Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?

Wed, 20 Nov 2013 13:29:56 -0800 

Le 20/11/2013 15:12, Jérôme Nicolle a écrit :



Le principe des IP définie comme "privées" dans la RFC1918 est qu'elle 
ne doivent pas apparaitre sur Internet.



De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni 
même les forwarder dans la GRT ou la VRF qui porte des routes 
publiques. Les deux son théoriquement sensées rester à part. Sur un 
réseau bien tenu, tu devrais même dropper les paquets ayant pour 
source ou destination une telle adresse, sans même y réflechir, en 
ingress sur tous les ports (hors VRF privées) de ton réseau.



Du coup, avec un ensemble de ficelles de configuration toutes prêtes 
intégrant tous les filtres pour respecter cette convention, ainsi que 
quelques règles de sécurité courantes, alors ça oblige à reprendre pas 
mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et 
abandonner la convention.



Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas 
fondamentalement avariées, mais si on commence à ne plus respecter les 
règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite 
? Au diable les RIR, on se sert dans le pool ?



Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de 
libertés alors qu'on est tous sensés resserer la vis pour consolider 
un réseau de plus en plus critique...



Sur le principe on est tous d'accord q'une interco BGP en rfc1918 c'est 
juste abusé. (meme si techniquement faisable, j'ai du mal à croire que 
l'opérateur en question soit à deux @IP prés).



Après il y a le débat de melanger des IP rfc1918 et des publiques dans 
la table de routage Internet. C'est laid on est d'accord, mais cela 
amène parfois a plus de complexité , aka multiplier les vrf(s)/routing 
instance. Je ne suis pas dogmatique sur la question, tant que tu filtre 
correctement en sortie.



Et la dernière grande question existentielle : comment tu construis ton 
IGP ? est ce que l'adressage de ton core  doit il être en @IP publique ?
Évidement que ça parait bien, mais mine de rien, même sur un petit 
réseau cela fait du gaspillage pour respecter une convention.


Une solution : construire son core en IPV6 :)


PS : Malheureusement certain en sont rendus à faire des économies de 
bout de chandelles.


--
Raphael Mazelier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/






















					Répondre à