IPv6改造之DNS64的一次小探索
  

CQxxk 6952

{{ttag.title}}
本帖最后由 CQxxk 于 2019-8-14 13:04 编辑

背景
2017年中共某公司 某公司印发《推进互联网协议第六版(IPv6)规模部署行动计划》,计划中指出用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。因此IPv6改造是当前的热门话题。
由于多方面原因在IPv6改造过程中存在很多问题,其中有一个场景便是内部网络完成了IPv6改造,但是很多网站没有完成改造,大量的IPv4的网站无法访问,那么这个问题如何解决呢?
某公司的负载均衡AD设备,通过支持DNS64转换来解决前面提到的问题,我们来一探究竟。
网络拓扑
本次实验拓扑如下所示:
功能原理
AD代理客户端访问IPv4网站,通过NAT64转换走IPv4线路去代理访问IPv4网站,实现IPv6客户端可以访问IPv4网站。
实验步骤
实验环境准备

1、 配置IPv6客户端:
2、配置AD网络接口:
3、 AD没有做DNS64之前,IPv6客户端无法访问IPv4网站,如baidu.com
配置DNS代理
1、配置IPv4线路的DNS服务器,用于AD做代理解析时的DNS服务器:
2、代理全部的DNS请求,IPv6监听地址为IPv6客户端配置的DNS服务器地址:
3、启用DNS64、配置IPv6前缀、代理方式:
结果验证
AD启用DNS64之后,IPv6客户端可以正常访问IPv4网站:
说明
IPv6前缀
将A记录的IP加上此IPv6前缀作为AAAA记录返回给客户端,注意此IP地址不要跟网口上面的ipv6地址冲突,默认值即可(默认为IPv6协议标准建议指定的前缀64:ff9b::/96);
代理方式
客户端域名请求到达AD,AD具体以什么方式进行代理,三种解释如下:
1、响应优先
AD同时查询域名AAAA记录和A记录,哪个先应答就使用哪个方式上网。
适用场景:AD有ipv6上网链路,v4v6链路都可以上网,不想指定链路。
2、AAAA记录优先
AD先向DNS服务器查询域名AAAA记录,再查询A记录,客户端优先通过AAAA记录的IP(网站真实ipv6地址)上网。
适用场景:AD有ipv6上网链路,v4v6链路都可以上网,并且优先使用v6链路。
3、仅A记录
AD向DNS服务器只查询域名A记录,不查询AAAA记录。
适用场景:AD没有ipv6上网链路,全部需要通过ipv4链路才能上网。
抓包分析
1、 在IPv6客户端使用wireshark抓取客户端访问流量,可以看到PC客户端向AD发起了AAAA记录解析请求

2、在AD的IPv4的外网口抓包,发现AD向114.114.114.114发起了A记录请求

3、根据抓包内容我们看到AD解析到的地址是180.97.33.107和180.97.33.108,而客户端拿到的地址是64:ff9b::b461:216b和64:ff9b::b461:216c,这两者之间的关系是如何对应呢?

这里就要提到前面配置DNS代理时配置了IPv6前缀64:ff9b::,同时将4段8位二进制的IPv4的地址转为2段16位二进制的地址添加为后缀返回给客户端。

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

ztbf 发表于 2019-8-15 10:45
  
AD是个好西,就是有点贵。
哒哒哒 发表于 2019-8-15 14:34
  
感谢分享
秋水伊人 发表于 2019-8-23 17:09
  
感谢分享,学习了
蓝海 发表于 2019-8-23 17:09
  
感谢分享,学习了
DOI 发表于 2019-9-4 21:06
  
AD感觉好难,部署不容易
鬼子姜 发表于 2019-9-6 23:00
  
AD是个好西
鬼子姜 发表于 2019-9-6 23:01
  
AD是个好西
沧海 发表于 2019-9-10 22:21
  
感谢分享!!!
新手920702 发表于 2021-1-12 11:04
  
非常实用的案例,感谢楼主分享
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
新版本体验
GIF动图学习
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人