Ta strona została przetłumaczona przez Cloud Translation API.

Publiczny serwer DNS Google66

Wstęp

Często używane są sieci o podwójnym stosie, które obsługują połączenia IPv6 i IPv4, ale nadal są dalekie od uniwersalnej. Następnym krokiem w procesie przejścia na protokół IPv6 i wdrożeniu sieci przeznaczonych wyłącznie dla IPv6 będzie zachowanie dostępu do sieci i usług obsługujących tylko IPv4. Istnieje kilka mechanizmów przenoszenia zapewniających dostęp przez IPv6 do IPv4. Większą popularnością wśród wielu operatorów sieci jest NAT64. Użycie bramy NAT64 z możliwością translacji IPv4-IP umożliwia klientom korzystającym tylko z IPv6 łączenie się z usługami tylko IPv4 za pomocą syntetycznych adresów IPv6, które zaczynają się od prefiksu wskazującego bramę NAT64.

DNS64 to usługa DNS, która zwraca rekordy AAAA z tymi syntetycznymi adresami IPv6 dla miejsc docelowych tylko IPv4 (z rekordami A, ale nie AAAA w DNS). Dzięki temu klienty tylko IPv6 używają bram NAT64 bez żadnej innej konfiguracji. Google Public DNS64 udostępnia DNS64 jako usługę globalną z zarezerwowanym prefiksem NAT64 64:ff9b::/96.

Ważne: zanim zaczniesz

Zanim skonfigurujesz systemy pod kątem korzystania z publicznego serwera DNS Google 64, weź pod uwagę te ograniczenia, które mogą mieć wpływ na korzystanie z usługi:

Publiczny serwer DNS Google6 powinien być używany tylko w sieciach z dostępem do bramy NAT64 z zarezerwowanym prefiksem NAT64 64:ff9b::/96. Nie używaj jej w sieciach, które nie mogą nawiązać połączenia z taką bramą NAT64.
Google Public DNS64 nie zapewnia dostępu do domen prywatnych, których nie można znaleźć z publicznego internetu, mimo że może zwracać rekordy AAAA dla adresów prywatnych (RFC 1918) zwróconych w odpowiedziach DNS DNS.
Publiczne serwery Google DNS64 nie są potrzebne w przypadku sieci ani hostów o podwójnym stosie, ale działają zarówno na potrzeby syntezowanych rekordów AAAA, jak i pierwotnych rekordów A (może to powodować kierowanie ruchu na hosty tylko IPv4 przez NAT64 zamiast bezpośrednio przez IPv4, ale zazwyczaj tylko w przypadku połączenia NAT64).

Konfigurowanie publicznego serwera DNS Google 64

Jeśli w Twoich systemach nie ma problemów z wymienionymi wyżej ograniczeniami dotyczącymi publicznego serwera Google DNS64, możesz wykonać standardowe instrukcje rozpoczęcia korzystania z publicznych systemów DNS Google, zastępując standardowe adresy resolverów tymi adresami:

2001:4860:4860::6464
2001:4860:4860::64

Nie konfiguruj żadnych innych adresów IPv6: sprawia to, że system DNS64 jest niezawodny. Jeśli skonfigurujesz też publiczne adresy IPv4 Google Google (8.8.8.8 lub 8.8.4.4), hosty o podwójnym stosie mogą czasami nie generować syntetycznych rekordów AAAA.

Niektóre urządzenia używają oddzielnych pól dla wszystkich ośmiu części adresów IPv6 i nie mogą używać składni skrótów IPv6 ::. W przypadku takich pól wpisz:

2001:4860:4860:0:0:0:0:6464
2001:4860:4860:0:0:0:0:64

Rozwiń wpisy 0 do 0000, a pozycję 64 do 0064, jeśli wymagane są 4 cyfry szesnastkowe.

Bezpieczny DNS64

Google Public DNS64 obsługuje bezpieczne transporte DNS przez DNS over HTTPS (DoH) i DNS przez TLS (DoT) przy użyciu domeny dns64.dns.google zamiast dns.google. Ta domena używa adresów IPv6 wymienionych powyżej, a usługi DoH i DoT na portach 443 i 853 dla tych adresów mają certyfikaty TLS w domenie dns64.dns.google.

Szablon URI identyfikatora RFC 8484 DoH dla Google Public DNS64 to https://dns64.dns.google/dns-query{?dns}, a interfejs API JSON jest również obsługiwany w przypadku adresów URL takich jak https://dns64.dns.google/solutions?name=ipv4only.arpa&type=AAAA (dostępne tylko w systemach obsługujących IPv6).

Testowanie ustawień DNS64

Aby sprawdzić, czy konfiguracja DNS64 działa, możesz wykonać czynności testowe opisane w przewodniku. Jeśli nie masz dostępu do bramy NAT64, w Wikipedii znajdziesz kilka implementacji NA664, które możesz wdrożyć samodzielnie.

Niektóre implementacje NAT64 nie działają z Google Public DNS64:

MacOS X 10.11 i nowsze zawierają NAT64/DNS64, ale nie mogą przekazać IPv6, co uniemożliwia dostęp do resolverów Google DNS64. Służy do testowania urządzeń obsługujących tylko IPv6 tylko wtedy, gdy masz połączenie z Internetem tylko przez IPv4 i działa ono tylko z dołączonym DNS64 (urządzenia z funkcją tylko IPv6 nie mogą bezpośrednio używać publicznego serwera DNS Google, ale możesz skonfigurować system macOS X tak, aby korzystał z wersji 8.8.8.8 i 8.8.4.4).
Cisco ASA 9.0 i nowsze używają NAT64, ale nie obsługuje dobrze znanego prefiksu 64:ff9b::/96 i wymaga wybrania własnego prefiksu. Nie implementuje ona protokołu DNS64, ale zapewnia kontrolę i przepisywanie ruchu DNS przez bramę NAT64.

Urządzenia obsługujące tylko protokół IPv6 za pomocą Cisco ASA mogą uzyskać połączenie IPv4 przy użyciu publicznego serwera DNS Google, konfigurując te adresy resolvera:
- prefiks NAT64::0808:0808 (8.8.8.8 przez Cisco ASA NAT64)
- prefiks NAT64::0808:0404 (8.8.4.4 przez Cisco ASA NAT64)
Spowoduje to kierowanie zapytań do publicznego DNS Google przez Cisco ASA NAT64. Przy użyciu dodatkowej konfiguracji ASA Cisco zapytania AAAA są przekształcane w zapytania A, a odpowiedzi AAAA są ponownie przekształcane w AAAA z skonfigurowanym prefiksem.

Korzystanie z adresów NAT66 i adresów publicznych resolverów IPv6 Google (2001:4860:4860::8888 lub 2001:4860:4860::8844) nie działa, ponieważ negatywne odpowiedzi z jednego z tych adresów nie będą wysyłane od drugiego. W przypadku wszystkich zapytań musisz wybrać rozdzielczość DNS IPv6 lub IPv4.