IPv6client64:ff9b::c633:642aNAT64translator+ DNS64IPv4server198.51.100.42v6 client reaches v4 destination, transparently

NAT64 και DNS64

11 ελάχιστη ανάγνωσηΔικτύωση

Ορισμένα δίκτυα κινητής τηλεφωνίας εκτελούν μόνο IPv6 εδώ και χρόνια — T-Mobile US, μεγάλα τμήματα του Reliance Jio. Οι χρήστες τους εξακολουθούν να φτάνουν σε ιστότοπους IPv4 όπως ο υπόλοιπος ιστός. Η μετάφραση γίνεται μέσω NAT64 και DNS64, ενός ζεύγους τεχνολογιών που γεφυρώνουν τους κόσμους IPv4 και IPv6. Η κατανόηση του τρόπου με τον οποίο διευκρινίζεται η ήσυχη μεσαία πράξη της μετάβασης IPv6.

Το πλήρες κείμενο του άρθρου παρέχεται στα Αγγλικά παρακάτω.

Οι

NAT64 και DNS64 είναι οι τεχνολογίες που επιτρέπουν στους πελάτες μόνο IPv6 να φτάσουν σε διακομιστές μόνο IPv4. Μαζί αφήνουν τα δίκτυα να αναπτύξουν μόνο IPv6 χωρίς να χάσουν την πρόσβαση στο τμήμα IPv4 του Διαδικτύου. Η T-Mobile US, πολλές άλλες μεγάλες εταιρείες κινητής τηλεφωνίας και πολλά εταιρικά δίκτυα χρησιμοποιούν αυτό το μοτίβο στην παραγωγή.

Το πρόβλημα που επιλύουν

Η μετάβαση από IPv4 σε IPv6 έγινε σταδιακά. Πολλοί διακομιστές εξακολουθούν να είναι μόνο IPv4. Εάν το δίκτυό σας εκτελεί μόνο IPv6, οι πελάτες σας δεν μπορούν να φτάσουν απευθείας σε αυτούς τους διακομιστές, επειδή τα πρωτόκολλα δεν είναι συμβατά προς τα πίσω.

Η απλή απάντηση είναι διπλής στοίβας — κάθε συσκευή έχει διευθύνσεις IPv4 και IPv6. Η διπλή στοίβα λειτουργεί, αλλά απαιτεί τη διατήρηση δύο παράλληλων στοίβων δικτύου επ' αόριστον. Ορισμένα δίκτυα αποφάσισαν να χρησιμοποιήσουν το IPv6 μίας στοίβας και να χρησιμοποιήσουν μετάφραση για την υπόλοιπη εμβέλεια του IPv4. Διαθέτει:

  • Διασύνδεση IPv6 που βλέπει στο δίκτυο μόνο IPv6
  • Διασύνδεση IPv4 που βλέπει στο Διαδίκτυο IPv4 (με μια δεξαμενή διευθύνσεων IPv4)
  • A πίνακα μετάφρασης αντιστοίχιση όλων των πηγών IPv6 IPv6 ports

Όταν ένας πελάτης IPv6 θέλει να φτάσει σε διακομιστή IPv4:

  1. Ο πελάτης στέλνει ένα πακέτο IPv6 σε μια ειδική διεύθυνση IPv6 που κωδικοποιεί τον προορισμό IPv4. interface.
  2. Αποσπά τον προορισμό IPv4 από τη διεύθυνση IPv6, εκχωρεί μια θύρα από την ομάδα IPv4 του και ξαναγράφει το πακέτο ως πακέτο IPv4 με την εκχωρημένη πηγή IPv4 + θύρα.
  3. Το πακέτο ρέει κανονικά στο πακέτο απόκρισης IPv4 πίσω στη διεπαφή IPv4 του NAT64. Το
  4. NAT64 αναζητά την αντιστοίχιση, αναδομεί το πακέτο IPv6 και το προωθεί πίσω στον πελάτη. Το ενσωματωμένο IPv4

    NAT64 χρησιμοποιεί ένα συγκεκριμένο πρόθεμα IPv6 (το γνωστό πρόθεμα είναι 64:ff9b::/96) με τη διεύθυνση IPv4 ενσωματωμένη στα τελευταία 32 bit:

      XPLZ480541 για να φτάσει τον πελάτη N vii. χρησιμοποιεί τη διεύθυνση 64:ff9b::c633:642a (τα τελευταία 32 bit εκ των οποίων κωδικοποιούν το 198.51.100.42 σε δεκαεξαδικό). Αλλά από πού παίρνει ο πελάτης αυτή την ειδική διεύθυνση; Το

      DNS64 καλύπτει το κενό

      Οι περισσότεροι πελάτες δεν συνδέονται απευθείας σε διευθύνσεις IP — συνδέονται με ονόματα κεντρικών υπολογιστών μέσω DNS. Το DNS64 είναι ένας τροποποιημένος αναλυτής DNS που χειρίζεται τη σύνθεση:

      1. Πελάτης ερωτήματα DNS για παράδειγμα.com.Ο αναλυτής
      2. DNS64 αναζητά την εγγραφή AAAA (IPv6). Εάν υπάρχει, επιστρέψτε το κανονικά.
      3. Εάν υπάρχει μόνο μια εγγραφή A (IPv4), το DNS64 συνθέτει μια ψεύτικη εγγραφή AAAA ενσωματώνοντας τη διεύθυνση IPv4 στο πρόθεμα NAT64. Το
      4. Client ανακτά αυτό που μοιάζει με κανονική εγγραφή6AXXXX συνδέεται με τη διεύθυνση IPv6.
      5. Το πακέτο ρέει μέσω του NAT64 και μεταφράζεται σε IPv4.

      Ο πελάτης δεν γνωρίζει τίποτα από αυτά. Βλέπει IPv6, στέλνει IPv6, λαμβάνει απαντήσεις πίσω ως IPv6. Η μετάφραση είναι αόρατη. Το

      464XLAT για συμβατότητα με τον πελάτη Τα

      NAT64 + DNS64 λειτουργούν σχεδόν για τα πάντα, αλλά ορισμένες εφαρμογές χαλάνε — κυρίως εκείνες που περνούν κυριολεκτικά IPv4 (όχι ονόματα κεντρικών υπολογιστών). Η λύση είναι 464XLAT (CLAT — Μεταφραστής από την πλευρά του πελάτη):

      • Η συσκευή πελάτη εκτελεί ένα CLAT που προσποιείται ότι έχει στοίβα IPv4.
      • Εφαρμογές που χρειάζονται IPv4, μεταφράζονται στο IPv6.
      • Το πακέτο IPv6 περνάει κανονικά από το NAT64.

      Android και iOS υποστηρίζουν και τα δύο 464XLAT. Η T-Mobile US χρησιμοποιεί αυτόν τον συνδυασμό. Το αποτέλεσμα: ένα τηλέφωνο Android σε T-Mobile έχει μόνο IPv6 στο επίπεδο δικτύου, αλλά οι εφαρμογές συμπεριφέρονται σαν να λειτουργεί το IPv4.

      Πού έχει αναπτυχθεί

      • T-Mobile US — εκτελεί IPv6 μόνο με NAT64 από το 2014. προορισμοί.
      • Πολλά εταιρικά δίκτυα με εσωτερικά δίκτυα κυρίως IPv6 χρησιμοποιούν NAT64 για υπηρεσίες μόνο IPv4 παλαιού τύπου.
      • Μερικοί πάροχοι cloud προσφέρουν υπηρεσίες NAT64 μόνο για IPv6 VPCs.

      Limitations

      • State-heavy. Ο μεταφραστής διατηρεί την κατάσταση για κάθε ενεργή σύνδεση. Οι απαιτήσεις πόρων αυξάνονται με την επισκεψιμότητα.
      • Όρια ανά σύνδεση. Όπως κάθε NAT, το port-pool θέτει ένα ανώτατο όριο στις ταυτόχρονες συνδέσεις ανά διεύθυνση IPv4. SIP, FTP) χρειάζονται πύλες επιπέδου εφαρμογής. Τα περισσότερα σύγχρονα πρωτόκολλα δεν έχουν αυτό το πρόβλημα. Μετάφραση μόνο για
      • DNS. Οι εφαρμογές που παρακάμπτουν το DNS και συνδέονται σε κυριολεκτικά IPv4 χρειάζονται CLAT.
      • DNSSEC επιπλοκές. καταγωγή? Οι πελάτες που επικυρώνουν το DNSSEC μπορούν να τα απορρίψουν. Λύσεις υπάρχουν αλλά προσθέτουν πολυπλοκότητα.

      Το τελικό παιχνίδι

      NAT64 είναι μια τεχνολογία μετάβασης. Η αναμενόμενη τελική κατάσταση είναι αρκετά καθολική για το IPv6 ώστε οι προορισμοί μόνο για IPv4 αποτελούν σπάνιες εξαιρέσεις που αντιμετωπίζονται στα άκρα. Μέχρι τότε, το NAT64 + DNS64 + 464XLAT είναι ο τρόπος με τον οποίο τα δίκτυα μπορούν να μεταβούν μόνο σε IPv6 χωρίς υποβάθμιση της υπηρεσίας. Ο συνδυασμός είναι σε παραγωγή για πάνω από μια δεκαετία και είναι αρκετά ώριμος για σοβαρή ανάπτυξη.

Συχνές ερωτήσεις

Είμαι πίσω από το NAT64;
Πιθανώς όχι, εκτός και αν βρίσκεστε σε T-Mobile US, Reliance Jio ή σε συγκεκριμένο δίκτυο μόνο IPv6. Τα περισσότερα οικιακά και εταιρικά δίκτυα είναι διπλής στοίβας (και τα δύο πρωτόκολλα) αντί για καθαρό IPv6 + NAT64.
Το NAT64 επηρεάζει την απόδοση;
Σεμνά. Το βήμα μετάφρασης προσθέτει μικροδευτερόλεπτα. ο πίνακας κατάστασης προσθέτει επιβάρυνση μνήμης. Για την τυπική περιήγηση στο web, ο αντίκτυπος είναι αμέτρητος. Για φόρτους εργασίας με πολύ υψηλό ρυθμό σύνδεσης, τα γενικά έξοδα έχουν σημασία.
Λειτουργεί το VPN με το NAT64;
Κυρίως. Οι περισσότεροι πελάτες VPN διοχετεύουν το IPv4 από προεπιλογή. Το NAT64 τα χειρίζεται με διαφάνεια. Ορισμένα πρωτόκολλα VPN που δεν παίζουν καλά με το double-NAT μπορεί να έχουν προβλήματα. Οι σύγχρονες διαμορφώσεις WireGuard και OpenVPN το χειρίζονται σωστά.
Γιατί δεν χρησιμοποιούν όλα τα δίκτυα NAT64;
Το Dual-stack είναι πιο απλό λειτουργικά και κατανοητό. Το NAT64 προσθέτει πολυπλοκότητα για οριακό όφελος όταν το IPv4 εξακολουθεί να λειτουργεί για πελάτες. Το καθαρό IPv6-μόνο με NAT64 είναι κυρίως ελκυστικό όταν ένας οργανισμός δεν έχει αρκετές διευθύνσεις IPv4 ή θέλει να δεσμευτεί στο IPv6.
Ποια είναι η διαφορά μεταξύ NAT64 και CGNAT;
Το CGNAT είναι μετάφραση IPv4 σε IPv4 (ιδιωτικό IPv4 μέσα, δημόσιο IPv4 έξω). Το NAT64 είναι μετάφραση IPv6 σε IPv4. Διαφορετικά επίπεδα πρωτοκόλλου. Και οι δύο είναι τεχνολογίες μετάβασης για σπανιότητα IPv4, αλλά επιλύουν διαφορετικά προβλήματα.
Επεξήγηση NAT64 και DNS64: Πώς τα δίκτυα μόνο για IPv6 συνομιλούν με το Διαδίκτυο IPv4