1、 ICS 33.040.40 CCS M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T xxxx-xxxxx 基于云计算技术的 IPv4-IPv6 业务互通 域名系统技术要求 Technical requirements for domain name system of IPv4-IPv6 service interoperability exchange center based on cloud computing technology (报批稿) -发布 -实施 中华人民共和国工业和信息化部发布 目 次 前言 . 2 引言 . 4 1 范围 . 1 2 规范性
2、引用文件 . 1 3 术语及定义 . 1 4 缩略语 . 2 5 DNS 系统概述 . 3 6 总体架构 . 3 7 技术要求 . 5 8 测试方法 . 5 附录 A(资料性)VDNS 递归服务器 . 6 前 言 本文件是“基于云计算技术的IPv4-IPv6业务互通”系列标准之一,预计的结构如下: -基于云计算技术的 IPv4-IPv6 业务互通总体技术要求; -基于云计算技术的 IPv4-IPv6 业务互通交换中心网元技术要求; -基于云计算技术的 IPv4-IPv6 业务互通交换中心网元测试方法; -基于云计算技术的 IPv4-IPv6 业务互通交换中心安全系统技术要求; -基于云计算技术
3、的 IPv4-IPv6 业务互通交换中心安全系统测试方法; -基于云计算技术的 IPv4-IPv6 业务互通交换中心基础云平台技术要求; -基于云计算技术的 IPv4-IPv6 业务互通交换中心基础云平台测试方法; -基于云计算技术的 IPv4-IPv6 业务互通域名系统技术要求。 本文件按照GB/T 1.1-2020给出的规则起草。 本文件由中国通信标准化协会提出并归口。 请注意本文件的某些内容可能涉及专利。本标准的发布机构不承担识别这些专利的责任。 本文件起草单位:中国信息通信研究院、北京网能经纬科技有限公司、中国航天科工集团网络信息总体部、中国电信集团有限公司、中国联合网络通信集团有限公
4、司、中国移动通信集团有限公司、中国广电网络股份有限公司、国家电网有限公司、国家石油天然气管网集团有限公司、中国银联股份有限公司、中国融通资产管理集团有限公司、中国电子信息产业集团有限公司、中国电子科技集团有限公司、华为技术有限公司、新华三技术有限公司、上海诺基亚贝尔股份有限公司、北京计算机技术及应用研究所、中国科学院信息工程研究所、国家计算机网络与信息安全管理中心、国家信息中心、航天云网科技发展有限责任公司、广东省广播电视网络股份有限公司、粤港澳大湾区大数据研究院、新华网股份有限公司、清华大学、航天科工智慧产业发展有限公司、互联网域名系统北京市工程研究中心有限公司、中国科学院计算机网络信息中心
5、、国家下一代互联网产业技术创新战略联盟。 本文件主要起草人:傅承鹏、蒋林涛、毕奇、邬贺铨、尹浩、李伯虎、邹峰、徐江山、张宏科、陈国瑛、黄澄清、奚全生、杜平、刘浩、柴旭东、杨辅祥、何志强、王琳、谢华、申江婴、刘著平、马杰、宋晓明、刘中云、魏政、惠泉、薛茂森、袁晓光、申世光、叶东升、王宁、孔雷、魏晓菁、高洪雨、叶志容、杨力、曾国欢、李宪帮、李凯、蒋志刚、李良、李立、曹红辉、肖海潮、张亚林、施友连、徐震、张橇、唐雄燕、虹露、谢朝建、唐 文涛、易勇、陈荣辉、张群、吴芸、韩江丽、杨崑、张本亭、崔向华、张宇、赵甫、秦衡、孟庆磊、马云鹏、杨长校、杨崑、赵龙泼、朱光晨、傅林、凌秀华、钟松延、孙国庆。 引 言
6、当前互联网已经逐步形成包含大量终端、网络以及服务节点的生态系统,在基础网络平台的基础上,依托智能终端和高性能服务器孵化出成千上万的应用系统。在考虑基于IPv6的下一代互联网商业部署的时候,由于IPv6在协议设计上未考虑与IPv4兼容不仅仅需要考虑网络的升级换代,同时还要考虑寄生在网络上的大量终端和应用无缝迁移的问题。网络服务的特点是“一点接入、全网服务”,而IPv6的网络升级改造是逐步平行的, 不仅要考虑IPv4和IPv6网络作为不同平面平行发展,同时还要考虑实现IPv4和IPv6平面的互联互通问题。面对这一局面,提出构建基于云计算技术的IPv4-IPv6业务互通交换中心的解决方案,打通IPv
7、4网络空间向IPv6网络空间的快速迁移,提供IPv6单栈访问,实现终端、网络及云端业务三者之间的无缝互联互通。 IPv4网络和IPv6网络的互联互通将贯穿于网络过渡的全阶段,IPv6的普及也对网络提出了新需求,为满足新兴业务需求,构建基于云计算技术的IPv4-IPv6业务互通交换中心。该交换中心由国家下一代互联网产业技术创新战略联盟标准委员会首次提出和认证。 1 基于云基于云计算计算技术技术的的 IPIPv4v4- -IPIPv6v6 业务互通域名系统业务互通域名系统技术要求技术要求 1 范围 本文件规范了基于云计算技术的IPv4-IPv6业务互通域名系统的技术要求以及相关测试要求。 本文件适
8、用于政府、运营商、企事业单位的IPv6升级的整体设计、建设、使用和运维。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETF RFC1034 域名的概念与系统 Domain names - concepts and facilities IETF RFC1035域名系统实现技术规范 Domain names - implementation and specification 3 术语及定义 下列术语及定义适用于本文件 3.1 域名 domain name
9、规范了域名系统名字空间中,从当前节点到根节点的路径上所有节点标记的点分顺序连接, 比如 。 注:在本标准中, 域名的范围包含了由数字、英文字母及连接符(“-”)等 ASCII 编码组成的英文域名, 以及由非 ASCII 编码的字符组成的国际化域名(IDN)两大范畴, 如“.中国”、“.网络”、“公司”等。 3.2 域 domain 域名系统名字空间中的一个子集, 即树形结构名字空间中的一棵子树。这个子树根节点的域名就是该域的名字。 3.3 域名系统 domain name system 一种将域名映射为某些预定义类型资源记录的分布式互联网服务系统,网络中域名服务系统间通过相互协作实现域名到相应
10、资源记录的解析。 3.4 名字服务器 name server 又称为域名服务器。规范了用于存储域名和资源记录及其他相关信息并负责处理用户的 查 询 请 求 。 名 字 服 务 器 包 括 权 威 服 务 器 (Authoritative Server) 和 递 归 服 务 器(RecursiveServer)两种。 2 3.5 权威服务器 authoritative server 规范了对于某个或者多个区具有权威的服务器,权威服务器保存着其所拥有权威的区的原始域名资源记录信息。 3.6 递归服务器 recursive server 也被称为本地域名服务器和缓存服务器。RFC1035规范了它负责
11、接受用户端发送的请求,然后通过向各级权威服务器发出查询请求获得用户需要的查询结果,最后返回给用户端的解析器。递归服务器可以将权威服务器返回的各种记录进行缓存从而减少查询次数和提高查询效率,因而也被称为缓存服务器。 3.7 IPv6/IPv4 网络地址翻译 IPv6/IPv4 network address translation 规范了NAT64的技术要求。NAT64是一种有状态的网络地址与协议转换技术,它一般只支持通过IPv6网络侧用户发起连接访问IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。 3.8 IPv6/IPv4 域名解
12、析服务器 IPv6/IPv4 domain name system 规范了DNS64的技术要求。DNS64面向过渡阶段使用的DNS服务器。DNS64配合NAT64工作,将DNS查询信息中的A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,返回合成的AAAA记录用户给IPv6侧用户。 3.9 网能域名解析扩展服务器 visual domain name server 网能域名解析扩展服务器VDNS属于一种增强型的递归域名服务器,并支持IPv6地址与IPv4地址之间互为映射。可以在即便用户操作系统不支持IPv6的情况下依然可以同时访问IPv6及IPv4的资源。VDNS工作原理概述见附录A
13、 3.10 用户子网地址携带功能 DNS client subnet 规范了DNS消息携带用户子网地址的扩展功能。该功能支持将用户IP地址或者子网地址传输给DNS服务器,实施精确的DNS解析。 4 缩略语 3 下列缩略语适用于本文件。 A 指定域名的IPv4地址 A Record AAAA 指定域名的IPv6地址 AAAA Record DNS64 IPv6/IPv4域名系统 IPv6/IPv4 Domain Name System DNS 域名系统 Domain Name System NAT64 IPv6/IPv4网络地址翻译 IPv6/IPv4 Network Address Trans
14、lation NS 域名服务器 Name Server VDNS 网能域名解析扩展服务器Veno Domain Name Server 5 DNS 系统概述 本节按照 IETF RFC1034 给出了 IPv6 系统中 DNS 的描述,DNS 系统作为互联网的入口协议,起到将域名翻译成 IP 的作用,是互联网的基础之一。它在单独的 IPv4 网络、IPv6 网络中以及 IPv4 向 IPv6 过渡期间都发挥着非常重要的作用。作为 IPv6 系统中的核心模块,DNS 应满足以下要求: a) DNS系统需要有安全的管理机制、安全的网络环境以及健全的安全防护措施,通过等保认证; b) DNS服务器能
15、响应来自IPv4网络及IPv6网络的客户的DNS查询; c) DNS服务器能正常解析A和AAAA查询; d) DNS系统能提供冗余灾备功能,防止因单台或单节点故障导致DNS系统无法正常工作; e) DNS系统能为业务互通交换中心中的其他模块提供DNS解析服务,满足其他模块的DNS解析需求; f) 为了适应IPv4向IPv6逐步迁移,RFC3596规范了DNS服务器需要能够根据IPv6网络或IPv4网络返回各自对应的地址,从而保证不同网络协议的用户能访问到同样网络的服务。 6 总体架构 本节见 IETF RFC1035 基础上给出了 DNS 系统在 IPv4 及 IPv6 网络环境下的总体架构,
16、如图 1 所示: 4 图 1 DNS 系统 IPv4 及 IPv6 网络架构示意图 图 1 中左边的 DNS 服务器是 DNS 递归服务器,右边的是 DNS 权威服务器。在 IPv4 向IPv6 迁移的过程中,为了能服务所有网络环境下的 DNS 请求,权威服务器和递归服务器需要适用于以下三种网络环境: a) 纯IPv4的网络环境:在该网络环境下,递归服务器所在的局域网内部及出口都是IPv4链路,递归服务器需要在IDC、ISP或企业内部监听IPv4地址,并为局域网的所有客户提供DNS服务;权威服务器需要监听在全网可达的IPv4地址上,为互联网中的所有IPv4用户及IPv4链路的递归服务器提供DN
17、S权威服务,对于查询A类型的DNS请求能返回对应域名的IPv4地址; b) 纯IPv6的网络环境:在该网络环境下,递归服务器所在的局域网内部及出口都是IPv6链路,递归服务器需要监听IPv6地址,并为局域网的所有客户提供DNS服务;权威服务器需要监听在全网可达的IPv6地址上,为互联网中的所有IPv6用户及IPv6链路上的递归服务器提供DNS权威服务,对于查询AAAA类型的DNS请求能返回对应域名的IPv6地址; c) 内部IPv6网络,外部出口IPv4网络:在此种网络环境下,局域网内部的所有用户、服务器及DNS递归服务器都监听在私有的IPv6地址上,通过配置在递归服务器上的DNS64以及配置
18、在路由器(或交换机)上的NAT64来提供服务。我们首先需要在递归服务器和路由器上配置一个相同的DNS64 Prefix(上图中的DNS64 Prefix为:301:0/64)。用户访问会首先向递归服务器请求 的AAAAR DNS Server R DNS Server HA IPv4 A DNS Server Router R DNS Server R DNS Server HA IPv6 Router 60.205.108.235 201:FF:1 R DNS Server R DNS Server HA NA T64 Router 301:3EE9:6CEB DNS64 DNS64 A D
19、NS Server A DNS Server w w w . z d n s . c n A 6 0 . 2 0 5 . 1 0 8 . 2 3 5 w w w . z d n s . c n A A A A 2 0 1 : : F F : 1 w w w . z d n s . c n A 6 0 . 2 0 5 . 1 0 8 . 2 3 5 IPv6 Network Access IPv4 Network Access IPv4 Network Global IPv6 Network Private IPv6 Network 5 记录,递归服务器会通过局域网的路由器通过IPv4线路访问D
20、NS权威服务器,获得 的A地址为60.205.108.235;递归服务器会将这个IP和DNS64 Prefix进行组合,形成内部使用的AAAA地址:301:3EE9:6CEB;用户就使用该IPv6地址作为的IPv6地址进行业务访问;当该链接到达路由器后,路由器会将该DNS64 Prefix去掉,直接访问60.205.108.235,从而实现内部私有IPv6网络访问外部的IPv4地址;对于这种情况下的权威服务器,需要监听在互联网可达的IPv4地址上,提供DNS服务。 d) 内部IPv4网络,外部出口IPv6网络:在此种网络环境下,局域网内部的所有用户、服务器及DNS递归服务器都监听在私有的IPv
21、4地址上,通过配置在递归服务器上的VDNS以及网能客户端来提供服务。我们首先需要在VDNS上配置一个IPv4私网地址前缀10.13.0.0/16。用户访问会向VDNS服务器请求A记录,VDNS收到请求后会通过IPv6线路向权威服务器同时发送A和AAAA记录请求。由于为IPv6单栈网站,递归服务器会将收到的地址记录2001:1234映射成私网地址10.13.0.1然后返回给用户。用户收到记录并向该地址发起请求。网能客户端截获用户向映射子网请求后进行反向映射,并转发用户请求至原始服务地址2001:1234。 7 技术要求 在 IPv6 网络环境下以及 IPv4 和 IPv6 共存的网络环境下,DN
22、S 服务器都需要满足某些要求才能提供服务,下面从递归服务器说明具体的技术要求: 7.1 递归服务器 递归服务器具体的技术要求如下: a) 应能在IPv4和IPv6网络环境中运行,响应IPv4网络和IPv6网络过来的查询; b) 应支持AAAA类型的DNS资源记录; c) 应支持DNS64; d) 应支持VDNS。 8 测试方法 针对 7 中的技术要求,给出递归服务器的各个项目的测试方法。 a)是否支持 IPv6 网络协议:使用 dig 命令向递归服务器的 IPv6 地址查询 vns1.zdnscloud.biz 的 A 记录,看是否能正常返回; b)是否支持 AAAA 类型的 DNS 资源记录
23、:使用 dig 命令向递归服务器的任意地址查询vns1.zdnscloud.biz 的 AAAA 记录,看是否能正常返回; c)是否支持 DNS64:按照递归服务器说明配置好 DNS64 功能后,使用 dig 命令向递归服务器内网的 IPv6 地址查询 的 AAAA 记录,看是否能正常返回; d)是否支持 VDNS:禁用用户操作系统 IPv6 栈,开启 VDNS 服务器,通过域名访问只支 6 附录 A (资料性附录) VDNS 递归服务器 A.1 背景介绍 随着 IPv6 网络的普及以及国家政策的支持,越来越多的企业在进行着 IPv4 网络向IPv6 网络迁移工作。在迁移的过程中,会长时间地存
24、在 IPv4 网络和 IPv6 网络混合部署的情况。在这种混合部署的情况下,由于 IPv4 网络和 IPv6 网络的不连通性,需要精确将IPv4 网络的用户调度到 IPv4 的服务上,将 IPv6 网络的用户调度到 IPv6 的服务上。如果一旦调度错误,那么用户将无法正常访问对应的服务。而且鉴于在企业内部,CDN(内容分发网络)的广泛使用,也会加剧调度错误的可能性。下面就详细说明下在 CDN 部署的情况下,现存的 DNS 记录的缺陷及问题。 企业采购某家 CDN 厂商的 CDN 产品,CDN 厂商会根据用户提供的信息,配置 CDN,并提供给企业一个 CNAME 记录,企业需要将对应域名的 A
25、记录修改为 CDN 厂商提供的 CNAME 记录。由于 CNAME 记录的排他性,所以该域名下除了该 CNAME 记录以外,不能存在其他任何记录。所以任何对该域名的查询(IPv4 和 IPv6)都会指向到 CDN 厂商,由 CDN 厂商提供服务。但是由于目前国内几乎所有的 CDN 厂商都不提供 IPv6 服务,所以这种采用了 CDN 的情况下,对于 IPv6 网络的用户的访问将会失败。即使企业通过某些 ISP 在 IPv6 网络上部署了对应的业务,由于 CNAME 的排他性,也无法让 CNAME(CDN)和 AAAA(IPv6 网络服务)共存,更无法将来自 IPv4 网络的用户指向到 CDN
26、上,将来自 IPv6 网络的用户指向到 IPv6的服务上面。 正是因为上述问题,VDNS 现有的 DNS 递归服务器。对于来自 IPv4 来源的请求,DNS 权威服务器返回 IPv4 地址或者 CNAME 记录;对于来自 IPv6 来源的请求,DNS 权威服务器返回 IPv6 地址,当请求的资源在没有对应网络栈地址记录时,仍可通过映射保证用户访问。 A.2 VDNS 查询流程 VDNS 部署在用户终端和边缘之间。该服务器会监听并主动截获用户的 DNS 请求。根据用户发出的请求类型来判断用户终端支持的网络栈。如果某个用户 IP 只发 A 请求,则默认用户只支持 IPv4。如果只发 AAAA 请求
27、,则判断为 IPv6 单栈。如果都有则为双栈。无论用户发出的何种请求类型,VDNS 会同时向上游 DNS 服务区发出对应的 A 和 AAAA 记录,以此来确定用户请求的资源是否在线。如果查询结果中存在与用户发起请求的网络栈相符的记录,则返回该记录致客户端。如果查询返回的记录为用户所没有的网络栈,则会将记录中7 的地址映射到预先配置的内网地址段中。映射的纪录会被记录到映射表中与网能客户端共享。客户端会主动截获用户对于这些列表中的地址所发出的请求,并且实时反向映射回原始地址。当网能客户端所在机房没有原始地址栈连接时,可通过在云端的网能 IPv6/IPv4互连网关进行转发。 VDNS 会像普通 DNS 递归服务器一样对 DNS 的查询结果进行缓存。在此基础上,拓展服务器会通过调整记录 TTL 的方式来管理映射地址池的大小,以防止地址溢出。 图 2 VDNS 工作机理 用户终端 VDNS 缺省路由器 上游 DNS 服务器 请求响应 地址映射表 DNS 请求 资源访问请求 DNS 请求 DNS 请求 网能客户端
浙ICP备2021020529号-1 | 浙B2-20240490 
