【YD通讯标准】 DNS64 技术要求

ICS33.040.40
中华人民共和国通信行业标准
YD/T2956-2015
DNS64技术要求
Technical reguirementsforDNSextensionsfor network addresstranslationfromIPv6clientstoIPv4servers(DNS64)2015-10-14发布
2016-01-01实施
中华人民共和国工业和信息化部发布前
范围·
规范性引用文件，
术语、定义和缩略语
协议概述·
DNS64机制
DNS64-DNSSEC相互作用介绍·
DNS64具体要求+
部署要求
附录A（资料性附录）部署场景和案例目
YD/T2956-2015
YD/T2956-2015
本标准按照GB/T1.1-2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。标准起草单位：中国互联网络信息中心、中国科学院计算机网络信息中心。标准主要起草人：孔宁、姚健康、沈烁。II
1范围
DNS64技术要求
YD/T2956-2015
本标准规定了用于IPv6客户端到IPv4服务器的网络地址转换的DNS扩展（DNS64）技术要求，主要包括DNS64的机制、与DNSSEC相互作用、具体要求和部署要求等。本标准适用于支持DNS64功能的软硬件产品。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。IETFRFC1035域名的实现与规范（Domainnames-implementationandspecification）IETFRFC2308域名服务器查询的否定缓存（NegativeCachingofDNSQueries(DNSNCACHE)）IETFRFC2671域名服务器扩展机制（ExtensionMechanismsforDNS(EDNSO)）IETFRFC3596DNS扩展以支持IPv6（DNSExtensionstoSupportIPVersion6）IETFRFC4035域名安全扩展协议修订（ProtocolModificationsfortheDNSSecurityExtensions）IETFRFC4074域名服务器的IPv6地址查询的错误行为（CommonMisbehaviorAgainstDNSQueriesforIPv6Addresses)
IETFRFC5735特殊用途的IPv4地址（SpecialUseIPv4Addresses）[ETFRFC6052在IPv4/IPv6转换器中的IPv6寻址（IPv6AddressingofIPv4/IPv6Translators）3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
AAAA记录AAAARecord
DNS协议中的一个资源记录类型用来表示IPv6地址。3.1.2
A记录ARecord
DNS协议中的一个资源记录类型用来表示IPV4地址。3.1.3
PTR记录PTRRecord
DNS协议中的一个资源记录类型用来反向查询资源记录。3.1.4
CNAME记录CNAMERecord
DNS协议中的一个资源记录类型用来查询正规名字。3.1.5
YD/T2956-2015
DNAME记录
DNAMERecord
DNS协议中的一个资源记录类型用来映射名字子树。3.1.6
SOA记录SOARecord
DNS协议中的一个资源记录类型用来表示授权的开始。3.1.7
名字服务器NameServer
能够利用名字查询名字所对应的资源记录信息的服务器。3.1.8
DNS64机制DNS64Mechanism
实现利用包含在DNS中的DNS资源记录（如包含IPv4地址的A记录）来合成DNS记录（如包含IPv6地址的AAAA记录）的逻辑功能。3.1.9
DNS64递归解析器DNS64RecursiveResolver提供DNS64功能的递归解析器。
DNS64解析器DNS64Resolver
任何提供DNS64功能的解析器（终端解析器或递归解析器）。3.1.11
DNS64服务器DNS64Server
任何提供DNS64功能的服务器，包括递归解析器提供DNS64功能时，它的服务器部分。3.1.12
IPy4-OnlyServerbzxz.net
IPV4服务器
本标准中，IPv4服务器特指只运行纯IPv4应用的服务器。它是只能使用IPv4协议的服务器，且只有IPv4连接对服务器是可用的。
IPv6主机IPv6-OnlyHosts
本标准中，IPv6主机特指运行纯IPv6的主机。它是只能使用IPv6协议的主机，且只有IPv6连接对客户端是可用的。
IPv6/lPy4转换器IPv6/IPv4Translator将IPv6数据包转换为IPv4数据包，反之亦然的设备。只需要支持从IPv6一侧发起的通信。3.2缩略语
下列缩略语适用于本文件。
CheckingDisabled
Domain Name System
检查失效
域名系统
DNSSEC
4协议概述
DNS SecurityExtension
Fully Qualified Domain Name
Network Address Translation
Time ToLive
域名系统安全扩展
完全合格域名
网络地址转换
生存时间
YD/T2956-2015
DNS64是一种由A记录合成AAAA记录的机制。DNS64与IPv6/IPv4转换器一起使用使得对于使用NAT的一类应用，IPv6客户端可以同IPv4服务器进行通信，而不需要对IPv6和IPv4节点做任何改变。本标准规定了DNS64，并提供了其应该如何同IPv6/IPv4转换器一起部署的建议。DNS64机制与IPv6/IPv4转换器（如有状态的NAT64）一起使用，从而允许IPv6客户端使用名字向IPV4服务器发起通信。
在DNS64的作用下，从A记录合成而来的AAAA记录与初始的A记录有着相同的所有者名称，但它包含一个IPv6地址，而不是IPv4地址。IPv6地址是包含在初始A记录中的IPv4地址的IPv6表示。IPv4地址的IPv6表示是由来自于返回到A记录中的IPv4地址以及设置在DNS64中的一系列参数（通常是IPv4地址的IPv6表示所使用IPv6前缀，或是其他参数）通过算法生成的。DNS64与IPv6/IPv4转换器这两种机制共同作用，通过使用服务器的FQDN实现IPv6客户端向IPv4服务器发起通信。
这些机制将在IPv4向IPv6的过渡和兼容过程中发挥关键性的作用。由于IPv4地址耗尽，很多IPv6客户端未来将希望连接到IPv4服务器上。通常情况下，该方法只需要在部署连接纯IPv6网络到纯IPv4网络的IPv6/IPv4转换器的同时部署一个或多个启用DNS64的名字服务器。但是也有些特性需要在终端主机上直接执行DNS64功能。
5DNS64机制
假设有一个或者多个连接IPv4网络和IPv6网络的IPv6/IPv4转换设备。IPv6/IPv4转换设备提供两个网络之间的转换服务，使得IPv4服务器和纯IPv6主机间能够进行通信。每个配合DNS64使用的IPv6/IPv4转换器应充许由IPv6主机向IPv4服务器发起通信。每当DNS64不能检索到所查询域名的AAAA记录时，为了使发起AAAA记录查询的IPv6主机能够得到响应者的IPv6地址，DNS64将包含响应者真实IPv4地址的A记录合成为AAAA记录。DNS64服务总是以IPv6查询者的常规DNS服务器或解析器的形式出现。DNS64接收由IPv6查询者产生的AAAA查询。它首先尝试对所要求的AAAA记录进行解析。若没有目标节点可用的AAAA记录（正常情况下目标节点是一个纯IPv4节点），DNS64对A记录进行查询。对每一个查询到的A记录，DNS64将A记录检索到的信息合成为AAAA记录。合成的AAAA记录的所有者名称与初始A记录所有者名称相同，而包含在初始A记录中的IPv4地址的IPv6表示存在于AAAA记录中。IPv4地址的IPv6表示从算法角度看，是由IPv4地址以及配置在DNS64中的附加参数产生的。配置在DNS64中的参数至少有一个IPv6前缀。如果没有明确指出，所有的前缀都处于同一地位，且本标准所规定的所有操作都是使用现有前缀来进行的。因此，通常情况下将这前缀称为Pref64：/n，同时规定使用通用前缀缴的操作行为。IPv4地址的IPv6地址表示存在于由含有Pref64:/n的DNS64合成的AAAA记录中，其中嵌入了初始IPv4地址。m
YD/T2956-2015
相同的算法以及相同的Pref64：:/n前缀应同时配置在DNS64设备和IPv6/IPv4转换器中，这样从算法上他们才能对给定IPv4地址产生相同的IPv6表示。另外，需要将目的地值为包含Pref64:/n前缀的IPv6目标地址的IPv6数据包，发送到配置了特定Pref64：:/n的转换器上，由此IPv6数据包可以被转换为IPv4数据包。
-且DNS64合成了AAAA记录，合成的AAAA记录传递回IPv6查询者，这将会启动与IPv4接收器关联的IPv6地址的IPv6通信。数据包将会发送到IPv6/IPv4转换器上，进一步转发到IPv4网络。通常，DNS64和IPv6/IPv4转换器唯一共享状态就是Pref64：/n以及一组可选择的静态参数。设置在两个设备上的Pref64:/n以及可选择的静态参数应是相同的；DNS64设备与IPv6/IPv4转换器功能之间没有通信。用于配置DNS64参数的机制超出了本标准的范围。被用作Pref64::/n的前缀以及它们的应用在IETFRFC6052中给出。有两种前缀可用作Pref64:/n。Pref64：/n可以是知名前缎64:ff9b：/96，IETFRFC6052中规定将它保留用来代表IPv6地址空间中的IPv4地址。
Pref64:/n可以是一个网络特定前缀。网络特定前缀是指由-一个组织分配的IPv6前缀用以创建IPv4地址的IPv6表示。
两种前缀主要的本质区别在于网络特定前缀是本地分配前缀，它是在提供转换服务组织的管理下实现的，而知名前缀是一种具有全球意义的前缀，这是由于它已经被分配了特定目的，用来代表IPv6地址空间中的IPv4地址。
DNS64功能可在以下三个方案中使用。第一个方案是在一个区的权威服务器中确定DNS64功能。在这种情况下，权威服务器为该区的纯IPv4服务器提供合成的AAAA记录。这是DNS64服务器的一种类型。第二方案是在服务于终端主机的递归服务器中实现DNS64功能。这种情况下，当纯IPv6主机对名字服务器进行纯IPv4服务器的AAAA记录的查询时，名字服务器可以进行AAAA记录的合成，然后传回纯IPv6查询者。这一模式的主要优势在于，当前的IPv6节点可以使用这一机制，而不要任何修改。该模式被称为“DNS递归解析模式的DNS64”。这是DNS64服务器的第二种类型，也是DNS64解析器的一种类型。
第三种方案是在终端主机上实现DNS64功能，并与本地解析器连接。在这种情况下，终端解析器将努力获取（真实的）AAAA记录，一旦其不存在，DNS64功能将合成AAAA记录以供内部使用。而这一模式的主要不足在于它的部署能力，因为这需要终端主机的一些改变。这一模式被称为“终端解析模式的DNS64”。
6DNS64-DNSSEC相互作用介绍
DNSSEC对DNS64提出了一种特殊的挑战，因为DNSSEC是用来发现DNS应答的变化，DNS64可以改变来自于权威服务器的应答。递归解析器可以是支持DNSSEC也可以是不支持DNSSEC的。而且，根据运营者的政策，支持DNSSEC的递归解析器可以有验证也可以无验证功能。在下面的情况下，递归解析器执行DNS64，并且有本地政策进行验证。本标准把这一普遍情况称为vDNS64，但是在所有下列情况中，都应该假定需要DNS64功能
DNSSEC包含一些信令位，提供关于查询发起者所能理解的信息的一些指示。4
YD/T2956-2015
若查询vDNS64设备时出现“DNSSECOK”比特置位，查询发起者正在发出信号表示已辨认出了DNSSEC。DO比特不能表示查询发起者将验证响应，而只是说明查询发起者可以辨认出含有DNSSEC数据的响应。相反，如果DO比特没有置位，则显然查询代理不支持DNSSEC。若查询vDNS64设备时出现\CheckingDisabled\（CD)比特置位时，表明查询代理想要所有的验证数据从而进行自我检验。根据本地政策，vDNS64仍然可以验证，但它应将所有数据返回到查询代理。可能出现的情况有：
a）DNS64（有DNSSEC或无DNSSEC功能）接收带DO比特没有置位的查询。这种情况下，DNSSEC无需考虑，因为查询代理不能辨认DNSSEC响应。在本地政策的支配下，DNS64可以进行响应的验证；b）不支持DNSSEC安全功能的DNS64接收到带有DO比特置位且CD比特置位或不置位的查询。这一情况类似于非DNS64：服务器不支持，查询代理得不到想要的结果；c）有安全功能而没有验证能力的DNS64接收带有DO比特置位，而CD比特不置位的查询。根据本地政策，这类解析器不验证响应。因而，该情况与前面的情况相同，未进行验证：d）有安全功能而没有验证能力的DNS64接收带有DO比特以及CD比特置位的查询。在这种情况下，DNS64应该将它得到的所有数据传给查询发起者。这种情况下，如果不是在验证解析器上实现DNS64，则无法使用DNS64功能。因为如果DNS64修改了记录，客户端将试着验证得到的修改后的数据，对客户端来说这些数据将是无效的：e）有安全功能且有验证能力的DNS64解析器接收DO比特以及CD比特都没有置位的查询。这种情况下，解析器验证数据。若失败了，则返回RCODE2（服务器失败）：否则，返回应答。这是vDNS64的理想情况。解析器验证数据，然后合成新的记录并将其传给客户端。可推测客户端不需验证（否则应该设置了DO和CD)，不能辨别出使用了DNS64：f）有安全功能且有验证能力的DNS64解析器收到DO比特置位而的CD比特不置位的查询。除了解析器还应该在响应中将\AuthenticData\AD)位置位以外，与上一条的情况类似；g）有安全功能且有验证能力的DNS64解析器收到DO比特和CD比特都置位的查询。这和一个有安全功能而没有验证能力的递归解析器接收相似的查询是一样的，结果也是相同的：如果DNS64已经完成合成，下游的验证器将标记数据为无效。需要在节点自身上实现DNS64，否则通信将会失败。7DNS64具体要求
7.1概述
DNS64是一种将A记录合成为AAAA记录的逻辑功能。DNS64功能可以在终端解析器、递归解析器或是权威域名服务器中实现。实现中还应支持不同的IPv4地址范围映射到不同的IPv6前缀来合成AAAA记录。这允许对特殊使用的IPv4地址进行处理（见IETFRFC5735）。DNS报文包含几个部分。DNS64更改的DNS报文部分是应答部分，将在7.2中进行规定。最终合成的答案将放在其他部分，创建作为对DNS请求的响应的报文后返回。生成该响应将在7.5中提及。DNS64也会对涉及到任何用来合成AAAA记录的IPv6前缀的地址的PTR请求进行回应。7.2解析AAAA查询以及应答部分
7.2.1内容
当DNS64接收到一个AAAA类型，IN（互联网）类的查询的时候，它首先尝试检索该类型和类的5
YD/T2956-2015
非合成记录，无论是通过执行一个查询或是在它是权威服务器的情况下通过检查它自已的结果。如果本地缓存有该记录，则该查询可以利用本地缓存来应答。对于除了IN类之外的其他类，DNS64操作是未定义的，此时DNS64不做任何操作。7.2.2当存在AAAA数据时的应答
如果查询结果在应答部分的一个或多个AAAA记录中，根据正常的DNS语义，结果将被返回给请求客户端，除非AAAA记录中任何一个与特定的被排除前缀集合相匹配，如7.2.5中规定的情况。若存在可用的AAAA数据，DNS64就不应该在应答时包括合成的AAAA记录（参见附录A)。在默认状态下，当真正的AAAA记录存在时，DNS64不能合成AAAA记录。7.2.3出现错误时的应答
若查询结果是带有RCODE非O的响应（表示有错误发生），接下来会有两种可能性。带有RCODE=3（名字错误）的结果可以根据正常的DNS操作（正常情况下会将错误返回给客户端）处理。这一过程要先于任何的合成情况，因此将会返回客户端的应答除了DNS操作中的通常处理外，不需要任何特别的步骤
其他RCODE值的情况也会被处理，同RCODE为0（见7.2.7及7.2.8）时一样，应答部分是空的。当这些域名服务器接收到没有可用的AAAA记录的AAAA查询时，会有来自部署的域名服务器上的大量不同的响应（见IETFRFC4074）。这里存在不同类型的DNS错误，所有错误处理都应认为，这个错误是由没有可用的AAAA记录导致的。重点需要指出的是，目前，有些服务器在即使存在可用的A记录提供给机主名称的情况下，也会对一个AAAA的查询产生带有RCODE=3的响应。那些服务器很明显违反了RCODE3的真正含义，希望随着IPv6部署的增多，可以减少这种使用。7.2.4超时处理
如果查询在超时之前没有收到答复（或许是来自于权威服务器的超时，取决于DNS64是否在递归解析模式)，应按照RCODE=2来处理（服务器失败)。7.2.5AAAA记录的特殊排除集合
一些IPv6地址实际上不可被纯IPv6主机所用。若它们作为AAAA记录返回纯IPv6查询代理，将达不到减少失败模式数量的目标。范例包括处于：fff:0:0/96网络的地址的AAAA记录，以及可能是带有网站Pref64:/n或是知名前缀的AAAA记录。DNS64的实现应该提供一种机制来规范IPv6前缀范围，对于该范围内的IPv6地址，可以认为包含他们的AAAA记录的应答无效。实现应包含默认：fff/96网络段的地址处于该地址范围内。未能提供此能力将意味着查询DNS64功能的客户端不能保证能通过双栈主机到达的主机进行通信。
当DNS64执行初始AAAA查询时，如果它接收的应答只带有排除范围地址的AAAA记录，就应将此应答看作是个空应答，然后继续进行。若它接收到的应答带有至少一个非排除范围地址的AAAA记录时，然后就应该默认创建一个应答部分，仅包含该AAAA记录的响应，而此AAAA记录中不包含任何一个排除范围的地址。应答部分会用于7.5详细规定的生成的响应中。或者，这些应答将会被处理成一个空应答，然后继续进行。严禁到将不良的AAAA记录作为响应的一部分返回。7.2.6CNAME和DNAME的处理
如果响应包含CNAME或是DNAME，CNAME或是DNAME链就会一直跟随直到第一个最终的A6
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。