Ipv6 для google: Ready for the future of the Internet?

Содержание

IPv6 становится популярнее: интернету вещей нужны новые адреса

| Поделиться

По прогнозам аналитиков уже в ближайшее время в мире будут работать десятки миллиардов устройств интернета вещей. Старая система адресации, основанная на протоколе IPv4, которая была более-менее способна обеспечить IP-адресами «интернет людей», практически бесполезна в эпоху грядущего «интернета машин». Решить проблему призван новый протокол, IPv6.

4 миллиарда — это совсем немного

Послуживший интернету верой и правдой протокол IPv4, разработанный в 1981 г., имеет 32-битную схему адресации, достаточную для поддержки 4,3 млрд сетевых устройств. Когда-то казалось, что этого количества хватит всем и навсегда, так же, как и пресловутых «640 килобайт памяти».

Однако уже в начале 90-х годов, по мере роста количества сайтов и пользователей интернета, стало ясно, что 4 млрд закончатся уже в обозримом будущем. Тогда же началась разработка нового протокола IPv6. С появлением в 1999 г. концепции интернета вещей эти опасения многократно усилились. И если в 2000 г. предполагалось, что «мощностей» IPv4 хватит на пару десятков лет, то уже в 2005-м высказывалось мнение, что не более, чем на 5.

Второй прогноз оказался ближе к истине: «запасы» больших блоков адресов у региональных регистраторов стали заканчиваться в 2011 г. А в ноябре 2019 г. RIPE NCC, интернет-регистратор, занимающийся выделением интернет-ресурсов и координацией деятельности по поддержке глобального функционирования интернета в Европе и на Ближнем Востоке, объявил о том, что распределил последний блок адресов IPv4 и далее будет работать только с возвращаемыми адресами.

На какое-то время жизнь IPv4 продлила технология трансляции сетевых адресов (Network Address Translation, NAT). Она позволяет преобразовывать частные IP-адреса в общедоступные сетевые и за счет этого «экономить» IPv4-адреса, позволяя использовать один общедоступный IP-адрес множеству компьютеров с частными IP-адресами.

Для этого в корпоративной сети устанавливается маршрутизатор или межсетевой экран, поддерживающий технологию NAT и имеющий общедоступный IP-адрес. На него попадают пакеты, которые отправляются с частных сетевых адресов, за пределы корпоративной сети. Устройство NAT отмечает адрес источника и назначения пакета в таблице трансляции, заменяет его на свой общедоступный IP-адрес и отправляет по назначению. А принимая ответный пакет, NAT преобразует адрес назначения в частный IP-адрес компьютера, который инициировал обмен данными.

Что дает IPv6?

Документы, определяющие новый интернет-протокол организация Internet Engineering Task Force выпустила еще в середине 90-х, а официальный запуск работы протокола IPv6 на постоянной основе состоялся 6 июня 2012 года. Многие компании начали переходить на него и раньше, например Google — с 2008 г.

Номер «6» протокол получил потому, что имя IPv5 зарезервировали за экспериментальным протоколом реального времени, который так и не вышел «в серию». Но и не пропал совсем — многие заложенные в нем концепции можно найти в протоколе MLPS.

Благодаря 128-битной схеме адресации, заложенной в IPv6, количество доступных в нем сетевых адресов составляет 2 в 128 степени. Столь обширное адресное пространство делает ненужным применение NAT (адресов хватит всем) и упрощает маршрутизацию данных. Например, маршрутизаторы больше не должны фрагментировать пакеты, появилась возможность пересылки больших пакетов, размером до 4 Гбайт. Из IP-заголовка исключена контрольная сумма и т. д., поэтому несмотря на больший по сравнению с IPv4 размер адреса IPv6 (16 байтов вместо 4), заголовок пакета удлинился всего лишь вдвое: с 20 до 40 байт.

Внедрение IPv6. Что его сдерживает?

Спустя 8 лет после официального запуска протокол IPv6 постепенно внедряется в сети операторов связи, а также интернет-сервис-провайдеров в разных странах, сосуществуя со своим предшественником — протоколом IPv4.

Тысячи предпринимателей готовы поспособствовать инновационному развитию Москвы

Инновации и стартапы

Активнее всего новой системой адресации пользуются операторы мобильной связи и интернет-провайдеры. Например, по данным отраслевой группы World IPv6 Launch, у T-Mobile USA по протоколу IPv6 проходит почти 95% объема трафика, у Sprint Wireless — 89%. Есть поклонники прогресса и в других странах — индийская Reliance Jio Infocomm (90%), бразильская Claro Brasil (66%). Из российских операторов выше всех в рейтинге, на 83 месте, МТС с 55%.

В страновых рейтингах проникновения IPv6 по оценке Google лидируют Бельгия (52,3%), Германия (50%), Индия (47,8%), Греция (47,6%). У США всего 40,7%, меньше чем, например, у Вьетнама (43,1%). России похвастаться нечем (5,6%). Впрочем, у Китая и вовсе 0,34%.

Динамика доступности IPv6 для пользователей Google

Источник: Google, 2020

Более консервативными оказались крупные веб-сайты.

На сегодняшний день, как сообщает Internet Society, чуть менее 30% веб-сайтов из первой тысячи рейтинга Alexa доступны через IPv6. Еще медленнее на новый протокол переводят свои сайты организации. И пока очень немногие компании используют IPv6 в собственной ИТ-инфраструктуре. Объясняется это довольно просто: перевод корпоративной сети на новый протокол — это сложный, дорогой и долгий процесс. А технология NAT, как уже говорилось, продлила время жизни IPv4.

Когда IPv4 будет «отключен»?

Формально никто отключать IPv4, скорее всего, не будет. При запуске нового протокола в июне 2012 года была выбрана модель Dual Stack, при которой сети IPv4 и IPv6 работают параллельно. В большей части мира новые адреса IPv4 «закончились» в период с 2011 по 2018 годы, однако сегодня уже понятно, что такие сетевые адреса будут продаваться и использоваться повторно еще довольно долго.

Однако, по мере роста числа переходов на новый протокол, можно ожидать, что операторы и интернет-сервис-провайдеры начнут взимать плату с компаний за адреса IPv4 в то время, как предоставление адресов IPv6 станет бесплатным.

Возможно, какие-то услуги станут доступными только в сетях нового поколения. На IPv6 будут работать сети интернета вещей. И, по мере естественного устаревания IPv4-оборудования (а нового будут выпускать мало), мир будет постепенно отходить от IPv4.

Александра Крылова

Четверть пользователей Google перешла на IPv6 — новости на Tproger

13 октября 2018 года количество IPv6-соединений с серверами компании превысило 25 %. Это означает, что переход на новую версию протокола Интернета заметно продвигается.

Мировая карта IPv6

Судя по статистике Google, больше всего пользователей в Германии (39,14 %), Греции (36,53 %) и США (34,23 %). Затем идёт Индия (33,51 %), Уругвай (32,45 %) и Малайзия (28,89 %). При этом Япония находится только на седьмом месте (26,72 %). А вот на территории СНГ новый стандарт почти не используется.

Отчасти это связано с динамикой развития рынка IoT-устройств и самой отрасли по странам.

Именно «Интернет вещей» стал основным драйвером для внедрения IPv6, поскольку в IPv4 уже не хватает адресов, хотя о проблеме дефицита заговорили ещё в несколько лет назад. NAT-сети перестали считаться альтернативой после того, как сервисы Google воспринимали их в качестве ботнета в 2012-2014 годах.

Скорость распространения

Несмотря на всё это, IPv6 прокладывает себе дорогу довольно медленно. Причин тому несколько. Это и нехватка квалифицированных специалистов, и сложность IPv6 адресов в визуальном плане, и старое доброе правило любого сетевого инженера или системного администратора: «Работает? Не трогай!».

Кроме того, архитектура пакетов в рамках протокола IPv6 отличается от IPv4, что затрудняет контроль трафика и его мониторинг. А многих провайдеров, которые предоставляют лимитированный доступ, это не устраивает. При этом IPv6 обеспечивает более высокую скорость, а всё современное оборудование поддерживает протокол. Таким образом, вопрос распространения нового стандарта упирается в инерцию мышления, а не в технические трудности.

Ожидается, что граница 50 % будет пройдена уже в начале нового десятилетия.

Однако вопрос безопасности новых сетей остаётся актуальным. Минувшей весной была зарегистрирована первая «нативная» DDoS-атака с использованием IPv6. Она была направлена на DNS-сеть компании Neustar, которая обрабатывает 10 % мирового трафика.

viaHabr
Source: статистика Google

Принудительное подключение IPV6 к google?



согласно Google over IPv6

чтобы подключиться к google через ipv6, ISP должен иметь какое -то соглашение с Google. мой ISP, однако, не имеет такого соглашения

Было предложено, чтобы я нашел IPV6 IP для google и попытался подключиться к нему напрямую, возможно ли это? и если да, то как найти ipv6 для google?

Для тех, кто думает, что вы можете просто случайно подключиться к google, пожалуйста, посмотрите: Запрос пиринга с помощью google

ipv6
Поделиться Источник Max     16 октября 2011 в 12:39

2 ответа


  • Как подключиться к IPv6 адресам в Kubernetes, работающим на Google Container Engine?

    Предыстория я хотел бы подключить контейнер WordPress docker к экземпляру Google Could SQL. По умолчанию Google Cloud SQL предоставляет только адрес IPv6, и предпочтительно я хотел бы подключить WordPress к этому адресу, но я не могу найти способ сделать это (Подробнее см. Мой другой пост...

  • Доступность и IPv6

    Один из моих проектов использует класс достижимости Apple для того, чтобы следить за состоянием сети и получать уведомления в случае изменений. Прочитав эту статью о поддержке IPv6, я задался вопросом, следует ли сделать это в этом классе, чтобы заставить его работать с IPv6. Я настроил сеть IPv6,...



2

Здесь есть два отдельных вопроса.

(1) Получение IPv6 подключения к интернету. (2) Ваш ISP попадает в белый список Google для получения записей AAAA.

Для пункта (1) Ваш ISP должен либо предоставить вам интернет–соединение с поддержкой IPv6, либо вы должны зарегистрироваться у туннельного брокера, такого как Hurricane Electric или SixXS .

Для пункта (2) это то, что может инициировать только ваш ISP. И это только то, что они могут инициировать, если они уже обеспечивают связь IPv6. Другими словами, (1) является предпосылкой (2). Однако, если вы используете Hurricane Electric или SixXS, вы можете использовать их кэши DNS, которые уже занесены в белый список для получения записей AAAA от Google.

Или, как указывает постер Боррель, вы можете просто посетить http://ipv6.google.com/ , если хотите. Что вы даже можете сделать немного взломать , так это получить адрес IPv6 ipv6.google.com и использовать свой файл /etc/hosts , чтобы указать другие домены Google (например, www.google.com, maps.google.com ) на тот же самый IP. Ваш пробег может варьироваться, но он сработал для меня в последний раз, когда я его пробовал.

Поделиться Jeremy Visser     16 октября 2011 в 13:46



0

вам нужна форма туннельного брокера, например, из he. net, тогда вы можете связаться с google по адресу http:/ / ipv6.google.com [2a00:1450:8005::93]

и кстати, вашему провайдеру не нужен контракт с google, им нужно подключение ipv6, любой провайдер может подключиться к ipv6, но у Мэнни нет инфраструктуры, так что в качестве запасного варианта вы можете использовать ipv6 через туннели ipv4, чтобы вы могли восстановить сеть tghe ipv6

Поделиться borrel     16 октября 2011 в 12:48


Похожие вопросы:


jconsole подключение к ipv6 JMX сервис URL

У меня возникли проблемы с подключением к службе JMX URL, имеющей адрес IPv6 через jconsole. Я пытался service:jmx:rmi:///jndi/rmi://[fd02:c9e3:a6c0:4306:0:0:0:27]:5500/jmx и я получаю Подключение к...


не удается подключиться к IPv4 сопоставленному IPv6 адресу

Я пытаюсь использовать сокет IPv6 для подключения к адресу IPv4, используя адрес IPv4, сопоставленный с адресом IPv6, на linux (debian-lenny-64 2. 6.26-2-amd64) #include <sys/types.h> #include...


Как добавить адрес IPv6 к учетным данным Google API?

У меня есть приложение Ruby в разработке, которое использует Google API (пользовательскую поисковую систему). Он отлично работает с ключом доступа Public API. Я только что обновил свой интернет до...


Как подключиться к IPv6 адресам в Kubernetes, работающим на Google Container Engine?

Предыстория я хотел бы подключить контейнер WordPress docker к экземпляру Google Could SQL. По умолчанию Google Cloud SQL предоставляет только адрес IPv6, и предпочтительно я хотел бы подключить...


Доступность и IPv6

Один из моих проектов использует класс достижимости Apple для того, чтобы следить за состоянием сети и получать уведомления в случае изменений. Прочитав эту статью о поддержке IPv6, я задался...


Подключение к Google Cloud SQL с помощью IPV6

Я безуспешно пытался подключиться к своей базе данных google cloud sql (mysql) с IPV6-адресом, который вам дает Google. mysql -h 0:0:0:0:0:aaaa:aaaa:aaaa -u admin -p Клиент запрашивает пароль, но он...


PHP & PDO: подключение к MySQL с использованием адреса IPv6

Я хочу подключиться к удаленному экземпляру MySQL (Google Cloud SQL), используя его адрес IPv6. Я использую PHP PDO вот так: $db = new...


Подключение к MySQL (в Google Cloud SQL) через JDBC и IPv6?

Я хотел бы подключиться к Google Cloud SQL из внешнего приложения, используя JDBC и адрес экземпляра IPv6, как показано на моей консоли разработчиков Google (здесь запутано): String url =...


Mysql IPv6 подключение

Я хочу настроить mysql 5.7 на машине linux, которая имеет ip-адрес IPV6. Как я могу подключить серверную машину к клиентской машине, имеющей IPV4-адрес. И какие параметры конфигурации мне нужно...


Как настроить Google Load Balancer так, чтобы в моем Kubernetes yaml был интерфейс IPv4 и IPv6?

Я использую GKE 1.10.2-gke.3 и хотел бы знать, как я могу настроить подключение IPv4 и IPv6 с помощью моего Google Load Balancer Ingress yaml. Я могу настроить IPv4 или IPv6, но не оба. Мой файл...

Инструкция по подключению и настройке IPv6 к серверам

Зачем нужен IPv6?

IPv6 – это, простым языком, новая версия интернет-адресов, которые должны постепенно прийти на смену протоколу IPv4. Дело в том, что количество IPv4 адресов ограничено всего несколькими миллиардами - (28)4 ≈ 4.29 x 109 адресов, а из-за масштабного и быстрого развития интернета и вычислительной техники они просто заканчиваются. Эту проблему как раз должно решить использование IPv6 адресов, которые имеют большую длину, а значит и количество возможных адресов в миллиарды раз больше - (216)8 ≈ 3.40 x 1038.

Основные преимущества IPv6 над IPv4:

  • большее количество адресов;
  • end-to-end соединения IPv6 устраняют необходимость использования NAT;
  • более эффективная маршрутизация пакетов в сети;
  • более эффективная обработка пакетов данных;
  • поддержка многоадресной передачи данных.

Подключение IPv6

У пользователей 1cloud появилась возможность заказать IPv6 адреса через панель управления.

Обращаем внимание, в данный момент IPv6 доступен во всех центрах обработки данных, кроме SDN-1.

Чтобы заказать IPv6, нужно зайти на свой сервер, в раздел «Настройки», подраздел «Сети» и включить публичную IPv6 сеть, как показано на картинке ниже.

Настройка IPv6

  1. Подключиться по RDP.
  2. Открыть параметры сервера, раздел Ethernet.

  3. Перейти в «Центр управления сетями и общим доступом».
  4. Найти сеть, которая отмечена как «Неопознанная», открыть её свойства.

  5. Найдите в открывшемся окне IP версии 6 (TCP/IPv6) и нажмите на кнопку Свойства.

  6. Прописать google ipv6 dns, как показано на скриншоте:
    2001:4860:4860::8888
    2001:4860:4860::8844

  7. Выполнить проверку: ping -6 ipv6. google.com

Поделиться в соцсетях:

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

ru

191014 Санкт-Петербург ул. Кирочная, 9

+7(812)313-88-33 235 70 1cloud ltd 2018-12-10 Подключение и настройка IPv6 к серверам

191014 Санкт-Петербург ул. Кирочная, 9

+7(812)313-88-33 235 70 1cloud ltd 2018-12-10 Подключение и настройка IPv6 к серверам 600 auto

Подключение к Интернету по протоколу IPv6 – Keenetic

Для подключения роутера Keenetic к Интернету по протоколу IPv6 особых настроек не требуется. В большинстве случаев достаточно установить специальный компонент системы "Протокол IPv6" и включить IPv6 в настройках внешнего интерфейса, через который будет осуществляться подключение.

NOTE: Важно! Чтобы IPv6-подключение работало через роутер, провайдер должен назначать адрес с сетевым префиксом /48, /56 или /64, для возможности делегации префикса в домашнюю сеть. Иначе IPv6-подключение через роутер работать не будет.
Некоторые провайдеры предоставляют только один IPv6-адрес без делегации префикса. Такие параметры рассчитаны на подключение только одного хоста и работать через роутер не будут.
USB-модемы мобильных операторов не поддерживают делегирование префиксов. IPv6 через 3G/4G-модем будет работать только при подключении напрямую к компьютеру и только с одним хостом.
Информацию, о том как узнать был ли получен префикс, вы найдете в разделе Примечание в конце статьи.

Для настройки IPv6-подключения выполните следующие действия:

1. В веб-конфигураторе интернет-центра установите компонент системы "Протокол IPv6".

Дополнительную информацию по обновлению компонентов интернет-центра Keenetic вы найдете в статье "Установка/удаление компонентов".

2. При простом доступе по IPoE с DHCP-сервером достаточно только включить использование протокола IPv6. Сделать это можно на странице "Проводной". В разделе "Параметры IP и DNS" нажмите "Показать дополнительные настройки IPoE".

В появившихся настройках активируйте опцию "Включить IPv6".

Если у вас используется подключение с аутентификацией (по протоколу PPPoE, PPTP или L2TP), данную опцию не нужно включать. В этом случае потребуется включить "IPv6 CP" именно в настройках туннельного подключения.

3. При использовании подключения с аутентификацией (PPPoE, PPTP или L2TP), перейдите на страницу "Проводной" и в разделе "Аутентификация у провайдера" нажмите "Показать дополнительные настройки".

В появившихся настройках активируйте опцию "Включить IPv6 CP".

4. После выполнения вышеуказанных действий, интернет-центр должен автоматически получить IPv6-адрес и DNS-сервера от провайдера.

С компьютера проверьте, будут ли доступны интернет-ресурсы через протокол IPv6.
Например, в командной строке Windows выполните команду:

ping ipv6.google.com



Примечание

Посмотреть список текущих IPv6-префиксов можно в интерфейсе командой строки (CLI) роутера с помощью команды:

show ipv6 prefixes


Например:

(config)> show ipv6 prefixes

prefix:
prefix: 2a02:2698:24::/64
interface: PPPoE0
valid-lifetime: 86349
preferred-lifetime: 3549


Или в системном файле self-test.txt в подразделе show ipv6 prefixes. Например:

<!-- show ipv6 prefixes -->
<prefix>
<prefix>2a02:2698:24::/64</prefix>
<interface>PPPoE0</interface>
<valid-lifetime>86349</valid-lifetime>
<preferred-lifetime>3549</preferred-lifetime>
</prefix>


В нашем примере префикс /64 был делегирован провайдером. Префикс /64 позволяет использовать адреса IPv6 только в рамках одного сегмента (например, только для сегмента "Домашняя сеть"). Префикс /48 позволяет использовать адреса IPv6 в разных сегментах (например, в "Домашняя сеть" и "Гостевая сеть", и дополнительных сегментах).

Получение адреса IPv6 на WAN-интерфейсе необязательно. Чтобы роутер мог работать с IPv6, провайдер должен предоставлять не IP-адрес, а префикс.

Ниже представлен пример параметров, когда от провайдера был получен только IPv6-адрес без префикса. В этом случае подключение через роутер не будет работать.

<!-- show ipv6 prefixes -->
 
<!-- show ipv6 addresses -->
<address>
<address>2a00:1370:8024::</address>
<link-local>fe80::5a8b:f3ff::</link-local>
<interface>ISP</interface>
<valid-lifetime>infinite</valid-lifetime>
</address>

 

разница, сравнение с IPv4, переход на IPv6

В этом материале расскажем о различиях двух действующих версий интернет-протокола IP — v4 и v6, о преимуществах IPv6, его внедрении и методах миграции с IPv4 на IPv6.

IPv4

Четвёртая версия интернет-протокола IP работает с 1982 года, с момента развертывания в спутниковой сети SATNET, сформировавшей основу для сети Интернет. До сих пор IPv4 — основной протокол в Интернете.

IPv4 обеспечивает возможность адресации примерно 4,3 млрд адресов. Каждое устройство в публичных и частных сетях, использующих протокол TCP / IP, должно иметь IP-адрес для идентификации устройства и определения его местоположения. После быстрого роста интернет-трафика в 1990-х годах стало очевидно, что для подключения всех пользователей потребуется гораздо больше адресов, чем было доступно в адресном запасе IPv4.

Он работает на сетевом уровене моделей OSI. Будучи протоколом, не требующим установления соединения, он отправляет пакеты к месту назначения по различным маршрутам.

Четвертая версия протокола поддерживает 32-битные адреса. Такой адрес состоит из 4 частей, каждая из которых разделена точкой. Например: 100.101.102.103. Диапазон каждой части — 0-255. 28 (около 79 228 162 514 264 337 593 543 950 336 октиллионов). Это означает, что протокол обеспечит возможность использования более 300 млн IP-адресов на каждого жителя Земли.

В отличие от IPv4, типичный адрес IPv6 состоит из 128 бит. Он состоит из восьми групп, каждая из которых включает четыре шестнадцатеричных цифр, разделенных «:». Вот пример: 3005: 0db6: 82a5: 0000: 0000: 7a1e: 1460: 5334.

В 2012 году доля IPv6 в интернет-трафике составляла около 5 %. На 2020 год, согласно данным Google, эта доля составляет около 30 %.

Разница между двумя версиями

Основное внешнее отличие четвертой и шестой версии протокола — структура IP-адреса. IPv4 использует четыре однобайтовых десятичных числа, разделенных точкой (172.268.0.1). IPv6 — шестнадцатеричные числа, разделенные двоеточиями (fe70 :: d5a9: 4521: d1d7: d8f4b11). Что еще:

  • В IPv4 применяются числовые методы адресации, а в и IPv6 — буквенно-числовые.
  • Длина адреса IPv4 составляет 32 бита, у IPv6 — 128 бит.
  • IPv4 и IPv6 предлагают поля с 12 и 8 заголовками соответственно.
  • Широковещательные каналы поддерживаются только в IPv4. IPv6 поддерживает многоадресные группы.
  • Поле контрольной суммы присутствует в IPv4, но не в IPv6.
  • Концепция сетевых масок переменной длины применима только к IPv4.
  • Для определения MAC-адресов четвертая версия использует ARP, а IPv6 использует NDP.
  • IPv4 поддерживает ручную настройку и настройку адреса DHCP, в IPv6 поддерживается автоматическая настройка адреса и настройка адреса с перенумерацией.
  • IPv4 может генерировать до 4,29 млрд адресного массива, тогда как IPv6 — до 79 228 162 514 264 337 593 543 950 336 октиллионов.
  • В IPv4 используются уникальные публичные и «частные» адреса для трафика, в IPv6 — глобально уникальные юникаст-адреса и локальные адреса (FD00::/8).

Улучшения в IPv6

  • IPv6 обеспечивает более эффективную маршрутизацию, поскольку значительно уменьшает размер таблицы маршрутизации.
  • У нового протокола формат заголовка проще, чем у IPv4.
  • Обработка пакетов более эффективна, поскольку заголовки пакетов оптимизированы.
  • В протокол встроена технология Quality of Service (QoS), которая определяет чувствительные к задержке пакеты.
  • Более упрощенные задачи маршрутизаторов по сравнению с IPv4.
  • IPv6 обеспечивает большую полезную нагрузку, чем IPv4.
  • В IPv6 встроены аутентификация и частная поддержка по сравнению с IPv4.

Зачем переходить на IPv6

В интернете заканчиваются адреса IPv4. Это было неизбежно, учитывая, насколько широко распространились сети и сетевые устройства. Даже в локальной сети пользователям приходится использовать подсети просто потому, что устройства, например, в корпоративной сети, могли занять все адреса 192.68.1.#. Для этого был разработан IPv6, который предлагает больший пул адресов для использования.

Однако появляется другая проблема: перейти на IPv6 и оптимизировать работу с новым протоколом не так просто. У пользователя могут быть сотни устройств и множество локаций. Вдобавок всегда есть DNS, который необходимо обновить (что может быть равносильно простою). В конце концов, 192.168.1.1 запомнить намного проще, чем 0: 0: 0: 0: 0: ffff: c0a8: 101.

На обновление всех серверов и устройств, которые до этого работали только с IPv4, может уйти много денег и времени. Этого можно избежать, с помощью некоторых инструментов.

Как организовать плавную миграцию

IPv6 не имеет обратной совместимости с IPv4. Из-за этого многие администраторы избегают нового протокола. Что делать?

Во-первых, нужно переместить устройства в гибридную среду, в которой сосуществуют IPv4 и IPv6. Для многих переход на IPv6 начался много лет назад. Большинство аналитиков предсказывали, что на это уйдут годы, но гибридные модели дают даже больше времени, поскольку пользователи будут запускать свои сети с использованием обоих типов адресов.

Поскольку структуры адресов сильно отличаются друг от друга, а IPv6 использует другую архитектуру пакетов данных, устройства IPv4 и устройства IPv6 не могут взаимодействовать без использования шлюза.

Наиболее популярные гибридные стратегии совместного использования включают туннелирование, при котором трафик IPv6 инкапсулируется в заголовок IPv4. Хотя это приводит к дополнительным накладным расходам, двойному стеку, который осложняет работу сети и требует дополнительных ресурсов..

Предположим, у компании есть настольные компьютеры, которые используют IPv6, но серверы используют IPv4. Между ПК и серверами будет шлюз, который сделает возможным преобразование IPv6-адресов в IPv4-адреса.

Многие производители маршрутизаторов и коммутаторов разрабатывают устройства , которые помогают с переходом на IPv6. Поэтому когда больше не нужно подключаться к службам, которые все еще используют IPv4, можно перейти от гибридной среды к сети, полностью оборудованной для IPv6.

В комфортном переходе на IPv6 может помочь механизм NAT (Network Address Translation — трансляция сетевых адресов и портов), который применяется в IP-протоколах и позволяет заменять локальный (серый) IP-адрес на публичный (белый). Исчерпание IPv4 увеличивает затраты поставщика услуг, тогда как инвестиции в NAT снизят затраты.

Например, технология Carrier-grade NAT позволяет нескольким абонентам совместно использовать один публичный IPv4-адрес, что продлевает использование ограниченного адресного пространства IPv4 и делает миграцию с IPv6-адресацией проще.

Мы рекомендуем инструмент CG-NAT в рамках стратегии плавной миграции на IPv6 и поддержки DualStack IPv4/IPv6, которая обеспечивает одновременную работу NAT v4 и v6. Сохранение IPv4 с помощью технологий миграции CG-NAT и IPv6, доступных в виде аппаратных или виртуальных решений, позволит удовлетворить растущие потребности абонентов и обеспечит расширение сети для возможности новых подключений.

IPv6 на коммутаторах доступа SNR

Введение

Сегодня мы решили затронуть тему настройки IPv6 на коммутаторах доступа SNR. Не станем писать банальностей, вроде "IPv4-адреса заканчиваются", но вспомним Республику Беларусь, где уже около года действует закон об обязательном предоставлении абонентам IPv6-адресов. Обратимся к статистике Google, которая фиксирует рост доли IPv6 в мировом сетевом трафике с 5,5% в январе 2015 до 32% в октябре 2020. Согласитесь, не взрывной, но уверенный рост. Предоставление IPv6-адресов также может стать конкурентным преимуществом для операторов связи, это можно использовать в целях маркетинга.

 
Статистика Google по использованию IPv6 в мировом сетевом трафике

Краткий обзор IPv6

Протокол сетевого уровня IPv6 (RFC 8200) решает не только проблему нехватки классических IP-адресов. Многие механизмы в нем пересмотрены, что-то оптимизировали, от чего-то отказались. Увеличение длины IP-адреса с 32 до 128 бит - пожалуй, наименьшее из изменений.

Ключевые отличия от IPv4

  • Полностью переработан заголовок IP-пакета.
  • Полный отказ от бродкаста в пользу мультикаста.
  • Отказ от классов сетей.
  • На смену протоколу ARP пришел Neighbor Discovery Protocol (NDP).
  • Добавлен механизм SLAAC, позволяющий получить уникальный, глобально маршрутизируемый IPv6-адрес без использования какого-либо DHCP-сервера.
  • Добавлен механизм Prefix Delegation, позволяющий CPE анонсировать префикс оператора связи, а IPv6-хосту генерировать себе на его основе адрес.
  • В силу количества IPv6-адресов NAT становится не нужен.
  • Введены новые типы сетевых адресов.
  • Вместо маски подсети используется только длина префикса.


Заголовок IPv6

Сравним заголовки IPv4 и IPv6-пакетов, используя картинки прямо из RFC:


Заголовок пакета IPv4


Заголовок пакета IPv6

 

Можно заметить, что в новой версии протокола заголовок заметно упростился за счет использования меньшего количества полей. Разработчики посчитали, что на современном оборудовании часть из них просто не нужна. Например, нет смысла считать контрольную сумму, если это уже сделано на канальном уровне и будет сделано на транспортном. Т.к. IPv6-заголовок имеет фиксированную длину 40 байт, то и в поле IHL (Internet Header Length) больше нет смысла и т. д. Добавлено совершенно новое поле ‘IPv6 Flow Label’, служащее для упрощения маршрутизации пакетов одного потока (RFC 6437).

Neighbor Discovery Protocol вместо ARP

В IPv6 произошел полный отказ от протокола ARP, его функции взял на себя NDP. Он, в свою очередь, является частью протокола ICMPv6. Для определения MAC-адреса хоста протокол ARP использует ARP-Request и ARP-Reply сообщения, рассылаемые бродкастом. Подобным образом действует NDP через Neighbor Solicitation (NS) и Neighbor Advertisement сообщения, но делает это мультикастом. Давайте рассмотрим этот процесс подробнее в анализаторе трафика Wireshark:


ПК1 посылает в сеть мультикастовое NS-сообщение с вопросом "какой MAC-адрес у хоста 2001:db8:100::130"? ПК2 получает его, понимает, что сообщение предназначено для него. Далее формирует NA-сообщение с ответом и отвечает юникастом на IPv6-адрес отправителя. Но как этот процесс достигается, если не использовать широковещательный запрос? Существует зарезервированный IPv6 мультикастовый адрес ff02::1, который "слушают" все IPv6-хосты, но чем тогда это будет отличаться от broadcast? Ничем. Для NS-сообщений, в качестве адреса назначения, используется специальный мультикастовый адрес, который рассчитывается на основе искомого IPv6-адреса. Такой адрес начинается с ff02::1:ff00:0/104, последние 24 бита формируются из последних 24 битов искомого адреса. Например, если мы в NS-сообщении спрашиваем "кто имеет IPv6-адрес 2001:db8:100::130?", то в качестве адреса назначения будет использоваться ff02::1:ff00:130, это называется solicited-node multicast address. В свою очередь хост с адресом 2001:db8:100::130 "слушает" мультикаст-группу ff02::1:ff00:130. Такой метод допускает теоретическую ситуацию, когда несколько хостов будут "слушать" одинаковую группу и получать NS-сообщения им не предназначенные. Но это все равно намного более оптимальный алгоритм, чем broadcast. Сам же этот solicited-node multicast address на канальном уровне привязывается к мультикастовому MAC-адресу 33:33:ff:00:01:30, где ff:00:01:30 - последние 32 бита solicited-node адреса.


Типы IPv6 адресов

Если в IPv4 было, условно говоря, два типа юникастовых IP-адресов - внешние и внутренние, то в IPv6 их три:

  • Global Unicast Address - аналог внешнего IPv4-адреса;
  • Link-Local Unicast Address - совершенно новый тип служебных IP-адресов, служащих для взаимодействия протоколов;
  • Unique Local Addresses - аналог внутреннего IPv4-адреса.  


Рассмотрим подробнее Link-Local Unicast Address. Такие адреса всегда начинаются на fe80, остальная часть генерируется автоматически, обычно на основе MAC-адреса. Должны быть уникальными только в пределах одной канальной среды, т.к. не маршрутизируются. Любой IPv6-хост в сети обязан иметь Link-Local Unicast адрес. Используется для обмена некоторыми типами сообщений в таких протоколах, как ICMPv6, DHCPv6, OSPFv3 и т.д. Является next-hop адресом для протоколов динамической маршрутизации и используется для указания шлюза по умолчанию для хостов.

Методы динамической конфигурации IPv6-адреса

Протокол DHCP также подвергся серьезной переработке в его IPv6-версии. Теперь есть три способа автоматически получить сетевой адрес:

  • Stateless Address Autoconfiguration (SLAAC).
  • Stateless DHCPv6.
  • Stateful DHCPv6.


Если раньше этот процесс всегда происходил только между клиентом и сервером, то теперь появляется третий необходимый участник - маршрутизатор. Он периодически рассылает по сети ICMPv6-RA (Router Advertisement)-сообщения или отвечает ими на ICMPv6-RS (Router Solicitation)-сообщения. Главными для нас являются значения полей A Flag, O Flag и M Flag, которые могут быть 0 или 1. Именно на этой основе хост-клиент принимает решение, какой тип динамического IPv6-адреса ему использовать. 

SLAAC. Получая RA-сообщение с активным A-флагом, клиент сам формирует себе IPv6-адрес. Первые 64 бита берутся из поля "Prefix information" остальные формируются либо методом EUI-64, либо случайным образом. Заметьте, что DHCPv6-сервер тут вообще не используется.

Stateless DHCPv6. Минус метода SLAAC в том, что мы имеем только свой IPv6-адрес и адрес шлюза по умолчанию. Но если мы хотим автоматически получать и информацию о DNS серверах и другую информацию? Тогда в RA-сообщениях, помимо A-флага, также будет активным O-флаг. Получая такое сообщение хост также будет формировать свой IPv6-адрес сам, но еще обратится по специальному мультикастовому адресу ff02:1:2 к ближайшему DHCPv6-серверу за дополнительными реквизитами.

Stateful DHCPv6. Это, по-сути, классический метод получения IPv6-адреса динамическим способом, к которому мы привыкли в IPv4. Сервер выделяет адреса из пулов, может ориентироваться при этом на опции 18 (interface-id), 37 (remote-id) и 38 (subscriber-id). Чтобы использовать Stateful DHCPv6, мы должны анонсировать в RA-сообщениях только M-флаг. 

Prefix Delegation. При данном методе мы имеем дело с двумя маршрутизаторами. Абонентский (CPE) является запрашивающим и отправляет DHCPv6 Solicit-сообщение делегирующему. Последний отправляет ответ в виде делегированного префикса. Обычно его длина /56, это является рекомендацией RFC 6177. CPE сам добавляет к префиксу недостающие 8 бит и в Advertise-сообщении анонсирует стандартный /64 префикс. Рассмотрим этот процесс в Wireshark. Запрашивающий маршрутизатор отправляет делегирующему DHCPv6 Solicit-сообщение с опцией 25, которая сигнализирует о желании использовать Prefix Delegation. Сервер отвечает Advertise-сообщением с опцией 26, где содержится делегируемый префикс с его длиной. При этом CPE, в зависимости от настроек, анонсирует либо A, либо A+O флаги. Следовательно, клиент генерирует себе IPv6-адрес сам, на основе префикса.

Основные настройки IPv6 на коммутаторах SNR

Разобравшись с теорией, можно переходить к практике. Рассмотрим базовые настройки IPv6 на коммутаторах доступа SNR. 

Хочется отметить, что все управляемые коммутаторы SNR, от FastEthernet моделей, таких как SNR-S2985G-24TC, до гигабитных коммутаторов с 10Г аплинками ( SNR-S2989G-24TX), поддерживают одинаковый функционал и имеют одинаковые настройки в части IPv6.

Назначить IPv6-адрес управления

Назначить адрес L3-интерфейсу можно несколькими методами. Полностью указать его с длиной префикса, использовать метод EUI-64 или использовать DHCPv6-клиент. Последний способ требует предварительно внесения в конфигурацию строки ‘service dhcpv6’. Рассмотрим все три способа на трех VLAN-интерфейсах:

Switch(config)#service dhcpv6
Switch(config)#int vlan1
Switch(config-if-vlan1)#ipv6 address 2001:db8:100:1::1/64
Switch(config-if-vlan1)#int vlan2
Switch(config-if-vlan2)#ipv6 address 2001:db8:100:2::/64 eui-64
Switch(config-if-vlan1)#int vlan3
Switch(config-if-vlan2)#ipv6 dhcp-client enable

Проверим результат:

Switch#sh ipv6 interface brief
Vlan1                                            [up]
       2001:db8:100:1::1/64
       fe80::faf0:82ff:fe78:5ba/64
Vlan2                                           [up]
       2001:db8:100:2:faf0:82ff:fe78:5ba/64
       fe80::faf0:82ff:fe78:5ba/64
Vlan3                                           [up]
       2001:db8:100:3::100/64
       fe80::faf0:82ff:fe78:5ba/64
Loopback                                    [up]
       ::1/128

Задать статическую IPv6 neighbor-запись

Полностью аналогично статической ARP-записи и производится из-под VLAN-интерфейса.

Switch(config)#int vlan1
Switch(config-if-vlan1)#ipv6 neighbor 2001:db8:100:1::10 f0-de-f1-19-d5-eb interface e1/0/2

Проверим результат:

Switch#sh ipv6 neighbors
IPv6 neighbour unicast items: 4, valid: 3, matched: 3, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/8       reachable       1168
2001:db8:100:1::10                      f0-de-f1-19-d5-eb     Vlan1         Ethernet1/0/2       permanent   
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/8       reachable       1192

Настроить DHCPv6 Relay

Switch(config)#service dhcpv6
Switch(config)#int vlan10
Switch(config-if-vlan10)#ipv6 dhcp relay destination 2001:db8:100:1::1

Security RA и его использование

Если RA-сообщения будет посылать IPv6-хост злоумышленника, то может выйти так, что клиентский ПК будет использовать его link-local адрес, как шлюз по умолчанию. Также злоумышленник может анонсировать неверный IPv6-префикс и его длину. Защититься от этого поможет функционал Security RA. Включим настройку глобально и запретим на абонентских портах RA-сообщения:

Switch(config)#ipv6 security-ra enable
Switch(config)#int e1/0/1-24
Switch(config-if-port-range)#ipv6 security-ra enable

Такие сообщения теперь могут приходить только с аплинков e1/0/25-28. Проверим конфигурацию Security RA:

Switch#sh ipv6 security-ra                 
IPv6 security RA information:
Global IPv6 Security RA State: enabled
Ethernet1/0/1
IPv6 Security RA State: Yes
Ethernet1/0/2
IPv6 Security RA State: Yes
...

Важно отметить, что механизмы защиты Security RA и SAVI являются взаимоисключающими.

SAVI и DHCPv6 Snooping

SAVI (Source Address Validation Improvement) включает в себя ND Snooping, DHCPv6 Snooping и RA Snooping. Он позволяет защищаться от нелегитимных DHCPv6-серверов и источников RA-сообщений с помощью знакомых нам доверенных портов. Выдаваемые IPv6-адреса и префиксы, привязываются к MAC-адресам и портам в биндинг-таблице. Мы также можем ограничить максимальное количество адресов на порт. Присутствует возможность создавать статические SAVI-записи, с указанием IP-адреса, MAC-адреса и номера интерфейса. 

Прежде, чем использовать IPv6-адрес, устройство должно задействовать механизм Duplicate Address Detection (DAD). На специальный мультикастовый адрес посылается ICMPv6-NS сообщение с проверкой, не занят ли кем-то еще в сети этот адрес. Если никто не ответил положительно, то адрес свободен. Настройка savi ipv6 имеет три опции и работает с DAD-NS и DHCPv6-сообщениями. ‘DHCP-ONLY’ отслеживает DHCPv6-пакеты, а DAD NS-пакеты только с link-local адресом. ‘SLAAC-ONLY’ отслеживает DAD NS-пакеты со всеми типами адресов. DHCP-SLAAC отслеживает все DHCPv6 и DAD NS-пакеты.

Настройка savi check binding имеет два режима. Simple mode удаляет записи из таблицы, когда порт находится в состоянии DOWN, а время аренды IPv6-адреса истекло. Probe mode дополнительно посылает NS-пакет перед этим для дополнительной проверки состояния клиента. Если NA-пакет не получен в ответ, запись удаляется.

Включим SAVI, аналог IPv6 source guard, на порту e1/0/3 и ограничим максимальное количество привязанных IPv6-адресов на нем 10 штуками. Заносить в биндинг таблицу будем как адреса сформированные dhcp-методом, так и slaac. Порт e1/0/25 назначим доверенным для DHCPv6 и RA-сообщений. 

Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-slaac enable
Switch(config)#savi check binding probe mode
Switch(config)#ipv6 dhcp snooping vlan 10

Switch(config)#int e1/0/3    
Switch(config-if-ethernet1/0/3)#switchport access vlan 10
Switch(config-if-ethernet1/0/3)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/0/3)#savi ipv6 binding num 10

Switch(config)#int e1/0/25
Switch(config-if-ethernet1/0/25)#switchport mode trunk
Switch(config-if-ethernet1/0/25)#ipv6 nd snooping trust
Switch(config-if-ethernet1/0/25)#ipv6 dhcp snooping trust

Проверим результат:

Switch#sh savi ipv6 check source binding

Static binding count: 0
Dynamic binding count: 4
Binding count: 4

MAC                    IP                                           VLAN Port             Type    State         Expires   
--------------------------------------------------------------------------------------------------------------------------------------------------
6c-3b-6b-da-5a-d8  fe80::6e3b:6bff:feda:5ad8                100  Ethernet1/0/1    slaac   BOUND     14383    
6c-3b-6b-da-5a-d8  2001:db8:90::/56                             100  Ethernet1/0/1    dhcp    BOUND     106      
b8-27-eb-ea-05-e1  fe80::ba27:ebff:feea:5e1                 250  Ethernet1/0/2    slaac   BOUND     14380     
b8-27-eb-ea-05-e1  2001:db8:250:1::130                          250  Ethernet1/0/2    dhcp    BOUND     115       
--------------------------------------------------------------------------------------------------------------------------------------------------

CPS (Control Packet Snooping)

CPS работает совместно с SAVI и анализирует IPv6-пакеты на предмет префикса. Если он не соответствует тому, что задан в CPS, выдаваемый DHCPv6-сервером адрес не попадет в SAVI биндинг-таблицу. Рассмотрим порядок его настройки. Пропишем разрешенный префикс для global-unicast адреса, а затем префикс fe80::/64 под который будут подпадать все link-local адреса:

Switch(config)#ipv6 cps prefix 2001:db8:100:1::/64 vlan 100
Switch(config)#ipv6 cps prefix fe80::/64 vlan 100
Switch(config)#ipv6 cps prefix check enable

Теперь если DHCPv6-сервер во VLAN 100 отдаст на DHCP-SOLICIT-запрос адрес с отличным от 2001:db8:100:1::/64 префиксом, такой адрес не попадет в SAVI биндинг-таблицу.

ND Security

ND Security позволяет влиять на автоматическое изучение neighbor-записей и контролировать их, является полным аналогом ARP Security. Три рассматриваемые далее команды можно применять как глобально, так и из-под VLAN-интерфейса. Тогда они будут применяться только в этом VLAN. Рассмотрим пример использования ND Security. На данный момент имеем в neighbor-таблице две записи, связанные с тестовым ПК1. 

Switch#sh ipv6 neighbors
IPv6 neighbour unicast items: 3, valid: 2, matched: 2, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       reachable      1136
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       reachable       1150

IPv6 neighbour table: 2 entries

Теперь рассмотрим команду ‘ipv6 nd-security updateprotect’. Как понятно из названия, она блокирует обновление MAC-адресов в neighbor-записях. Если после ее применения изменить MAC-адрес на тестовом ПК, то его запись в neighbor-таблице не обновится.

На данный момент обе записи в таблице динамические. Сконвертируем их в статические командой ‘ipv6 nd-security convert’. Записи стали статическими и попали в конфигурацию:

Switch(config)#ipv6 nd-security convert
Switch(config)#sh ipv6 neighbors       
IPv6 neighbour unicast items: 3, valid: 2, matched: 2, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       permanent   
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       permanent   

IPv6 neighbour table: 2 entries

Switch(config)#sh run int vlan1       
!
interface Vlan1
 ipv6 address 2001:db8:100:1::1/64
 ipv6 neighbor fe80::f2de:f1ff:fe19:d5eb f0-de-f1-19-d5-eb interface Ethernet1/0/2
 ipv6 neighbor 2001:db8:100:1::4 f0-de-f1-19-d5-eb interface Ethernet1/0/2
!

Наконец, запретим автоматическое изучение новых neighbor-записей командой ipv6 nd-security learnprotect‘. ’

Заключение

Подводя итог, можно сказать, что мы поговорили про основные особенности IPv6, принцип работы и посмотрели на самые яркие отличия от IPv4. Рассмотрели типы адресов и все способы их выдачи. На этом мы, надеюсь, не заканчиваем знакомиться с протоколом IP шестой версии. Если статья вызовет достаточный интерес, то можно ждать продолжения - рассказ про работу с опциями 18 (interface-id), 37 (remote-id) и 38 (subscriber-id). А также детальное рассмотрение DHCPv6-снупинга и релея на коммутаторах доступа SNR.
По всем вопросам вы можете обратиться к вашему менеджеру. Напоминаем, что у нас есть Telegram-канал, а также подробная база знаний. 

Начать | Публичный DNS | Разработчики Google

Настройте параметры сети для использования Google Public DNS

При использовании Google Public DNS вы меняете своего оператора "коммутатора" DNS. от вашего интернет-провайдера в Google Public DNS.

В большинстве случаев протокол динамической конфигурации хоста (DHCP) автоматически настраивает вашу систему на использование IP-адресов доменного имени вашего интернет-провайдера серверы. Чтобы использовать Google Public DNS, вам необходимо явно изменить DNS настройки в вашей операционной системе или устройстве для использования IP-адреса Google Public DNS адреса.Процедура изменения настроек DNS зависит от операционная система и версия (Windows, Mac, Linux или Chrome OS) или устройство (компьютер, телефон или роутер). Здесь мы приводим общие процедуры, которые могут не подать заявку на вашу ОС или устройство; обратитесь к документации вашего поставщика для получения достоверных Информация.

В зависимости от вашей системы у вас также может быть возможность включить новый функция, ориентированная на конфиденциальность, называемая DNS-over-TLS. Эта функция обеспечивает конфиденциальность и безопасность сообщений DNS, отправляемых между вашим устройством и DNS Google серверы.Подробная информация о настройке этой дополнительной функции находится в отдельных разделах. для каждой системы.

Осторожно: Мы рекомендуем только пользователям, разбирающимся в настройке эти изменения вносятся в настройки операционной системы.

Важно: перед запуском

Перед тем, как изменить настройки DNS для использования Google Public DNS, обязательно напишите вниз текущие адреса серверов или настройки на листе бумаги. Это очень важно, чтобы вы сохранили эти номера для резервного копирования, на случай, если вам понадобится вернуться к ним в любое время.

Мы также рекомендуем вам распечатать эту страницу в том случае, если вы столкнетесь с проблема и необходимо обратиться к этим инструкциям.

Google Public DNS IP-адреса

IP-адреса общедоступного DNS Google (IPv4) следующие:

IPv6-адреса Google Public DNS следующие:

  • 2001: 4860: 4860 :: 8888
  • 2001: 4860: 4860 :: 8844

Вы можете использовать любой адрес в качестве основного или вторичного DNS-сервера.

Важно: Для наиболее надежной службы DNS настройте как минимум два DNS адреса.Не указывайте один и тот же адрес в качестве основного и дополнительного.

Вы можете настроить общедоступные DNS-адреса Google для IPv4 или IPv6. соединения или и то, и другое. Для сетей только IPv6 со шлюзом NAT64 с использованием 64: ff9b :: / 96 префикс, вы можете использовать Google Public DNS64 вместо Google Общедоступные адреса DNS IPv6, обеспечивающие подключение к службам только IPv4 без любая другая конфигурация.

Измените настройки DNS-серверов

Поскольку инструкции различаются для разных версий / выпусков каждого операционной системы, мы приводим только одну версию в качестве примера.Если вам нужны конкретные инструкции для вашей операционной системы / версии, обратитесь к поставщику документация. Вы также можете найти ответы на странице нашей группы пользователей.

Многие системы позволяют указать несколько DNS-серверов, с которыми нужно связываться в приоритетный порядок. В следующих инструкциях мы предлагаем шаги, чтобы указать только общедоступные DNS-серверы Google в качестве основного и дополнительного серверов, чтобы что ваша установка правильно использует Google Public DNS во всех случаях.

Примечание: В зависимости от настроек вашей сети вам может потребоваться администратор / root права на изменение этих настроек.

Окна

Параметры

DNS задаются в окне TCP / IP Properties для выбранных подключение к сети.

Пример: изменение настроек DNS-сервера в Windows 10

  1. Перейти к панели управления .
  2. Щелкните Сеть и Интернет > Центр управления сетями и общим доступом > Изменить Настройки адаптера .
  3. Выберите соединение, для которого вы хотите настроить Google Public DNS.Для пример:

    • Чтобы изменить настройки подключения Ethernet, щелкните правой кнопкой мыши Интерфейс Ethernet и выберите Свойства .
    • Чтобы изменить настройки беспроводного подключения, щелкните правой кнопкой мыши значок Wi-Fi. интерфейс и выберите Свойства .

    Если вам будет предложено ввести пароль администратора или подтверждение, введите пароль или предоставить подтверждение.

  4. Выберите вкладку Сеть . Под Это соединение использует следующие элементы , выберите Интернет-протокол версии 4 (TCP / IPv4) или Интернет Протокол версии 6 (TCP / IPv6) , а затем щелкните Свойства .

  5. Щелкните Advanced и выберите вкладку DNS . Если есть DNS сервер Перечисленные здесь IP-адреса, запишите их для использования в будущем и удалите их из этого окна.

  6. Щелкните ОК .

  7. Выберите Используйте следующие адреса DNS-серверов . Если есть IP адреса, перечисленные в предпочтительном DNS-сервере или Альтернативный DNS server , запишите их для использования в будущем.

  8. Замените эти адреса IP-адресами DNS-серверов Google:

    • Для IPv4: 8.8.8.8 и / или 8.8.4.4.
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  9. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.

  10. Повторите процедуру для дополнительных сетевых подключений, которые вы хотите изменить.

Примечание: В базовой ОС отсутствует поддержка DNS-over-TLS. Чтобы использовать DNS-over-TLS требует настройки прокси-преобразователя, поддерживающего DNS-over-TLS. Из-за сложность настройки мы здесь не описываем.

macOS

Настройки

DNS задаются в окне Сеть .

Пример: изменение настроек DNS-сервера в macOS 10.15

  1. Щелкните Меню Apple > Системные настройки > Сеть .
  2. Если значок замка в нижнем левом углу окна заблокирован, щелкните значок, чтобы внести изменения, и при появлении запроса на аутентификацию введите твой пароль.
  3. Выберите соединение, для которого вы хотите настроить Google Public DNS. Для пример:
    • Чтобы изменить настройки подключения Wi-Fi, выберите Wi-Fi и щелкните Advanced .
    • Чтобы изменить настройки подключения Ethernet, выберите Встроенный. Ethernet и щелкните Advanced .
  4. Выберите вкладку DNS .
  5. Нажмите + , чтобы заменить все перечисленные адреса или добавить IP-адрес Google. адреса вверху списка:
    • Для IPv4: 8.8.8.8 и / или 8.8.4.4.
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  6. Щелкните ОК > Применить .
  7. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.
  8. Повторите процедуру для дополнительных сетевых подключений, которые вы хотите изменить.
Примечание: В базовой ОС отсутствует поддержка DNS-over-TLS. Чтобы использовать DNS-over-TLS требует настройки прокси-преобразователя, поддерживающего DNS-over-TLS. Из-за сложность настройки, здесь мы ее не описываем.

Linux

В большинстве современных дистрибутивов Linux настройки DNS настраиваются через сеть. Менеджер.

Пример: изменение настроек DNS-сервера в Ubuntu

  1. Щелкните Система > Настройки > Сетевые подключения .
  2. Выберите соединение, для которого вы хотите настроить Google Public DNS. Для пример:
    • Чтобы изменить настройки подключения Ethernet, выберите Wired вкладку, затем выберите свой сетевой интерфейс в списке. Это обычно называется eth0 .
    • Чтобы изменить настройки беспроводного подключения, выберите Беспроводная связь , затем выберите соответствующую беспроводную сеть.
  3. Щелкните Изменить и в появившемся окне выберите Параметры IPv4 или Настройки IPv6 вкладка .
  4. Если выбран метод Автоматически (DHCP) , откройте раскрывающийся список и выберите Автоматически (DHCP) адресует только . Если для метода задано значение что-то еще, не меняйте.
  5. В поле DNS-серверов введите IP-адреса Google Public DNS, через запятую:
    • Для IPv4: 8.8.8.8 и / или 8.8.4.4.
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  6. Щелкните Применить , чтобы сохранить изменения. Если вам будет предложено ввести пароль или подтверждения, введите пароль или предоставьте подтверждение.
  7. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.
  8. Повторите процедуру для дополнительных сетевых подключений, которые вы хотите изменить.

Если ваш дистрибутив не использует Network Manager, ваши настройки DNS указано в /etc/resolv.conf .

Пример: изменение настроек DNS-сервера на сервере Debian

  1. Изменить /etc/resolv.conf :

      Судо vi /etc/resolv.conf
      
  2. Если появятся строки nameserver , запишите IP-адреса на будущее Справка.

  3. Замените строки сервера имен или добавьте следующие строки:

    Для IPv4:

      сервер имен 8.8.8.8
    сервер имен 8.8.4.4
      

    Для IPv6:

      сервер имен 2001: 4860: 4860 :: 8888
    сервер имен 2001: 4860: 4860 :: 8844
      

    Только для IPv6 можно использовать Google Public DNS64 вместо , как указано выше. Адреса IPv6.

  4. Сохранить и выйти.

  5. Перезапустите все используемые Интернет-клиенты.

  6. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.

Кроме того, если вы используете программное обеспечение DHCP-клиента, которое перезаписывает настройки в / etc / resolv.conf , вам необходимо настроить DHCP-клиент, отредактировав файл конфигурации клиента.

Пример: настройка программного обеспечения DHCP-клиента на сервере Debian

  1. Резервное копирование /etc/resolv.conf :

      sudo cp /etc/resolv.conf /etc/resolv.conf.auto
      
  2. Изменить /etc/dhcp/dhclient.conf (или /etc/dhcp3/dhclient.conf ):

      Судо vi /etc/dhcp*/dhclient.conf
      
  3. Если есть строка после запроса только с серверами доменных имен, удалите эту строку.

  4. Если есть строка, содержащая серверов доменных имен с IP-адресами, напишите вниз по IP-адресам для дальнейшего использования.

  5. Заменить эту строку или добавить следующую строку:

    Для IPv4:

      добавить серверы доменных имен 8.8.8.8, 8.8.4.4;
      

    Для IPv6:

      добавить серверы доменных имен 2001: 4860: 4860 :: 8888, 2001: 4860: 4860 :: 8844;
      

    Только для IPv6 можно использовать Google Public DNS64 вместо , как указано выше. Адреса IPv6.

    Примечание: ISC DHCP v4.3.6 или выше требуется для серверов доменных имен IPv6 для обрабатываться; более ранние версии игнорировали такую ​​конфигурацию.
  6. Сохранить и выйти.

  7. Перезапустите все используемые Интернет-клиенты.

  8. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.

Chrome OS

Настройки

DNS указаны в разделе Сеть меню Настройки для выбранного сетевого подключения.

Пример: изменение настроек DNS-сервера в Chrome OS 71

  1. Откройте меню Настройки .
  2. В разделе Сеть выберите соединение, для которого вы хотите настроить Google Public DNS. Например:
    • Чтобы изменить настройки подключения Ethernet, щелкните значок Ethernet секция.
    • Чтобы изменить настройки беспроводного подключения, щелкните Wi-Fi раздел и выберите соответствующее имя сети.
    • Изменение настроек DNS для мобильной передачи данных, установленной с Мгновенный модем невозможен. Для мобильных точек доступа Wi-Fi, которые настроить вручную, однако вы можете изменить настройки DNS с помощью инструкция по беспроводному подключению.
  3. Разверните раздел Сеть для выбранного соединения.
  4. В разделе серверов имен :
    • Для IPv4: нажмите кнопку серверов имен Google (или нажмите кнопку Пользовательские серверы имен и введите 8.8.8.8 и 8.8.4.4).
    • Для IPv6: нажмите кнопку Пользовательские серверы имен и введите 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  5. Щелкните за пределами раздела Сеть , чтобы применить настройки.
  6. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.
  7. Повторите процедуру для дополнительных сетевых подключений, которые вы хотите изменить.
Примечание. Приложения для Linux и Android, работающие в Chrome OS, будут использовать этот DNS-сервер. настройки по умолчанию, но у них также есть возможность переопределить настройки. Примечание: В базовой ОС отсутствует поддержка DNS-over-TLS. Чтобы использовать DNS-over-TLS требует настройки прокси-преобразователя, поддерживающего DNS-over-TLS. Из-за сложность настройки мы здесь не описываем.

Маршрутизаторы

Каждый маршрутизатор использует свой пользовательский интерфейс для настройки DNS-сервера. настройки; мы предоставляем только общую процедуру.Для дополнительной информации, обратитесь к документации вашего маршрутизатора.

Примечание: Некоторые интернет-провайдеры жестко встраивают свои DNS-серверы в оборудование, которое они предоставляют; если вы используете такое устройство, вы не можете настроить его для использования Google Public DNS. Вместо этого вы можете настроить каждый из компьютеров, подключенных к маршрутизатору, как описано выше.

Чтобы изменить настройки на маршрутизаторе:

  1. В браузере введите IP-адрес маршрутизатора, чтобы просмотреть его консоль администрирования.Большинство маршрутизаторов производятся для использования по умолчанию адрес, например 192.168.0.1, 192.168.1.1, 192.168.2.1 или 192.168.1.100. Если ни один из них не работает или он изменился, попробуйте найти адрес шлюза по умолчанию в панели сетевых настроек вашей системы.
  2. При появлении запроса введите пароль для редактирования сетевых настроек.
  3. Найдите экран, в котором указаны настройки DNS-сервера.
  4. Если в полях для основного и вторые DNS-серверы, запишите их для использования в будущем.
  5. Замените эти адреса IP-адресами Google:
    • Для IPv4: 8.8.8.8 и / или 8.8.4.4.
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  6. Сохраните и выйдите.
  7. Перезагрузите браузер.
  8. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.

Некоторые маршрутизаторы используют отдельные поля для всех восьми частей адресов IPv6 и не может принять синтаксис сокращений IPv6 :: .Для таких полей введите:

  • 2001: 4860: 4860: 0: 0: 0: 0: 8888
  • 2001: 4860: 4860: 0: 0: 0: 0: 8844

Расширьте записи 0 до 0000 , если требуются четыре шестнадцатеричные цифры.

Примечание: В базовой ОС отсутствует поддержка DNS-over-TLS. Чтобы использовать DNS-over-TLS требует настройки прокси-преобразователя, поддерживающего DNS-over-TLS. Из-за сложность настройки мы здесь не описываем.

iOS

Вы можете изменить настройки DNS на iPhone, iPad или iPod touch с помощью следующих шаги.

  1. Перейдите в Настройки > Wi-Fi .
  2. Коснитесь значка ⓘ рядом с сетью Wi-Fi, DNS которой вы хотите изменить. серверы для. Прокрутите вниз, чтобы найти раздел DNS, и нажмите Настроить DNS .
  3. Нажмите Вручную и добавьте IP-адреса Google. При желании вы также можете удалить все DNS-серверы по умолчанию в списке.
    • Для IPv4: 8.8.8.8 и / или 8.8.4.4
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844

При возврате в автоматический режим восстанавливается DNS-сервер, указанный Wi-Fi. сеть.

Примечание: это изменение применяется только к определенной сети Wi-Fi, но не к другим сети в списке Wi-Fi или в настройках DNS для сотовых данных. Если ты хочешь все ваши сети Wi-Fi использовать одну и ту же конфигурацию DNS, лучший вариант - обновите конфигурацию DNS на своих маршрутизаторах. Чтобы изменить DNS для вашего iOS устройству во всех сетях, включая сотовые данные, требуется приложение VPN, которое позволяет для настройки DNS-сервера для VPN. Учитывая, что есть так много вариантов Приложение VPN и сложность настройки рекомендуется только опытным пользователям.

Android

Android 9 (Pie) или выше

Android 9 поддерживает "частный DNS", который использует DNS-over-TLS для обеспечения безопасности. и конфиденциальность ваших DNS-запросов. Вы можете настроить его, выполнив следующие действия.

  1. Перейти к настройкам > Сеть и Интернет > Расширенный > Частный DNS .
  2. Выберите Имя хоста частного DNS-провайдера .
  3. Введите dns.google в качестве имени хоста поставщика DNS.
  4. Щелкните Сохранить.
Внимание: только для Android 9 ! Эти настройки частного DNS не имеют эффекта , когда вы используете VPN , например Nexus / Pixel Wi-Fi Assistant или Google Fi Расширенные сетевые VPN или сторонние приложения для смены VPN или DNS. Те функции и приложения переопределяют частный DNS, а не отправляет DNS-over-TLS запросы к Google Public DNS . Большинство сменщиков DNS отправляют запросы в открытом виде (некоторые например, Intra, используют другие безопасные протоколы DNS), а приложения VPN могут не защищать запросы за пределами VPN-сервера.Это исправлено в Android 10.

. Для получения дополнительной информации см. Сообщение в блоге Android, в котором объявляется об этой функции. Обратите внимание, что в Android P режим по умолчанию для частного DNS - «Автоматический». это означает, что он использует указанный в сети DNS-сервер и пытается выполнить TLS подключение к порту 853 перед тем, как вернуться к UDP на порт 53.

Старые версии Android

Устройства под управлением версий старше Android 9 не поддерживают DNS-over-TLS и не может настроить частный DNS для всех сетей. Вы можете настроить DNS для каждого индивидуальная сеть Wi-Fi, которую вы используете.Это требует настройки всей сети. информацию вручную и рекомендуется только для опытных пользователей.

Мобильные или другие устройства

DNS-серверы

обычно указываются в расширенных настройках Wi-Fi. Однако, как каждое мобильное устройство использует другой пользовательский интерфейс для настройки DNS-сервера. настройки, мы предоставляем только общую процедуру. Для дополнительной информации, обратитесь к документации вашего оператора мобильной связи.

Чтобы изменить настройки на мобильном устройстве:

  1. Перейти к экрану, в котором указаны настройки Wi-Fi.
  2. Найдите экран, в котором указаны настройки DNS-сервера.
  3. Если в полях для основного и вторичные DNS-серверы, запишите их для использования в будущем.
  4. Замените эти адреса IP-адресами Google:
    • Для IPv4: 8.8.8.8 и / или 8.8.4.4.
    • Для IPv6: 2001: 4860: 4860 :: 8888 и / или 2001: 4860: 4860 :: 8844.
    • Только для IPv6: вы можете использовать Google Public DNS64 вместо IPv6 адреса в предыдущем пункте.
  5. Сохраните и выйдите.
  6. Убедитесь, что ваша установка работает правильно; см. Проверка новых настроек.

Проверьте свои новые настройки

Для проверки работы распознавателя Google DNS:

  1. В браузере введите URL-адрес имени хоста (например, http://www.google.com/ ). Если это разрешится правильно, выйдите из браузера, снова загрузите страницу и обновите ее на несколько раз, чтобы убедиться, что результат не с кэшированной веб-страницы.

    Если все эти тесты работают, все работает правильно. Если нет, перейдите к следующий шаг.

  2. В браузере введите фиксированный IP-адрес. Ты можешь использовать http://216.218.228.119/ (что указывает на test-ipv6.com) в качестве URL-адреса. 1

    Если это работает правильно, перезагрузите страницу в новом открытом браузере, чтобы убедитесь, что страница загружается с нуля. Если эти тесты работают (но шаг 1 сбой), значит, проблема с вашей конфигурацией DNS; проверить шаги выше, чтобы убедиться, что вы все настроили правильно.Если эти тесты не работают, переходите к следующему шагу.

  3. Откатите внесенные вами изменения DNS и снова запустите тесты. Если тесты по-прежнему не работают, значит, проблема с настройками вашей сети; обратитесь за помощью к своему интернет-провайдеру или сетевому администратору.

Если у вас возникнут проблемы после установки Google Public DNS в качестве преобразователя, пожалуйста, запустите диагностическую процедуру.

1 Google благодарит Джейсона Феслера за предоставление разрешения на использование test-ipv6.com URL-адреса для тестирования DNS в браузере целей.

Вернитесь к старым настройкам DNS

Если вы ранее не настраивали какие-либо настраиваемые DNS-серверы, для обратного переключения к вашим старым настройкам, в том окне, в котором вы указали Google IP адресов, выберите опцию включения получения адресов DNS-серверов автоматически и / или удалить IP-адреса Google. Это вернет ваши настройки использовать серверы по умолчанию вашего интернет-провайдера.

Если вам нужно вручную указать какие-либо адреса, воспользуйтесь описанными выше процедурами, чтобы укажите старые IP-адреса.

При необходимости перезагрузите систему.

Google Public DNS64 | Разработчики Google

Введение

Сети с двойным стеком с возможностью подключения как IPv6, так и IPv4 теперь широко распространены, но они еще далеки от универсальности. Чтобы сделать следующий шаг по переходу на IPv6 и развернуть сети только для IPv6, сетевые операторы должны по-прежнему сохранять доступ к сетям и услугам, поддерживающим только IPv4. Существует несколько механизмов перехода для обеспечения доступа IPv6 к IPv4; NAT64 становится все более популярным среди многих сетевых операторов.Использование шлюза NAT64 с возможностью трансляции IPv4-IPv6 позволяет Клиенты, поддерживающие только IPv6, подключаются к службам только IPv4 через синтетические адреса IPv6. начиная с префикса, который направляет их на шлюз NAT64.

DNS64 - это служба DNS, которая возвращает записи AAAA с этими синтетическими IPv6. адреса для пунктов назначения только для IPv4 (с записями A, но без записей AAAA в DNS). Это позволяет клиентам, работающим только с IPv6, использовать шлюзы NAT64 без какой-либо другой конфигурации. Google Public DNS64 предоставляет DNS64 как глобальную службу, используя зарезервированные Префикс NAT64 64: ff9b :: / 96.

Важно: перед запуском

Перед настройкой ваших систем для использования Google Public DNS64, примите во внимание следующие ограничения, которые могут повлиять на использование вами услуги:

  • Google Public DNS64 предназначен для использования только в сетях с доступом к шлюз NAT64, использующий зарезервированный префикс NAT64 64: ff9b :: / 96 . Не используйте его в сетях, которые не могут достичь такого шлюза NAT64 .

  • Google Public DNS64 не предоставляет доступ к частным доменам, которые не могут быть разрешено из общедоступного Интернета, хотя он может возвращать записи AAAA для частных (RFC 1918) адресов IPv4 возвращается в общедоступных ответах DNS.

  • Google Public DNS64 не требуется для сетей или хостов с двойным стеком, но он действительно работает, возвращая как синтезированные AAAA, так и оригинальные записи A (это может привести к тому, что трафик к хостам, поддерживающим только IPv4, будет проходить через NAT64, а не через напрямую через IPv4, но обычно только тогда, когда соединение NAT64 работает быстрее).

Настройка Google Public DNS64

Если в вашей системе нет проблем с указанными выше ограничениями Google Public DNS64, вы можете следовать обычным инструкциям по началу работы с Google Public DNS, замена стандартных адресов резолвера на следующие:

  • 2001: 4860: 4860 :: 6464
  • 2001: 4860: 4860 :: 64

Не настраивайте другие адреса IPv6. : это делает DNS64 ненадежным.Если вы также настроите IPv4-адреса Google Public DNS (8.8.8.8 или 8.8.4.4), Хосты с двойным стеком могут иногда не получать синтезированные записи AAAA.

Некоторые устройства используют отдельные поля для всех восьми частей адресов IPv6 и не может принять синтаксис сокращений IPv6 :: . Для таких полей введите:

  • 2001: 4860: 4860: 0: 0: 0: 0: 6464
  • 2001: 4860: 4860: 0: 0: 0: 0: 64

Разверните записи 0 до 0000 и запись 64 в 0064 если требуются четыре шестнадцатеричные цифры.

Безопасный DNS64

Google Public DNS64 поддерживает DNS через HTTPS (DoH) и DNS через TLS (DoT) безопасный DNS-транспорт с использованием Домен dns64.dns.google вместо dns.google . Этот домен разрешается в адреса IPv6, перечисленные выше, а также DoH и DoT службы на портах 443 и 853 для этих адресов имеют сертификаты TLS для dns64.dns.google .

Шаблон RFC 8484 DoH URI для Google Public DNS64 https: // dns64.dns.google/dns-query{?dns} и JSON API также поддерживаются. с URL-адресами типа https://dns64.dns.google/resolve?name=ipv4only.arpa&type=AAAA (доступно только в системах с поддержкой IPv6).

Проверьте настройки DNS64

Вы можете выполнить шаги тестирования в руководстве по началу работы, чтобы убедиться, что ваша конфигурация DNS64 работает. Если у вас нет доступа к шлюзу NAT64, В Википедии перечислены несколько реализаций NAT64, которые вы можете развернуть самостоятельно.

Известно, что некоторые реализации NAT64 не работают с Google Public DNS64:

  • MacOS X 10.11 и более поздние версии включают NAT64 / DNS64, но не могут передавать IPv6, предотвращение доступа к преобразователям Google Public DNS64. Он предназначен для тестирования устройств, поддерживающих только IPv6, когда у вас есть только IPv4. подключение к Интернету и работает только с включенным DNS64 (Подключенные к нему устройства, поддерживающие только IPv6, не могут напрямую использовать Google Public DNS, хотя вы можете настроить систему MacOS X для использования 8.8.8.8 и 8.8.4.4).

  • Cisco ASA 9.0 и более поздних версий включает NAT64, но не поддерживает хорошо известный префикс 64: ff9b :: / 96 и требует, чтобы вы выбрали свой собственный префикс.Он не реализует DNS64, но обеспечивает проверку и перезапись NAT Трафик DNS, проходящий через шлюз NAT64.

    устройств, поддерживающих только IPv6, за Cisco ASA могут получить подключение IPv4, используя Google Public DNS, настроив следующие адреса преобразователя:

    Это направляет запросы к общедоступному DNS Google через Cisco ASA NAT64. С некоторой дополнительной конфигурацией Cisco ASA, Запросы AAAA переводятся в запросы A, и ответы A переводятся обратно в AAAA с настроенным префиксом.

    Использование адресов NAT64 и адресов преобразователя IPv6 Google Public DNS (2001: 4860: 4860 :: 8888 или 2001: 4860: 4860 :: 8844) не работает, поскольку отрицательные ответы от одного из них не будут запрашиваться другим. Для всех запросов необходимо выбрать разрешение DNS IPv6 или IPv4.

Google Public DNS для интернет-провайдеров | Разработчики Google

Кто угодно, включая провайдеров интернет-услуг (ISP) и крупные организации, можно бесплатно использовать Google Public DNS, но мы применяем ограничения скорости для каждого клиента чтобы защитить наш сервис.Большие объемы запросов с одного IPv4-адреса (или сетевого префикса IPv6 / 64) могут быть ограничены, если они превышают эти пределы.

Важно: Google Public DNS - это бесплатная услуга без SLA. Если вы используете Google Public DNS для критически важных служб или функций, вам следует настроить альтернативные DNS-преобразователи и быть готовыми к переключению автоматически или с быстрой ручной перенастройкой, когда ваш мониторинг обнаруживает любые проблемы доступности или разрешения с помощью Google Public DNS.

Перед тем, как начать использовать Google Public DNS

Если вы планируете, чтобы клиенты отправляли запросы в Google Public напрямую, и не используют NAT операторского уровня (CG-NAT) для сопоставления клиентов с адресами IPv4, вы можете пропустить эти шаги и следовать инструкциям в Раздел «Использование Google Public DNS напрямую».

  1. Найдите максимальную частоту запросов DNS в секунду (QPS).

    Вы можете измерить это с помощью данных NetFlow или sFlow с ваших сетевых устройств, или со статистикой или журналами запросов ваших преобразователей. Если вы не можете сделать что-либо из этого, просто оцените частоту запросов DNS.

    Пиковые скорости не должны учитывать мгновенные всплески, но средний трафик составляет более одной или двух секунд в самое загруженное время суток. Google Public DNS допускает короткие всплески трафика, которые на короткое время превышают лимит.

  2. Найдите количество маршрутизируемых IP-адресов, отправляющих запросы DNS.

    Если вы используете разделяемые резолверы для агрегирования (и, возможно, кеширования) DNS-запросов, просто посчитайте, сколько внешних IP-адресов используют преобразователи.

    Если устройства будут отправлять DNS-запросы напрямую в Google Public DNS, подсчитайте количество внешних IP-адресов, которые будут использовать устройства, учет любого преобразования адресов NAT или NAT операторского уровня.

  3. Сравните вашу скорость (а) на IP-адрес с ограничениями скорости по умолчанию.

    В идеале у вас должны быть определенные ставки для каждого IP-адреса, но это нормально просто разделить общую скорость QPS на количество IP-адресов.

    • Скорость QPS для каждого IP-адреса меньше 1500 QPS

      Вы можете настроить Google Public DNS как хотите; Вам не нужно запрашивать увеличение лимита скорости.

    • Скорость QPS для каждого IP-адреса превышает 1500 QPS

      Если устройства в ваших сетях могут напрямую запрашивать Google Public DNS, и это снижает частоту запросов в секунду для каждого IP-адреса ниже установленного предела, вы можете использовать этот подход без увеличения предела скорости.

      В противном случае вам нужно запросить увеличение лимита скорости.

  4. Настроить использование Google Public DNS

    Воспользуйтесь одним из методов, описанных в следующем разделе.

Настроить Google Public DNS

Использование Google Public DNS напрямую

Интернет-провайдеры

могут настраивать инфраструктуру конфигурации сети, такую ​​как DHCP. для возврата общедоступных DNS-адресов Google (8.8.8.8, 8.8.4.4 и IPv6) чтобы клиенты в своих сетях могли напрямую использовать Google Public DNS.Это самый простой и надежный подход. Благодаря тому, что сетевые клиенты отправляют DNS-запросы напрямую в Google Public DNS рейтинг каждого клиента ограничен индивидуально, и клиенты, не злоупотребляющие дросселирование маловероятно.

Внимание! Интернет-провайдеры , использующие CG-NAT, с большей вероятностью будут ограничены в этом случае, и должен отслеживать частоту запросов DNS и запрашивать увеличение лимита скорости если ставки превышают свой предел или более 1% запросов не получают ответа.

Использование Google Public DNS от локальных преобразователей

Интернет-провайдеры также могут использовать локальные преобразователи для клиентских запросов, и чтобы локальные преобразователи перенаправляли запросы в Google Public DNS.Это может быть необходимо по нормативным причинам или по эксплуатационным требованиям интернет-провайдера.

Домашние маршрутизаторы или другие сетевые устройства

Большинство локальных преобразователей работают на маршрутизаторах, межсетевых экранах или кабельных / DSL-модемах, управляемых интернет-провайдером. Если они предназначены для одного клиента и имеют собственный IP-адрес они работают так же, как клиенты, напрямую использующие Google Public DNS.

Резолверы с общим кэшированием

Для уменьшения задержки DNS-запросов, особенно для интернет-провайдеров, расположенных далеко от Местоположения резольвера Google, Интернет-провайдеры могут использовать кэширующие преобразователи DNS, которые обслуживают множество клиентов.Это может уменьшить объем DNS-запросов, отправляемых в Google Public DNS, но концентрация его на нескольких IP-адресах повышает вероятность его ограничения. Интернет-провайдеры с общими преобразователями, перенаправляющие запросы в Google Public DNS, должны отслеживать частоту запросов DNS и запрашивать увеличение лимита скорости если ставки превышают свой предел или более 1% запросов не получают ответа.

Другие действия, которые могут выполнять интернет-провайдеры

Запросить увеличение лимита скорости

Интернет-провайдерам

, использующим резолверы общего кеширования или адреса IPv4 с CG-NAT, может потребоваться более высокие пределы скорости для обеспечения стабильного обслуживания.Прежде чем запрашивать повышение, Интернет-провайдеры с кэширующими преобразователями должны проверять свои журналы запросов и те, кто использует CG-NAT, должны проверить свои журналы сетевого трафика, чтобы подтвердить выдержано более 1500 QPS для IP-адресов в запросе.

Вы можете отправить запрос на увеличение лимита скорости через общедоступный DNS Google. Трекер проблем.

Google Public DNS можно настроить так, чтобы он отвечал с ошибками ОТКАЗАНО, когда клиенты с повышенными лимитами скорости дросселируются. Если вам нужен этот сигнал, укажите его в своем запросе на увеличение лимита скорости.

Используйте альтернативные преобразователи вместе с Google Public DNS

Интернет-провайдеры

также могут настроить Google Public DNS в качестве одной из нескольких служб распознавания для своих клиентов или преобразователей общего кеширования. Это может повысить надежность DNS и устранить единые точки отказа. В FAQ освещены вопросы, которые следует учитывать при настройка нескольких преобразователей DNS.

Примечание: Чтобы защита DNSSEC была эффективной, все настроенные резольверы должны проверить DNSSEC.

Использовать Google Public DNS в качестве аварийного выхода

Интернет-провайдеры

могут настроить Google Public DNS в качестве аварийного отката, но если объем DNS-запросов велик, запросы, скорее всего, будут регулироваться при переходе на Google Public DNS, если постоянный объем запросов на IP-адрес клиента превышает пределы скорости по умолчанию (1500 QPS).

Чтобы правильно настроить службу Google Public DNS для обработки скачков спроса, мы полагаемся на точные базовые уровни трафика. Мы не можем увеличить лимит скорости для клиентов, которые не отправляют объем трафика, который даже не приближается к пределам скорости по умолчанию.

Лучший подход для интернет-провайдеров с большим объемом запросов, которые хотят использовать Google Общедоступный DNS только в качестве запасного варианта - настроить Google Public DNS. преобразователи вместе с несколькими альтернативными адресами преобразователей как запасные варианты.Если резервные варианты активированы, это приведет к распространению вашего DNS трафик от нескольких провайдеров, что снижает риск превышения ограничений скорости.

Пир с Google

Средним и крупным интернет-провайдерам, использующим Google Public DNS для разрешения DNS, следует установить пиринговая сеть с Google. Это устанавливает отношения с Google NOC, которые можно использовать для эскалация, если есть проблемы с подключением или доступностью из сети интернет-провайдера в сети Google, включая публичные IP-адреса Google DNS.

DNS-over-TLS | Публичный DNS | Разработчики Google

Введение

Традиционные запросы и ответы DNS отправляются через UDP или TCP без шифрование. Это уязвимо для подслушивания и спуфинга. (включая фильтрацию Интернета на основе DNS). Ответы рекурсивных преобразователей клиентам наиболее уязвимы для нежелательные или злонамеренные изменения, в то время как обмен данными между рекурсивными преобразователями и авторитетные серверы имен часто включают дополнительная защита.

Для решения этих проблем Google Public DNS предлагает разрешение DNS через TCP-соединения с шифрованием TLS, как указано в RFC 7858. DNS-over-TLS улучшает конфиденциальность и безопасность между клиентами и преобразователями. Этот дополняет DNSSEC и защищает проверенные DNSSEC результаты от изменений или спуфинг на пути к клиенту.

Как это работает

Примечание: В этом разделе дается обзор работы DNS-over-TLS при разговоре с преобразователь Google Public DNS (с именем dns.Google ). Если ты Если вас интересует более подробная информация, пожалуйста, прочтите RFC Спецификация для DNS через безопасность транспортного уровня и профили использования для DNS через TLS и DNS через DTLS.

Клиентская система может использовать DNS-over-TLS с одним из двух профилей: строгая или оппортунистическая конфиденциальность. Благодаря строгому профилю конфиденциальности пользователь настраивает имя DNS-сервера (имя домена аутентификации в RFC 8310) для службы DNS-over-TLS, и клиент должен иметь возможность создавать безопасный TLS подключение по порту 853 к DNS серверу.Неспособность установить безопасный подключение является серьезной ошибкой и приведет к отключению службы DNS для клиента.

С гибким профилем конфиденциальности IP-адрес DNS-сервера может быть настраивается непосредственно пользователем или получено из локальной сети (с использованием DHCP или каким-то другим способом). Клиентский распознаватель пытается установить безопасный подключение через порт 853 к указанному DNS-серверу. Если безопасное соединение установлено, это обеспечивает конфиденциальность запросов пользователя от пассивных наблюдателей. на пути.Поскольку клиент не проверяет подлинность сервера, он не защищен от активного злоумышленника. Если клиент не может установить безопасное соединение на порт 853, он возвращается к связь с DNS-сервером через стандартный DNS-порт 53 через UDP или TCP без какой-либо безопасности или конфиденциальности. Использование Opportunistic Privacy предназначено для поддерживать постепенное развертывание повышенной конфиденциальности с целью повсеместного распространения принятие строгого профиля конфиденциальности.

При использовании строгого профиля конфиденциальности преобразователи заглушек устанавливают DNS-over-TLS. соединение со следующими шагами.

  1. Резолвер заглушки настроен с именем резолвера DNS-over-TLS dns.google .
  2. Резолвер-заглушка получает IP-адрес (а) для dns.google , используя локальный Преобразователь DNS.
  3. Резолвер-заглушка устанавливает TCP-соединение с портом 853 на том, Айпи адрес.
  4. Резолвер заглушки инициирует квитирование TLS с преобразователем общедоступного DNS Google.
  5. Общедоступный DNS-сервер Google возвращает свой сертификат TLS вместе с полным цепочка сертификатов TLS до доверенного корневого сертификата.
  6. Резолвер-заглушка проверяет идентичность сервера на основе сертификатов. представлен.
    • Если личность не может быть подтверждена, разрешение имени DNS не выполняется и преобразователь заглушки возвращает ошибку.
  7. После того, как соединение TLS установлено, резолвер-заглушка имеет безопасную связь путь между публичным DNS-сервером Google.
  8. Теперь резолвер-заглушка может отправлять DNS-запросы и получать ответы через связь.

При использовании гибкого профиля конфиденциальности клиент сначала пытается создать безопасное соединение TLS с сервером.Это делается аналогично описанному выше с помощью одно важное отличие - клиент не выполняет проверку сертификата. Это означает, что подлинности сервера нельзя доверять. Если TLS-соединение включено порт 853 на сервер не может быть установлен, преобразователь заглушки возвращается к разговаривает с DNS-сервером на 53-м порту.

Примечание: Для предотвращения атак типа «отказ в обслуживании» и исчерпания ресурсов на сервер, Google Public DNS может закрыть соединения DNS-over-TLS, которые были простаивающими слишком долго или когда по соединению было получено большое количество запросов.В следующий раз, когда клиенту потребуется выполнить DNS-запросы, преобразователь заглушки будет повторите описанные выше шаги, чтобы восстановить соединение с Google Public DNS. резолвер.

Конфиденциальность

Наша политика конфиденциальности распространяется на службу DNS-over-TLS.

27.06.2019 мы повторно включили клиентскую подсеть EDNS (ECS) для службы DNS-over-TLS. ECS был отключен при запуске сервиса.

Поддержка стандартов

Google Public DNS реализует DNS-over-TLS на основе RFC 7858.Кроме того, мы поддерживаем следующие рекомендации для обеспечения высокого качества и сервис DNS с малой задержкой.

Начните использовать

См. Инструкции по настройке на устройство с Android 9 (Pie) или выше.

DNS-over-TLS также поддерживается для IPv6-only Служба Google Public DNS64. Обратите внимание, что настройка DNS64 для мобильное устройство, которое будет подключаться к нескольким сетям, не рекомендуется, так как DNS64 работает только при наличии IPv6.

Как настроить параметры сети для использования Google Public DNS

Автор Jithin 1 января, 2016

В этой документации мы можем проверить, как настроить параметры вашей сети для использования общедоступного DNS Google.

Google Public DNS IP-адреса:

IPV4:

8.8.8.8

8.8.8.4

IPV6:

2001: 4860: 4860 :: 8888

2001: 4860: 4860 :: 8844

Изменить настройки DNS-сервера:

(Пожалуйста, сохраните где-нибудь свой текущий IP-адрес, прежде чем продолжить. Чтобы вы могли отменить изменения, если это необходимо.)

Окна

1) Перейдите в Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

2) Щелкните опцию «Изменить настройки адаптера».

3) Выберите соединение, которое вы хотите настроить, и щелкните правой кнопкой мыши.

4) Выберите опцию «Свойства».

5) Выберите вкладку «Сеть».

6) Вы можете выбрать один из вариантов «Протокол Интернета версии 4 (TCP / IP)» или «Протокол Интернета версии 6 (TCP / IP6)».

7) Нажмите кнопку «Свойства».

8) Выберите опцию «Использовать следующие адреса DNS-серверов».

9) Введите IP-адреса.

Для IPV4:

8.8.8.8

8.8.8.4

Для IPV6:

2001: 4860: 4860 :: 8888

2001: 4860: 4860 :: 8844

10) Нажмите кнопку «ОК».

11) Перезапустите соединение.

Linux - Ubuntu

1) Перейдите в Система >> Настройки >> Сетевые подключения.

2) Выберите соединение, которое вы хотите настроить.

3) Нажмите кнопку «Редактировать».

4) Выберите вкладку «Настройки IPv4» или «Настройки IPv6».

5) Введите IP-адреса Google Public DNS в поле «DNS-серверы».

Для IPV4:

8.8.8.8

8.8.8.4

Для IPV6:

2001: 4860: 4860 :: 8888

2001: 4860: 4860 :: 8844

6) Нажмите кнопку «Применить», чтобы сохранить изменения.

7) Перезапустите соединение.

Linux - Debian

1) Отредактируйте файл «/etc/resolv.conf».

Vi /etc/resolv.conf

2) Замените IP-адрес DNS в поле сервера имен.

Для IPV4:

сервер имен 8.8.8.8

сервер имен 8.8.8.4

Для IPV6:

сервер имен 2001: 4860: 4860 :: 8888

сервер имен 2001: 4860: 4860 :: 8844

3) Сохранить и выйти.

4) Перезапустите Интернет-клиент, который вы используете.

Mac OS

1) Перейдите в Apple >> Системные настройки >> Сеть.

2) Выберите соединение, которое вы хотите изменить.

3) Выберите вкладку «DNS».

4) Нажмите «+», чтобы заменить IP-адреса.

5) Введите публичные IP-адреса DNS.

Для IPV4:

8.8.8.8

8.8.8.4

Для IPV6:

2001: 4860: 4860 :: 8888

2001: 4860: 4860 :: 8844

6) Щелкните Применить >> ОК.

Проверка настроек:

1) Введите имя хоста (http://www.google.com) в своем браузере. Если проблема разрешится правильно, добавьте эту страницу в закладки. Доступ к странице из закладки. Если оба теста работают, все работает нормально.

2) Если он не работает, введите в браузере фиксированный IP-адрес. Если проблема разрешилась правильно, добавьте страницу в закладки. Доступ к странице из закладки. Если оба теста работают, проблема с конфигурацией DNS.

3) Откатите внесенные вами изменения и проверьте еще раз.Если это снова не удалось, обратитесь к своему интернет-провайдеру или сетевому администратору.

Вот как мы можем настроить параметры сети для использования общедоступного DNS Google.

Если у вас есть какие-либо сомнения или вам нужна дополнительная помощь, обратитесь в нашу службу поддержки.

Google Cloud - балансировщик нагрузки HTTP и IPv6

Введение

В этой статье рассказывается, как добавить IPv6 в балансировщик нагрузки в Google Cloud и создать правильные записи ресурсов DNS.Google Compute Engine не поддерживает IPv6, поэтому для этого требуется, чтобы балансировщик нагрузки HTTP Google (и семейство служб) обслуживал трафик для внутренних экземпляров.

В этой статье также показано, как настроить записи ресурсов IPv6 DNS для Google Domains и Google Cloud DNS. Мы также протестируем IPv6 и обсудим некоторые общие предупреждения.

Что такое IPv6?

Самый популярный протокол в Интернете сегодня - это IP версии 4 (IPv4). Это IP в TCP / IP. IPv4 - это протокол, о котором думают все при инициализации как внутренних, так и общедоступных вычислительных систем и устройств.38 (340 ундециллионов) (340 миллиардов миллиардов миллиардов миллиардов) адресов.

Давным-давно все предполагали, что у нас закончатся адреса IPv4. Этого еще не произошло, но это произойдет. Облако определенно будет способствовать исчерпанию адресов IPv4.

У FCC есть хороший документ, описывающий IPv6 в простых для понимания концепциях: Интернет-протокол версии 6: IPv6 для потребителей. Тим Петерсон также написал красивую статью: Что за IPv6? Броское название.

Важен ли IPv6?

Да.IPv6 очень важен для долгосрочного здоровья Интернета. Эта статья - мой вклад в то, чтобы сделать это возможным для Google Cloud.

VPC не поддерживают трафик IPv6

Это важный момент для понимания. Вы не можете настроить IPv6 в своей сети Google Cloud. Вы можете настроить IPv6 только для внешних сервисов, управляемых Google Cloud.

Сети

Google Cloud VPC поддерживают только одноадресный трафик IPv4. Сети VPC не поддерживают широковещательный, многоадресный или IPv6-трафик.

Это также означает, что вы не можете создавать правила брандмауэра VPC для IPv6. Google Cloud Armor поддерживает как разрешающие, так и запрещающие правила IPv4 и IPv6.

Предварительные требования

Вам потребуются правильные разрешения и доступ для изменения конфигурации для следующих служб:

  • Google Cloud VPC Внешние IP-адреса
  • DNS-сервер
  • Балансировщик нагрузки HTTP Google

В этой статье предполагается, что у вас уже настроен и работает балансировщик нагрузки HTTP Google в облаке.Я также предполагаю, что у вас есть правильно настроенный DNS-сервер для ваших доменов.

В этой статье рассматриваются два моих домена jhanley.com и jhanley.dev. Первый - с Google Cloud DNS, второй - с доменами Google. Я покажу настройку обоих DNS-серверов.

Балансировщик нагрузки HTTP Google Cloud

Google Cloud поддерживает IPv6 для HTTP, SSL Proxy и TCP Proxy Load Balancing. Балансировщик нагрузки принимает подключения IPv6 от клиентов, а затем передает эти подключения вашим экземплярам через IPv4.

Важные моменты

Источник: завершение IPv6 для HTTP (S), прокси SSL и балансировка нагрузки прокси TCP

  • Используйте один Anycast IPv6-адрес для многорегионального развертывания: вам нужен только один IPv6-адрес балансировщика нагрузки для экземпляров приложений, работающих в нескольких регионах. Это означает, что ваш DNS-сервер имеет одну запись AAAA и вам не нужно балансировать нагрузку между несколькими IPv6-адресами. Кэширование записей AAAA клиентами не является проблемой, поскольку кэшируется только один адрес.Запросы пользователей на адрес IPv6 автоматически балансируются по нагрузке до ближайшего работоспособного экземпляра с доступной емкостью.
  • Балансировка нагрузки клиентского трафика HTTP, HTTPS, HTTP / 2, TCP и SSL / TLS IPv6.
  • Переполнение между регионами с одним адресом подсистемы балансировки нагрузки IPv6: если экземпляры в одном регионе не имеют ресурсов или находятся в неработоспособном состоянии, глобальная подсистема балансировки нагрузки автоматически направляет запросы от пользователей в следующий ближайший регион с доступными ресурсами. Когда в ближайшем регионе появятся доступные ресурсы, глобальная балансировка нагрузки вернется к обслуживанию через этот регион.Для глобальной балансировки нагрузки необходимо использовать премиум-уровень уровней сетевых услуг.
  • Запуск двойного стека: для обслуживания клиентов IPv6 и IPv4 создайте два IP-ресурса балансировщика нагрузки - один для IPv6, а другой для IPv4 - и свяжите их с одними и теми же экземплярами приложений IPv4. Клиенты IPv4 подключаются к адресу IPv4, а клиенты IPv6 подключаются к адресу IPv6. Затем эти клиенты автоматически балансируются по нагрузке до ближайших работоспособных экземпляров с доступной емкостью. Мы предоставляем правила переадресации IPv6 бесплатно, поэтому вы платите только за IPv4.

Назначить внешний IPv6-адрес

Перед изменением нашего балансировщика нагрузки HTTP нам необходимо выделить статический адрес IPv6. Выделить адрес легко, но иногда требуется время, чтобы адрес был предоставлен. Завершите этот шаг и возьмите немного свежего кофе…

Перейдите в Google Cloud Console -> Сеть VPC -> Внешние IP-адреса. Щелкните «Зарезервировать статический адрес». Введите сведения о своей сети, но убедитесь, что вы выбрали IPv6 в разделе «Версия IP».Нажмите «Зарезервировать» и дождитесь, пока IPv6-адрес будет предоставлен.

Сохраните адрес IPv6. Это понадобится нам позже, чтобы настроить DNS-серверы и балансировщик нагрузки HTTP.

адресов IPv4 и IPv6 являются бесплатными, пока они назначены экземпляру. Если они не назначены, они составляют 0,01 доллара в час.

На этом снимке экрана показано резервирование статического адреса IPv6. Обратите внимание, что адреса IPv6 всегда глобальны. Вы не можете зарезервировать региональный IPv6-адрес. Региональные адреса обычно используются с экземплярами Google Compute Engine.

Балансировщик нагрузки HTTP - настройка IPv6

Перейдите в Google Cloud Console -> Сетевые службы -> Балансировка нагрузки.

Выберите балансировщик нагрузки. В моем случае я нажимаю «jhanley» в разделе «Имя». Это вызывает экран, который отображает подробную информацию о моей конфигурации HTTP Load Balancer.

Щелкните ИЗМЕНИТЬ. Откроется экран «Изменить балансировщик нагрузки HTTP (S)». Поскольку интерфейс нашего балансировщика нагрузки управляет IPv6, а не серверной частью, выберите «Конфигурация внешнего интерфейса».

См. Следующий снимок экрана. У меня настроено два протокола. Один для HTTP, а другой для HTTPS. Оба протокола настроены с использованием IPv4. Теперь мы создадим новые интерфейсы, настроенные для IPv6. Щелкните «Добавить IP-адрес и порт внешнего интерфейса».

Заполните форму «Новый IP-адрес и порт внешнего интерфейса». Выберите «HTTP» для протокола, «IPv6» для версии IP, адрес IPv6, который мы создали выше, для IP-адреса и 80 для порта. Щелкните Готово.

См. Следующий снимок экрана.Снова нажмите «Добавить IP-адрес и порт внешнего интерфейса». На этот раз мы создадим интерфейс HTTPS. Обратите внимание, я выбрал четыре сертификата, по одному для каждого домена: jhanley.com, www.jhanley.com, jhanley.dev, www.jhanley.com.

Выберите «HTTPS» для протокола, «IPv6» для версии IP, адрес IPv6, который мы создали выше, для IP-адреса и 443 для порта. Щелкните Готово.

Обратите внимание на четырех слушателей на следующем снимке экрана. Два для порта 80 (IPv4 и IPv6) и два для порта 443 (IPv4 и IPv6).

Проверить все. Убедившись, что все в порядке, нажмите «Обновить».

Вернитесь в Google Cloud Console -> Сетевые службы -> Балансировка нагрузки. Дождитесь изменений в положении. Вы увидите зеленый флажок.

Настроить Google Domains

На этом шаге настраиваются домены Google. Шаги почти идентичны для большинства DNS-серверов. Если вы используете Google Cloud DNS, перейдите к следующему важному шагу.

Раньше я этого не замечал, но у Google есть собственный корневой домен:.Google, как .com.

Перейдите в консоль Google Domains: https://domains.google/. Нажмите «Управление моими доменами» в правом верхнем углу.

Моя страница выглядит так:

Щелкните «Управление» для нужного домена. Теперь мы настроим этот домен для IPv6. Это вызывает панель. Выберите «DNS». Прокрутите вниз до раздела «Пользовательские записи ресурсов». Ваш экран должен выглядеть так:

Мы добавим две ресурсные записи. Один для корня (@) и один для www.Оба будут ресурсными записями AAAA. Обе записи ресурсов используют один и тот же адрес IPv6.

Первая запись ресурса выглядит так. Щелкните Добавить.

Следующий для www:

Минимальное время жизни (TTL) для доменов Google составляет один час. Это означает, что если вы допустили ошибку, вам нужно будет подождать до часа, чтобы увидеть любые внесенные вами изменения, если вам нужно отредактировать после добавления. Перед нажатием кнопки «Добавить» убедитесь, что введены правильные данные.

Подождите несколько минут, что-то вроде пяти или десяти, чтобы подготовить новые записи.

В Интернете есть несколько инструментов для проверки поддержки IPv6 вашим сервером. Я использую https://ready.chair6.net/ для тестирования своих доменов на IPv6.

Ниже приведен результат для jhanley.dev. У всего есть ПРОПУСК.

Запустите тест на www-домене: www.jhanley.dev. Обратите внимание, что результаты разные. У меня три предупреждения. После скриншота я расскажу о каждом.

Предупреждение: не удалось разрешить серверы имен для имени хоста www.jhanley.dev.

Это нормально. www - это ресурсная запись для домена jhanley.com. Обычно вы не назначаете серверы имен, если не хотите, чтобы www.jhanley.dev был полноценным поддоменом со своими собственными DNS-серверами.

Предупреждение: имя хоста www.jhanley.dev не имеет записей MX.

Это нормально. Стандартная практика заключается в том, чтобы домен jhanley.dev обрабатывал записи для почтового сервера, как обычно, электронная почта отправляется на [email protected] Однако, если бы мы сделали www.jhanley.dev полноценным доменом, мы бы также настроили электронную почту на этом поддомене.Пример: [email protected]

Предупреждение: не удалось разрешить серверы имен для имени хоста www.jhanley.dev.

Это нормально. Наши серверы имен не находятся внутри jhanley.dev. Например, предположим, что мы размещали собственные DNS-серверы для нашего домена jhanley.dev. Наши серверы имен используют шаблон ns1.jhanley.dev, ns2.jhanley.dev и т. Д. Проблема в том, что существует циклическая ссылка.

Чтобы разрешить имя домена, DNS будет запрашивать в следующем порядке: корень, сервер имен TLD и полномочный сервер имен.Имея авторитетные серверы имен внутри самого домена, эти серверы имен невозможно найти без посторонней помощи.

Связующие записи DNS предоставляют запись A, которая является авторитетной для сервера имен, избегая циклической ссылки. Поскольку мы используем DNS-серверы Google, циклической ссылки нет. Кроме того, поскольку мы не контролируем DNS-серверы Google, мы не знаем, какие IPv4-адреса должны использоваться для удаления предупреждения.

Настроить Google Cloud DNS

В предыдущем разделе я настроил IPv6 для своего домена jhanley.dev и www.jhanley.dev, которым управляет Google Domains. Теперь я настрою IPv6 для jhanley.com и www.jhanley.com, которыми управляет Google Cloud DNS.

Перейдите в Google Cloud Console -> Сетевые службы -> Cloud DNS. Щелкните имя зоны, которую вы хотите настроить. Я не прилагаю снимок экрана с этим шагом, чтобы сохранить конфиденциальность моих записей.

На экране «Подробная информация о зоне» нажмите «Добавить набор записей».

Я настрою запись AAAA для корневого «jhanley.com ». Аналогичным образом настройте записи. Выберите AAAA в качестве типа записи ресурса. Введите адрес IPv6. Измените TTL на 1 час или желаемое время жизни. Щелкните "Создать".

Еще раз щелкните Добавить набор записей. Теперь я настрою запись AAAA для «www.jhanley.com». Введите www в качестве имени DNS. Выберите AAAA в качестве типа записи ресурса. Введите адрес IPv6. Измените TTL на 1 час или желаемое время жизни. Щелкните "Создать".

Подождите несколько минут, что-то вроде пяти или десяти, чтобы подготовить новые записи.

В Интернете есть несколько инструментов для проверки поддержки IPv6 вашим сервером. Я использую https://ready.chair6.net/ для тестирования своих доменов на IPv6.

Ниже представлен результат для jhanley.com. У всего есть ПРОПУСК.

Запустите тест на www-домене: www.jhanley.dev. Обратите внимание, что результаты разные. У меня три предупреждения. После скриншота я расскажу о каждом.

Предупреждение: не удалось разрешить серверы имен для имени хоста www.jhanley.com.

Это нормально. www - это ресурсная запись для домена jhanley.com. Обычно вы не назначаете серверы имен, если не хотите, чтобы www.jhanley.com был полноценным поддоменом со своими собственными DNS-серверами.

Предупреждение: имя хоста www.jhanley.com не имеет записей MX.

Это нормально. Стандартная практика заключается в том, чтобы домен jhanley.com обрабатывал записи для почтового сервера, как обычно, электронная почта отправляется на [email protected] Однако, если бы мы сделали www.jhanley.com полноценным доменом, мы бы также настроили электронную почту на этом поддомене.Пример: [email protected]

Предупреждение: не удалось разрешить серверы имен для имени хоста www.jhanley.com.

Это нормально. Наши серверы имен не расположены внутри jhanley.com. Например, предположим, что мы размещали собственные DNS-серверы для нашего домена jhanley.com. Наши серверы имен используют шаблон ns1.jhanley.com, ns2.jhanley.com и т. Д. Проблема в том, что существует циклическая ссылка.

Чтобы разрешить доменное имя, DNS будет запрашивать: корень, сервер имен TLD и полномочный сервер имен.Имея авторитетные серверы имен внутри самого домена, эти серверы имен невозможно найти без посторонней помощи.

Связующие записи DNS предоставляют запись A, которая является авторитетной для сервера имен, избегая циклической ссылки. Поскольку мы используем DNS-серверы Google, циклической ссылки нет. Кроме того, поскольку мы не контролируем DNS-серверы Google, мы не знаем, какие IPv4-адреса должны использоваться для удаления предупреждения.

Сводка

В этой статье обсуждается IPv6 в Google Cloud.Я создал глобальный IPv6-адрес в Google Cloud, настроил IPv6 в моем балансировщике нагрузки Google и настроил как Google Domains, так и Google Cloud DNS для разрешения запросов записи IPv6 AAAA. Затем я проверил, что IPv6 правильно работает для четырех доменных имен.

Эта статья не является подробным описанием IPv6 в Google Cloud. Есть несколько ограничений, которые, я надеюсь, Google устранит в будущем. Однако, как клиент, работающий с балансировщиком нагрузки, я теперь полностью поддерживаю IPv6 для своих доменов.

Дата создания: 11 мая 2019 г.
Последнее обновление: 11 мая 2019 г.

Google, ваши ограничения электронной почты, связанные с IPv6, - отстой.

После многих лет ожидания Google наконец-то включил IPv6 для своих почтовый сервис Gmail.А несколько недель назад они обновили свою политику, добавление одного конкретного правила: отклонять электронную почту с IP-адресов без обратного название:

% nc -Cv gmail-smtp-in.l.google.com. smtp
Подключение к gmail-smtp-in.l.google.com. 25 порт [tcp / smtp] успешно завершен!
220 mx.google.com ESMTP bz2si13656083wjc.108 - gsmtp
HELO boo.example.com
250 mx.google.com к вашим услугам
ПОЧТА ОТ: 
250 2.1.0 ОК bz2si13656083wjc.108 - gsmtp
RCPT TO: 
250 2.1.5 ОК bz2si13656083wjc.108 - gsmtp
ДАННЫЕ
354 Вперед bz2si13656083wjc.108 - gsmtp
Тема: Тест
От: Я 
Кому: Вы 

Контрольная работа.
.
  550-5.7.1 [2001: db8: 8e3f: 43c7 :: 12 16] Наша система обнаружила, что это
Сообщение 550-5.7.1 не соответствует рекомендациям по отправке IPv6 в отношении записей PTR
550-5.7.1 и аутентификация. Пожалуйста, просмотрите
550-5.7.1 https://support.google.com/mail/?p=ipv6_authentication_error для получения дополнительной информации
550 5.7.1 информация. bz2si13656083wjc.108 - gsmtp  

это отстой

  • Это не вменяемая мера защиты от спама, потому что у нее нет реверса. имя абсолютно ничего не говорит об эмитенте электронной почты или само сообщение: оно указывает только на то, что отправитель электронной почты имеет хромой провайдер доступа. Конкретно:
    • спамеры могут иметь идеальные обратные имена;
    • Обычный отправитель электронной почты
    • не может иметь обратного имени, потому что их провайдер доступа отстой, и у них нет возможности исправить это потому что все провайдеры доступа одинаково отстойны.
  • Хотя IPv6 - это будущее Интернета, эта мера не рекомендует его использование. Да, отсутствие обратных имен - отстой, но это отнюдь не по вине пользователя, и поскольку IPv6 сложнее реализовать, чем IPv4, участники Интернета должны терпеть ошибки молодежи или люди просто сохранят то, что работает, то есть IPv4.

Кстати, я бы хотел иметь идеального провайдера доступа в Интернет, но этого не существует там, где я живу, и я не думаю, что он вообще существует в любом месте.Google вместо того, чтобы жаловаться о неудачных провайдерах доступа, вы можете предложить мне оптоволоконную услугу с приличной скоростью загрузки, статический IPv4, статический IPv6 / 64, настраиваемый обратный DNS для IPv4 и IPv6 и полное уважение к сети нейтралитет. А пока я делаю все, что в моих силах, с наименьшими трудностями. провайдер доступен.

Обходной путь

Как я уже сказал, это простой обходной путь. Google не принимает мои почта по IPv6? Хорошо, я продолжу использовать IPv4.Конечно, только для Google, не надо наказывать весь интернет за чертовы ограничения Google. С Postfix вы можете сделать это таким образом (спасибо Christian Скала за его сообщение в блоге об этой проблеме). В /etc/postfix/master.fr , включить SMTP только для IPv4 клиентская служба:

 smtp4 unix - - - - - smtp -o inet_protocols = ipv4 

Затем в /etc/postfix/main.cf определите транспортный карта, если вы еще не используете ее:

 transport_maps = хэш: / etc / postfix / transport 

Создайте эту транспортную карту / etc / postfix / transport или заполните:

 Gmail.com smtp4: 

Наконец, хешируйте эту транспортную карту и пусть Postfix перезагрузит ее.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *