YD/T 2956-2015 DNS64技术要求

ICS33.040.40

M32YD

中华人民共和国通信行业标准

YD/T2956-2015

DNS64技术要求

TechnicalrequirementsforDNSextensionsfornetworkaddress

translationfromIPv6clientstoIPv4servers(DNS64)

2015-10—14发布2016-01—01实施

中华人民共和国工业和信息化部发布

YD/T2956-2015

目次

ms...........................................................II

l范围.....................................................................................i

2规范性引用文件...........................................................................1

3术语、定义和缩略语..........................................................1

4协擁M..............................3

5DNS64侧........................................................................■….…3

6DNS64-DNSSEC相互作用介绍............................................................4

7DNS64具体要求.................................5

8觸魏••••••.............10

附录A(资料性附录）部署场景和案例…......................................................12

YD/T2956-2015

刖

本标准按照GB/Tl.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本标准由中国通信标准化协会提出并归口。

标准起草单位：中国互联网络信息中心、中国科学院计算机网络信息中心。

标准主要起草人：孔宁、姚健康、沈烁。

YD/T2956-2015

DNS64技术要求

1范围

本标准规定了用于IPv6客户端到IPv4服务器的网络地址转换的DNS扩展（DNS64)技术要求，主要

包括DNS64的机制、与DNSSEC相互作用、具体要求和部署要求等。

本标准适用于支持DNS64功能的软硬件产品。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

IETFRFC1035域名的实现与规范（Domainnames-implementationandspecification)

IETFRFC2308域名服务器查询的否定缓存（NegativeCachingofDNSQuefies(DNSNCACHE))

IETFRFC2671域名服务器扩展机制（ExtensionMechanismsforDNS(EDNSO))

IETFRFC3596DNS扩展以支持IPv6(DNSExtensionstoSupportIPVersion6)

IETFRFC4035域名安全扩展协议修订（ProtocolModificationsfortheDNSSecurityExtensions)

IETFRFC4074域名服务器的IPv6地址查询的错误行为（CommonMisbehaviorAgainstDNS

QueriesforIPv6Addresses)

IETFRFC5735特殊用途的IPv4地址（SpecialUseIPv4Addresses)

IETFRFC6052在IPv4/IPv6转换器中的IPv6寻址（IPv6AddressingofIPv4/IPv6Translators)

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件。

3.1.1

AAAA记录AAAARecord

DNS协议中的一个资源记录类型用来表示IPv6地址。

3.1.2

A记录ARecord

DNS协议中的一个资源记录类型用来表示IPv4地址。

3.1.3

PTR记录PTRRecord

DNS协议中的一个资源记录类型用来反向查询资源记录。

3.1.4

CNAME记录CNAMERecord

DNS协议中的一个资源记录类型用来查询正规名字。

3.1.5

1

YD/T2956-2015

DNAME记录

DNAMERecord

DNS协议中的一个资源记录类型用来映射名字子树。

3.1.6

SOA记录S〇ARecord

DNS协议中的一个资源记录类型用来表示授权的开始。

3.1.7

名字服务器NameServer

能够利用名字查询名字所对应的资源记录信息的服务器。

3.1.8

DNS64机制DNS64Mechanism

实现利用包含在DNS中的DNS资源记录（如包含IPv4地址的A记录）来合成DNS记录（如包含IPv6

地址的AAAA记录）的逻辑功能。

3.1.9

DNS64递归解析器DNS64RecursiveResolver

提供DNS64功能的递归解析器。

3.1.10

DNS64解析器DNS64Resolver

任何提供DNS64功能的解析器（终端解析器或递归解析器）。

3.1.11

DNS64月艮务器DNS64Server

任何提供DNS64功能的服务器，包括递归解析器提供DNS64功能时，它的服务器部分。

3.1.12

IPv4服务器IPv4-OnlyServer

本标准中，IPv4服务器特指只运行纯IPv4应用的服务器。它是只能使用IPv4协议的服务器，且只有

IPv4连接对服务器是可用的。

3.1.13

IPv6主机IPv6-OnlyHosts

本标准中，IPv6主机特指运行纯IPv6的主机。它是只能使用IPv6协议的主机，且只有IPv6连接对客

户端是可用的。

3.1.14

IPv6/IPv4转换器IPv6/IPv4Translator

将IPv6数据包转换为IPv4数据包，反之亦然的设备。只需要支持从IPv6—侧发起的通信。

3.2缩略语

下列缩略语适用于本文件。

CDCheckingDisabled检查失效

DNSDomainNameSystem域名系统

YD/T2956-2015

DNSSECDNSSecurityExtension域名系统安全扩展

FQDNFullyQualifiedDomainName完全合格域名

NATNetworkAddressTranslation网络地址转换

TTLTimeToLive生存时间

4协议概述

DNS64是一种由A记录合成AAAA记录的机制。DNS64与IPv6/IPv4转换器一起使用使得对于使

用NAT的一类应用，IPv6客户端可以同IPv4服务器进行通信，而不需要对IPv6和IPv4节点做任何改

变。本标准规定了DNS64，并提供了其应该如何同IPv6/IPv4转换器一起部署的建议。

DNS64机制与IPv6/IPv4转换器（如有状态的NAT64)—起使用，从而允许IPv6客户端使用名字向

IPv4服务器发起通信。

在DNS64的作用下，从A记录合成而来的AAAA记录与初始的A记录有着相同的所有者名称，但

它包含一个IPv6地址，而不是IPv4地址。IPv6地址是包含在初始A记录中的IPv4地址的IPv6表示。

IPv4地址的IPv6表示是由来自于返回到A记录中的IPv4地址以及设置在DNS64中的一系列参数（通

常是IPv4地址的IPv6表示所使用IPv6前缀，或是其他参数）通过算法生成的。

DNS64与IPv6/IPv4转换器这两种机制共同作用，通过使用服务器的FQDN实现IPv6客户端向IPv4

服务器发起通信。

这些机制将在IPv4向IPv6的过渡和兼容过程中发挥关键性的作用。由于IPv4地址耗尽，很多IPv6

客户端未来将希望连接到IPv4服务器上。通常情况下，该方法只需要在部署连接纯IPv6网络到纯IPv4

网络的IPv6/IPv4转换器的同时部署一个或多个启用DNS64的名字服务器。但是也有些特性需要在终端

主机上直接执行DNS64功能。

5DNS64机芾IJ

假设有一个或者多个连接IPv4网络和IPv6网络的IPv6/IPv4转换设备。IPv6/IPv4转换设备提供两

个网络之间的转换服务，使得IPv4服务器和纯IPv6主机间能够进行通信。每个配合DNS64使用的

IPv6/IPv4转换器应允许由IPv6主机向IPv4服务器发起通信。

每当DNS64不能检索到所查询域名的AAAA记录时，为了使发起AAAA记录查询的IPv6主机能

够得到响应者的IPv6地址，DNS64将包含响应者真实IPv4地址的A记录合成为AAAA记录。DNS64

服务总是以IPv6查询者的常规DNS服务器或解析器的形式出现。DNS64接收由IPv6查询者产生的

AAAA查询。它首先尝试对所要求的AAAA记录进行解析。若没有目标节点可用的AAAA记录（正常

情况下目标节点是一个纯IPv4节点），DNS64对A记录进行查询。对每一个查询到的A记录，DNS64

将A记录检索到的信息合成为AAAA记录。

合成的AAAA记录的所有者名称与初始A记录所有者名称相同，而包含在初始A记录中的IPv4地

址的IPv6表示存在于AAAA记录中。IPv4地址的IPv6表示从算法角度看，是由IPv4地址以及配置在

DNS64中的附加参数产生的。配置在DNS64中的参数至少有一个IPv6前缀。如果没有明确指出，所有

的前缀都处于同一地位，且本标准所规定的所有操作都是使用现有前缀来进行的。因此，通常情况下将

这前缀称为Pref64::/«，同时规定使用通用前缀的操作行为。IPv4地址的IPv6地址表示存在于由含有

Pref64::/«的DNS64合成的AAAA记录中，其中嵌入了初始IPv4地址。

YD/T2956-2015

相同的算法以及相同的Pref64::/n前缀应同时配置在DNS64设备和IPv6/IPv4转换器中，这样从算

法上他们才能对给定IPv4地址产生相同的IPv6表示。另外，需要将目的地值为包含Pref64::/n前缀的IPv6

目标地址的IPv6数据包，发送到配置了特定Pref64::/n的转换器上，由此IPv6数据包可以被转换为IPv4

数据包。

一旦DNS64合成了AAAA记录，合成的AAAA记录传递回IPv6查询者，_这将会启动与IPv4接收

器关联的IPv6地址的IPv6通信。数据包将会发送到IPv6/IPv4转换器上，进一步转发到IPv4网络。

通常，DNS64和IPv6/IPv4转换器唯一共享状态就是Pref64::/n以及一组可选择的静态参数。设置在

两个设备上的Pref64::/n以及可选择的静态参数应是相同的；DNS64设备与IPv6/IPv4转换器功能之间没

有通信。用于配置DNS64参数的机制超出了本标准的范围。

被用作Pref64::加的前缀以及它们的应用在IETFRFC6052中给出。有两种前缀可用作Pref64::/;i。

Pref64::/«可以是知名前缀64:fl9b::/96,IETFRFC6052中规定将它保留用来代表IPv6地址空间中的

IPv4地址。

Pref64::/»可以是一个网络特定前缀。网络特定前缀是指由一个组织分配的IPv6前缀用以创建IPv4

地址的IPv6表示。

两种前缀主要的本质区别在于网络特定前缀是本地分配前缀，它是在提供转换服务组织的管理下实

现的，而知名前缀是一种具有全球意义的前缀，这是由于它已经被分配了特定目的，用来代表IPv6地址

空间中的IPv4地址。

DNS64功能可在以下三个方案中使用。

第一个方案是在一个区的权威服务器中确定DNS64功能。在这种情况下，权威服务器为该区的纯

IPv4服务器提供合成的AAAA记录。这是DNS64服务器的一种类型。

第二方案是在服务于终端主机的递归服务器中实现DNS64功能。这种情况下，当纯IPv6主机对名

字服务器进行纯IPv4服务器的A