Adoção do IPv6 e os desafios dos resolvedores iterativos só IPv6

02/08/2023

Por Momoka Yamamoto

Publicado originalmente no blog de APNIC

Com a crescente implantação de redes IPv6, surgiu um desafio: algumas zonas DNS são atendidas*** exclusivamente por servidores autoritativos só IPv4. Isso pode causar problemas para os resolvedores iterativos só IPv6 que não têm acesso a uma rede IPv4, resultando na impossibilidade de resolver todas as zonas DNS.

Na recente conferência DNS-OARC 39, Toyota Yasunobu e eu apresentamos uma pesquisa sobre esse assunto. Discutimos como a implantação de redes IPv6 de pilha única com um serviço NAT64 pode ser facilitada usando um resolvedor com suporte exclusivo para IPv6 que usa NAT64. Neste artigo resumimos os pontos principais da nossa apresentação e explicamos como os resolvedores podem ter “suporte exclusivo para IPv6”.

NAT64 é uma tecnologia que permite que as redes só IPv6 se comuniquem com servidores só IPv4. Transforma endereços IPv4 em endereços IPv6 e vice-versa, usando um formato especial chamado ‘IPv4-Embedded IPv6 Address Format’ descrito na RFC 6052. Isso permite que dispositivos só IPv6 se comuniquem com servidores só IPv4 por meio do serviço NAT64 na rede (para obter mais informações, consulte a RFC 6146).

Na medida em que a adoção do IPv6 continua crescendo, a implantação de redes só IPv6 está se tornando cada vez mais difundida. No entanto, a transição para uma operação só IPv6 apresenta desafios específicos, um dos quais é que algumas zonas DNS são atendidas exclusivamente por servidores autoritativos só IPv4. Isso pode causar problemas para os resolvedores iterativos só IPv6 uma vez que estes não têm acesso a uma rede IPv4, e podem não ser capazes de resolver estas zonas DNS.

Figura 1: Esquema geral de NAT64.

A seguir, um exemplo de um resolvedor iterativo só IPv6 que não pode resolver ieee.org. O servidor raiz e os servidores autoritativos subsequentes são de pilha dupla, mas o ns1.ieee.org lida com uma pilha só IPv4, o que impede que o resolvedor iterativo só IPv6 lhe envie consultas.

Figura 2: Resolvedor iterativo só IPv6 que não resolve ieee.org.

Hoje, muitos resolvedores são só IPv4 ou pilha dupla. No entanto, o número de redes só IPv6 está crescendo, e as redes só IPv6 que desejam minimizar o uso de endereços IPv4 apenas para dispositivos NAT64 podem querer que o resolvedor iterativo seja só IPv6.

Leia também: Governo, teles e universidades são agentes fundamentais para implementação do IPv6

À esquerda na Figura 3 há um exemplo de resolvedores iterativos atuais com um endereço IPv4. À direita vemos um resolvedor iterativo dentro da rede só IPv6 sem um endereço IPv4; esta é a topologia que queremos alcançar.

Figura 3: Topologia de rede que queremos alcançar, em que o resolvedor está dentro da rede só IPv6.

Para entender quantos resolvedores iterativos só IPv6 têm problemas para resolver nomes de domínio, fizemos um pequeno experimento no qual tentamos resolver registros A para os 100.000 domínios principais classificados na lista Tranco usando tanto um resolvedor só IPv4 quanto um resolvedor só IPv6. Os resultados revelaram que o resolvedor só IPv4 conseguiu resolver com sucesso 99,5% dos domínios, enquanto o resolvedor só IPv6 conseguiu resolver apenas 71,7% dos domínios. Esta diferença importante destaca os desafios impostos pelos resolvedores iterativos só IPv6 e a necessidade de uma solução para esse problema.

	Resolução de registros A	Resolução de registros AAAA
Resolução com IPv4	0,5 %	0,6 %
Resolução com IPv6	28,3 %	28,1 %

Tabela 1: A porcentagem de resolvedores iterativos que não conseguem resolver domínios, dos 100 000 principais da lista de Tranco.

Propomos que uma possível solução para este problema é um resolvedor iterativo só IPv6 que use NAT64. Nos casos em que esse resolvedor encontra apenas um registro A para o servidor autoritativo, este realiza a síntese de endereços para converter o endereço IPv4 do servidor em um endereço IPv6. Ao enviar pacotes IPv6 com o endereço de destino definido para o endereço IPv6 sintetizado, o resolvedor iterativo pode iniciar a comunicação com os servidores autoritativos só IPv4 usando NAT64 na rede. Isso permite que uma rede IPv6 de pilha única com serviço NAT64 tenha um resolvedor iterativo com apenas um endereço IPv6.

Figura 4: Solução proposta: O resolvedor que executa a tradução do lado do cliente.

Nós temos apresentado um rascunho informativo da Internet que documenta esta proposta para um resolvedor iterativo só IPv6 que usa NAT64. Apresentamos o rascunho ao grupo de trabalho v6ops durante o IETF 115 e recebemos comentários positivos por meio da lista de correio. Também há implementações de um resolvedor iterativo só IPv6 que usa NAT64 tanto no BIND quanto no Unbound. No entanto, estas estão atualmente na forma de pedido de extração (Pull Request ou PR) e ainda não foram incorporadas à linha principal.

Em conclusão, a implantação de redes só IPv6 está em andamento, mas o desafio representado pelos resolvedores iterativos só IPv6 precisa ser enfrentado para facilitar o bom funcionamento dessas redes. Esse desafio pode ser superado utilizando um resolvedor iterativo só IPv6 que use NAT64, e as redes só IPv6 podem operar com um resolvedor iterativo em funcionamento. Os operadores e engenheiros de redes deveriam considerar a implementação dessa solução para garantir a implantação e operação bem-sucedidas dos resolvedores iterativos só IPv6.

Momoka Yamamoto é uma estudante de mestrado do primeiro ano na Universidade de Tóquio com interesse em padronização de redes.