Google 공개 DNS64

소개

이제 IPv6와 IPv4 연결이 모두 포함된 이중 스택 네트워크가 일반적이지만, 여전히 범용과는 차이가 있습니다. IPv6로 전환하는 다음 단계를 진행하고 IPv6 전용 네트워크를 배포하려면 네트워크 운영자가 IPv4 전용 네트워크 및 서비스에 대한 액세스 권한을 보존해야 합니다. IPv6에 IPv4 액세스 권한을 제공하는 몇 가지 전환 메커니즘이 있습니다. 많은 네트워크 운영자에게 NAT64가 점점 더 많이 사용되고 있습니다. IPv4-IPv6 변환 기능이 있는 NAT64 게이트웨이를 사용하면 IPv6 전용 클라이언트가 NAT64 게이트웨이로 라우팅하는 프리픽스로 시작하는 합성 IPv6 주소를 통해 IPv4 전용 서비스에 연결할 수 있습니다.

DNS64는 IPv4 전용 대상에 대해 이러한 합성 IPv6 주소로 AAAA 레코드를 반환하는 DNS 서비스입니다 (DNS에는 AAAA 레코드가 있지만 A는 없음). IPv6 전용 클라이언트는 다른 구성 없이 NAT64 게이트웨이를 사용할 수 있습니다. Google 공개 DNS64는 예약된 NAT64 프리픽스 64:ff9b::/96을 사용하여 DNS64를 전역 서비스로 제공합니다.

중요: 시작하기 전에

Google 공개 DNS64를 사용하도록 시스템을 구성하기 전에 서비스 사용에 영향을 줄 수 있는 다음 제한사항을 고려하세요.

  • Google 공개 DNS64는 예약된 NAT64 프리픽스 64:ff9b::/96를 사용하여 NAT64 게이트웨이에 액세스할 수 있는 네트워크에서만 사용하도록 만들어졌습니다. NAT64 게이트웨이에 도달할 수 없는 네트워크에서는 사용하지 마세요.

  • Google 공개 DNS64는 공개 인터넷에서 확인할 수 없는 비공개 도메인에 대한 액세스를 제공하지 않지만, 공개 DNS 응답에 반환된 비공개 (RFC 1918) IPv4 주소에 대한 AAAA 레코드를 반환할 수 있습니다.

  • Google 공개 DNS64는 이중 스택 네트워크 또는 호스트에 필요하지 않지만 작동하여 합성된 AAAA와 원본 A 레코드를 모두 반환합니다. 이로 인해 IPv4를 통해 직접 연결하는 대신 IPv6 전용 호스트에 대한 트래픽이 발생할 수 있지만 일반적으로 NAT64 연결이 더 빠른 경우에만 해당됩니다.

Google 공개 DNS64 구성

시스템에 위의 Google Public DNS64 제한에 문제가 없으면 일반적인 Google Public DNS 시작하기 안내에 따라 표준 리졸버 주소를 다음과 같이 바꿉니다.

  • 2001:4860:4860::6464
  • 2001:4860:4860::64

다른 IPv6 주소를 구성하지 않음: 이렇게 하면 DNS64의 신뢰성이 떨어집니다. Google 공개 DNS IPv4 주소 (8.8.8.8 또는 8.8.4.4)도 구성하는 경우 이중 스택 호스트가 합성된 AAAA 레코드를 얻지 못할 수도 있습니다.

일부 기기는 IPv6 주소의 8개 부분 모두에 별도의 필드를 사용하며 :: IPv6 약어 구문을 허용하지 않습니다. 이러한 입력란에 다음을 입력합니다.

  • 2001:4860:4860:0:0:0:0:6464
  • 2001:4860:4860:0:0:0:0:64

4자리 16진수가 필요한 경우 0 항목을 0000으로, 64 항목을 0064으로 펼칩니다.

보안 DNS64

Google 공개 DNS64는 dns.google 대신 dns64.dns.google 도메인을 사용하여 DNS over HTTPS (DoH)DNS over TLS (DoT) 보안 DNS 전송을 지원합니다. 이 도메인은 위에 나열된 IPv6 주소로 확인되며, 해당 주소의 포트 443 및 853에서 DoH 및 DoT 서비스는 dns64.dns.google에 대한 TLS 인증서를 갖습니다.

Google 공개 DNS64의 RFC 8484 DoH URI 템플릿은 https://dns64.dns.google/dns-query{?dns}이며 JSON API는 https://dns64.dns.google/Resolve?name=ipv4only.arpa&type=AAAA와 같은 URL도 지원됩니다(IPv6 지원 시스템에서만 액세스 가능).

DNS64 설정 테스트

시작 가이드의 테스트 단계에 따라 DNS64 구성이 작동하는지 확인할 수 있습니다. NAT64 게이트웨이에 액세스할 수 없는 경우 Wikipedia에는 직접 배포할 수 있는 여러 NAT64 구현이 나와 있습니다.

일부 NAT64 구현은 Google Public DNS64에서 작동하지 않는 것으로 알려져 있습니다.

  • MacOS X 10.11 이상에는 NAT64/DNS64가 통합되어 있지만 IPv6를 통과할 수 없어 Google Public DNS64 리졸버에 액세스할 수 없습니다. 이 메뉴는 인터넷에 IPv4만 연결되어 있고 포함된 DNS64와만 연동되는 IPv6 전용 기기를 테스트하기 위한 것이며, 연결된 IPv6 전용 기기는 Google Public DNS를 직접 사용할 수 없지만 8.8.8.8 및 8.8.4.4를 사용하도록 MacOS X 시스템을 구성할 수 있습니다.

  • Cisco ASA 9.0 이상에는 NAT64가 포함되지만 잘 알려진 프리픽스 64:ff9b::/96는 지원되지 않으므로 사용자가 자체 프리픽스를 선택해야 합니다. DNS64를 구현하지 않지만 NAT64 게이트웨이를 통해 전달되는 DNS 트래픽의 검사 및 NAT 재작성을 제공합니다.

    Cisco ASA 이면의 IPv6 전용 기기는 다음 리졸버 주소를 구성하여 Google Public DNS를 사용하여 IPv4 연결을 가져올 수 있습니다.

    • NAT64-prefix::0808:0808 (Cisco ASA NAT64를 통한 8.8.8.8)

    • NAT64-prefix::0808:0404 (Cisco ASA NAT64를 통한 8.8.4.4)

    이렇게 하면 Cisco ASA NAT64를 통해 쿼리가 Google Public DNS로 라우팅됩니다. 일부 Cisco ASA 구성을 사용하면 AAAA 쿼리가 A 쿼리로 변환되고 A 응답은 구성된 접두어와 함께 AAAA로 다시 변환됩니다.

    NAT64 주소와 Google 공개 DNS IPv6 리졸버 주소(2001:4860:4860::8888 또는 2001:4860:4860::8844)를 모두 사용하면 작동하지 않습니다. 둘 중 하나라도 부정적인 응답은 다시 쿼리되지 않기 때문입니다. 모든 쿼리에 IPv6 또는 IPv4 DNS 해상도를 선택해야 합니다.