Giới thiệu
Các mạng ngăn xếp kép có kết nối cả IPv6 và IPv4 hiện đã phổ biến, nhưng vẫn chưa xa so với phổ biến. Để thực hiện bước tiếp theo trong quá trình chuyển đổi sang IPv6 và triển khai các mạng chỉ IPv6, các nhà khai thác mạng vẫn phải duy trì quyền truy cập vào các mạng và dịch vụ chỉ dành cho IPv4. Có một số cơ chế chuyển đổi để cung cấp quyền truy cập IPv6 vào IPv4; một lựa chọn ngày càng phổ biến với nhiều nhà khai thác mạng là NAT64. Việc sử dụng cổng NAT64 với khả năng dịch IPv4-IPv6 cho phép các ứng dụng chỉ dành cho IPv6 kết nối với các dịch vụ chỉ dành cho IPv4 thông qua các địa chỉ IPv6 tổng hợp bắt đầu bằng một tiền tố sẽ chuyển chúng đến cổng vào NAT64.
DNS64 là một dịch vụ DNS trả về bản ghi AAAA với địa chỉ IPv6 tổng hợp này cho các đích chỉ dành cho IPv4 (có bản ghi A nhưng không phải bản ghi AAAA trong DNS). Điều này cho phép các ứng dụng chỉ IPv6 sử dụng cổng NAT64 mà không cần bất kỳ cấu hình nào khác. Google Public DNS64 cung cấp DNS64 dưới dạng một dịch vụ toàn cầu bằng cách sử dụng tiền tố NAT64 đặt trước 64:ff9b::/96.
Lưu ý quan trọng: Trước khi bạn bắt đầu
Trước khi định cấu hình hệ thống để sử dụng Google Public DNS64, hãy cân nhắc các giới hạn sau có thể ảnh hưởng đến việc bạn sử dụng dịch vụ:
Google Public DNS64 chỉ dành cho các mạng có quyền truy cập vào cổng vào NAT64 bằng cách sử dụng tiền tố NAT64 dành riêng
64:ff9b::/96. Không sử dụng tính năng này trên các mạng không thể truy cập vào cổng NAT64 như vậy.DNS công khai của Google không cung cấp quyền truy cập vào các miền riêng tư, không thể phân giải từ Internet công cộng, mặc dù có thể trả về các bản ghi AAAA cho các địa chỉ IPv4 riêng tư (RFC 1918) được trả về trong các phản hồi DNS công khai.
Google Public DNS64 không cần thiết cho các mạng hoặc máy chủ hai ngăn xếp, nhưng lại hoạt động, trả về cả bản ghi AAAA và bản ghi A gốc tổng hợp (điều này có thể dẫn đến lưu lượng truy cập vào các máy chủ chỉ IPv4 đi qua NAT64 thay vì trực tiếp qua IPv4, nhưng thường chỉ khi kết nối NAT64 nhanh hơn).
Định cấu hình Google Public DNS64
Nếu hệ thống của bạn không gặp sự cố nào với các giới hạn DNS công khai của Google ở trên, thì bạn có thể làm theo hướng dẫn bắt đầu DNS công khai thông thường của Google, thay thế địa chỉ trình phân giải chuẩn bằng các nội dung sau:
- 2001:4860:4860::6464
- 2001:4860:4860::64
Không định cấu hình bất kỳ địa chỉ IPv6 nào khác: làm như vậy khiến DNS64 không đáng tin cậy. Nếu bạn cũng định cấu hình địa chỉ IPv4 DNS công khai của Google (8.8.8.8 hoặc 8.8.4.4), thì các máy chủ hai ngăn xếp đôi khi không nhận được các bản ghi AAAA tổng hợp.
Một số thiết bị sử dụng các trường riêng biệt cho tất cả tám phần của địa chỉ IPv6 và
không thể chấp nhận cú pháp viết tắt IPv6 của ::. Đối với những trường như vậy, hãy nhập:
- 2001:4860:4860:0:0:0:0:6464
- 2001:4860:4860:0:0:0:0:64
Mở rộng các mục nhập 0 thành 0000
và mục nhập 64 thành 0064
nếu bắt buộc phải có 4 chữ số hex.
DNS64 an toàn
Google Public DNS64 hỗ trợ DNS qua HTTPS (DoH) và
DNS qua TLS (DoT) bảo mật DNS bằng cách sử dụng
dns64.dns.google miền thay vì dns.google.
Miền này phân giải thành các địa chỉ IPv6 nêu trên, còn các dịch vụ DoH và DoT tại các cổng 443 và 853 đối với những địa chỉ đó có chứng chỉ TLS cho dns64.dns.google.
Mẫu URI RFC 8484 DoH cho Google Public DNS64 là
https://dns64.dns.google/dns-query{?dns} và API JSON cũng được hỗ trợ
với các URL như https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA
(chỉ có thể truy cập từ hệ thống hỗ trợ IPv6).
Kiểm tra chế độ cài đặt DNS64 của bạn
Bạn có thể làm theo các bước kiểm thử trong hướng dẫn bắt đầu để xác minh rằng cấu hình DNS64 của bạn đang hoạt động. Nếu bạn không có quyền truy cập vào cổng NAT64, Wikipedia sẽ liệt kê một số cách triển khai NAT64 mà bạn có thể tự triển khai.
Một số cách triển khai NAT64 được xác định là không hoạt động với Google Public DNS64:
MacOS X 10.11 trở lên tích hợp NAT64/DNS64 nhưng không thể vượt qua IPv6, ngăn chặn quyền truy cập vào trình phân giải DNS công khai của Google. Ứng dụng này nhằm mục đích kiểm thử các thiết bị chỉ có IPv6 khi bạn chỉ có kết nối IPv4 với Internet và chỉ hoạt động với những DNS64 đi kèm (các thiết bị chỉ có IPv6 được kết nối với Chromebook không thể sử dụng trực tiếp DNS Google Public, mặc dù bạn có thể định cấu hình hệ thống MacOS X để sử dụng 8.8.8.8 và 8.8.4.4).
Cisco ASA 9.0 trở lên tích hợp NAT64 nhưng không hỗ trợ tiền tố nổi tiếng
64:ff9b::/96và yêu cầu bạn chọn tiền tố của riêng mình. Phương thức này không triển khai DNS64 nhưng cung cấp việc kiểm tra và ghi lại NAT của lưu lượng truy cập DNS thông qua cổng NAT64.Các thiết bị chỉ IPv6 đằng sau Cisco ASA có thể nhận được kết nối IPv4 bằng cách sử dụng DNS công khai của Google bằng cách định cấu hình các địa chỉ phân giải sau:
Tiền tố NAT64
::0808:0808(8.8.8.8 qua Cisco ASA NAT64)NAT64-prefix
::0808:0404(8.8.4.4 qua Cisco ASA NAT64)
Đường dẫn này truy vấn các DNS Công khai của Google thông qua Cisco ASA NAT64. Với một số cấu hình Cisco ASA bổ sung, các truy vấn AAAA sẽ được chuyển đổi thành các truy vấn A và phản hồi A sẽ được chuyển đổi trở lại thành AAAA với tiền tố đã được định cấu hình.
Việc sử dụng cả địa chỉ NAT64 và địa chỉ trình phân giải IPv6 của Google Public (2001:4860:4860::8888 hoặc 2001:4860:4860::8844) sẽ không được thực hiện lại, vì phản hồi tiêu cực từ một trong hai sẽ không được truy vấn lại với địa chỉ kia. Bạn phải chọn độ phân giải DNS IPv6 hoặc IPv4 cho tất cả truy vấn.