DNS64e NAT64 - Amazon Virtual Private Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

DNS64e NAT64

Un NAT gateway supporta la traduzione degli indirizzi di rete da IPv6 aIPv4, popolarmente nota come. NAT64 NAT64aiuta IPv6 AWS le tue risorse a comunicare con IPv4 risorse della stessa VPC o di un'altraVPC, nella tua rete locale o su Internet. Puoi utilizzarlo NAT64 con DNS64 Amazon Route 53 Resolver o usare il tuo server. DNS64

Che cos'è? DNS64

I tuoi carichi di lavoro «IPv6-only» in esecuzione VPCs possono solo inviare e ricevere pacchetti di IPv6 rete. DNS64In caso contrario, una DNS query per un servizio IPv4 -only produrrà un indirizzo di IPv4 destinazione in risposta e il servizio IPv6 -only non potrà comunicare con esso. Per colmare questa lacuna di comunicazione, è possibile abilitare DNS64 una sottorete, che si applica a tutte le AWS risorse all'interno di quella sottorete. ConDNS64, Amazon Route 53 Resolver cerca il record DNS del servizio richiesto ed esegue una delle seguenti operazioni:

  • Se il record contiene un IPv6 indirizzo, restituisce il record originale e la connessione viene stabilita senza alcuna traduzione. IPv6

  • Se nel DNS record non è associato alcun IPv6 indirizzo alla destinazione, il Route 53 Resolver ne sintetizza uno anteponendo il /96 prefisso noto, definito in RFC6 052 (64:ff9b::/96), all'indirizzo nel record. IPv4 Il tuo servizio IPv6 -only invia pacchetti di rete all'indirizzo sintetizzato. IPv6 Sarà quindi necessario instradare questo traffico attraverso il NAT gateway, che esegue la traduzione necessaria sul traffico per consentire ai servizi della sottorete di accedere ai IPv6 IPv4 servizi esterni alla sottorete.

È possibile abilitare o disabilitare DNS64 su una sottorete utilizzando AWS CLI o con la modify-subnet-attributeVPCconsole selezionando una sottorete e scegliendo Azioni > Modifica impostazioni della sottorete.

Che cos'è? NAT64

NAT64consente ai tuoi servizi IPv6 solo su Amazon VPCs di comunicare con servizi IPv4 solo all'interno dello stesso VPC (in diverse sottoreti) o connessiVPCs, nelle tue reti locali o su Internet.

NAT64è automaticamente disponibile sui NAT gateway esistenti o su tutti i nuovi gateway che crei. NAT Non è possibile abilitare o disabilitare questa funzionalità. Non è necessario che la sottorete in cui si trova il NAT gateway sia una sottorete dual-stack per funzionare. NAT64

Dopo l'attivazioneDNS64, se il servizio IPv6 -only invia pacchetti di rete a un indirizzo sintetizzato IPv6 tramite il gateway, si verifica quanto segue: NAT

  • Dal 64:ff9b::/96 prefisso, il NAT gateway riconosce che la destinazione originale è IPv4 e traduce i pacchetti in sostituendo: IPv6 IPv4

    • Fonte IPv6 con un proprio IP privato che viene tradotto in indirizzo IP elastico dal gateway Internet.

    • Destinazione IPv6 a IPv4 troncando il prefisso. 64:ff9b::/96

  • Il NAT gateway invia i IPv4 pacchetti tradotti alla destinazione tramite il gateway Internet, il gateway privato virtuale o il gateway di transito e avvia una connessione.

  • L'host IPv4 -only IPv4 restituisce i pacchetti di risposta. Dopo aver stabilito una connessione, il NAT gateway accetta i IPv4 pacchetti di risposta dagli host esterni.

  • I IPv4 pacchetti di risposta sono destinati al NAT gateway, che riceve i pacchetti e NATs li cancella sostituendo il proprio IP (IP di destinazione) con l'IPv6indirizzo dell'host e anteponendo l'indirizzo di origine. 64:ff9b::/96 IPv4 Il pacchetto quindi scorre verso l'host seguendo il routing locale.

In questo modo, il NAT gateway consente ai soli carichi di lavoro in una sottorete di comunicare con i servizi IPv6 -only esterni alla sottorete. IPv4

Configura e DNS64 NAT64

Segui i passaggi in questa sezione per configurare DNS64 e NAT64 abilitare la comunicazione con i servizi IPv4 -only.

Abilita la comunicazione con i servizi IPv4 -only su Internet con AWS CLI

Se disponi di una sottorete con IPv6 soli carichi di lavoro che deve comunicare con servizi IPv4 -only esterni alla sottorete, questo esempio mostra come abilitare questi servizi -only per comunicare con i servizi IPv6 -only su Internet. IPv4

È innanzitutto necessario configurare un NAT gateway in una sottorete pubblica (separata dalla sottorete contenente i carichi di lavoro -only). IPv6 Ad esempio, la sottorete contenente il NAT gateway deve avere un 0.0.0.0/0 percorso che punti al gateway Internet.

Completa questi passaggi per consentire a questi servizi IPv6 -only di connettersi ai servizi IPv4 -only su Internet:

  1. Aggiungi le seguenti tre route alla tabella delle rotte della sottorete contenente i carichi di lavoro -only: IPv6

    • IPv4rotta (se presente) che punta al gateway. NAT

    • 64:ff9b::/96percorso che punta al gateway. NAT In questo modo il traffico proveniente dai IPv6 soli carichi di lavoro destinati ai IPv4 soli servizi verrà instradato attraverso il gateway. NAT

    • IPv6::/0percorso che punta al gateway Internet solo in uscita (o al gateway Internet).

    Tieni presente che il puntamento ::/0 al gateway Internet consentirà agli IPv6 host esterni (esterniVPC) di avviare la connessione. IPv6

    aws ec2 create-route --route-table-id rtb-34056078 --destination-cidr-block 0.0.0.0/0 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block 64:ff9b::/96 --nat-gateway-id nat-05dba92075d71c408

    aws ec2 create-route --route-table-id rtb-34056078 --destination-ipv6-cidr-block ::/0 --egress-only-internet-gateway-id eigw-c0a643a9
  2. Abilita DNS64 la funzionalità nella sottorete contenente i carichi di lavoro -only. IPv6

    aws ec2 modify-subnet-attribute --subnet-id subnet-1a2b3c4d --enable-dns64

Ora, le risorse della tua sottorete privata possono stabilire connessioni statiche con entrambi i IPv4 servizi su Internet. IPv6 Configura il tuo gruppo di sicurezza NACLs in modo appropriato per consentire il traffico in uscita e in ingresso al traffico. 64:ff9b::/96

Abilita la comunicazione con i IPv4 soli servizi nel tuo ambiente locale

Amazon Route 53 Resolver ti consente di DNS inoltrare le query dalla VPC tua rete a una rete locale e viceversa. Si può fare eseguendo le seguenti operazioni:

  • Crei un endpoint Route 53 Resolver in uscita in a VPC e gli assegni IPv4 gli indirizzi da cui desideri che Route 53 Resolver inoltri le interrogazioni. Per il DNS resolver locale, questi sono gli indirizzi IP da cui provengono le query e, pertanto, dovrebbero essere indirizzi. DNS IPv4

  • Crei una o più regole che specificano i nomi di dominio delle DNS query che desideri che Route 53 Resolver inoltri ai tuoi resolver locali. Specificate anche gli indirizzi dei resolver locali. IPv4

  • Ora che hai configurato un endpoint in uscita Route 53 Resolver, devi DNS64 abilitarlo nella sottorete contenente i tuoi carichi di lavoro IPv6 solo e instradare tutti i dati destinati alla tua rete locale attraverso un gateway. NAT

Come funziona per le sole destinazioni nelle reti locali: DNS64 IPv4

  1. Assegni un IPv4 indirizzo all'endpoint in uscita Route 53 Resolver nel tuo. VPC

  2. La DNS richiesta del IPv6 servizio viene inviata a Route 53 Resolver. IPv6 Route 53 Resolver confronta la query con la regola di inoltro e ottiene un IPv4 indirizzo per il resolver locale.

  3. Route 53 Resolver converte il pacchetto di query da IPv4 e lo inoltra all'endpoint IPv6 in uscita. Ogni indirizzo IP dell'endpoint rappresenta uno ENI che inoltra la richiesta all'indirizzo locale del resolver. IPv4 DNS

  4. Il resolver locale invia il pacchetto di risposta attraverso l'endpoint in uscita a IPv4 Route 53 Resolver.

  5. Supponendo che la query sia stata effettuata da una sottorete DNS64 abilitata, Route 53 Resolver fa due cose:

    1. Controlla il contenuto del pacchetto di risposta. Se c'è un IPv6 indirizzo nel record, mantiene il contenuto così com'è, ma se contiene solo un record. IPv4 Inoltre, sintetizza un IPv6 record anteponendo l'indirizzo. 64:ff9b::/96 IPv4

    2. Riconfeziona il contenuto e lo invia al servizio del tuo account. VPC IPv6