6. Route 53 Resolver cocok dengan kueri terhadap aturan penerusan dan mendapatkan alamat IPv4 untuk resolver lokal Anda.

  3. Route 53 Resolver mengubah paket kueri dari IPv6 menjadi IPv4 dan meneruskannya ke titik akhir keluar. Setiap alamat IP titik akhir mewakili satu ENI yang meneruskan permintaan ke alamat IPv4 lokal resolver DNS Anda.

  4. Resolver lokal mengirimkan paket respons melalui IPv4 kembali melalui titik akhir keluar ke Route 53 Resolver.

  5. Dengan asumsi kueri dibuat dari subnet berkemampuan DNS64, Route 53 Resolver melakukan dua hal:

    1. Memeriksa isi paket respons. Jika ada alamat IPv6 dalam catatan, itu menyimpan konten apa adanya, tetapi jika hanya berisi catatan IPv4. Ini mensintesis rekaman IPv6 juga dengan mendahului64:ff9b::/96ke alamat IPv4.

    2. Paket ulang konten dan mengirimkannya ke layanan di VPC Anda melalui IPv6.