il y a des cas ou il est légitime d'avoir des ip publiques et ou elles ne sont pas annoncées sur internet
exemple : grx ----- Mail original ----- > De: "Jérôme Nicolle" <jer...@ceriz.fr> > À: "frnog-m...@frnog.org" <frnog@frnog.org> > Envoyé: Lundi 22 Septembre 2014 22:46:34 > Objet: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ? > > Bonjour à tous, > > Avec la raréfaction des ressources IPv4, on commence à être un paquet > à > lorgner sur des /16 ERX qui n'ont jamais été annoncés de mémoire de > RIS. > > Il parait qu'il y a des cas de figure ou l'on peut légitimement > réserver > un bloc sans le router, hors des blocs réservés (RFC 990, 1700, 1918, > 2544, 3068, 3927, 5737, 5771, 6333, 6598 et 6890). On m'a cité, en > vrac : > > - Pour des VPN [non publics] > > - Pour des réseaux privés susceptibles de s'interconnecter à d'autres > réseaux [non publics] > > - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 > et > doit s'interconnecter > > Bref, que des cas de réseaux non connectés à Internet (par > définition, > puisque les adresses ne sont pas routées). Mais pourquoi donc > utiliser > des blocs enregistrés auprès de l'IANA ou d'un RIR ? > > Le problème de base est celui de l'unicité de l'adresse. Le registre > global d'Internet est bien géré et permet de garantir qu'un bloc > n'est > pas assigné deux fois. Autant utiliser un registre existant, non ? > Mais > ça, c'était avant. Là, il y a pénurie. > > Un réseau d'entreprise, d'administration ou de recherche, n'a pas > forcement vocation à _faire partie_ d'Internet. Mais on va bien > volontiers s'y interconnecter pour bénéficier de quelques services > présents sur ce dernier. Deux possibilités : > > - NAT : dans ce cas le masquage d'adresses publiques par des adresses > du > réseau privé est un problème bien réel dans certains réseaux qui ont > numéroté au pif sans respecter les RFC. > > - Passerelles applicatives : les proxy sont parfaits pour lier le > web, > le mail, la voix et bien d'autres services dès lors qu'ils sont > nommés > au moyen d'un espace sans collision, c'est à dire par DNS et non par > adresses littérales. Alors, si le resolver interne ne connait pas la > zone, il répond l'adresse d'un proxy qui lui résout via la racine > correspondante. > > J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine > de > confiance intégrale dans l'ensemble du réseau, puisqu'on peut > déployer > RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux > proxy, > de bout en bout dans un environnement contrôlé bien plus facilement > qu'on ne le ferait sur Internet. > > Il est donc techniquement facile d'interconnecter les services de > deux > réseaux, mais pas possible simplement d'interconnecter les réseaux > eux-même. > > C'est presque heureux puisqu'on va souvent, dans le cas de > l'interconnexion de deux réseaux, vouloir contrôler un peu ce qui > passe > de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un > réseau bien conçu, avec adressage et nommage donc, sera facile à > renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le > concept de séparation de l'adresse logique et physique : LISP (RFC > 6830). > > Du coup, la fusion de deux réseaux dont les adressages peuvent être > en > collision passe logiquement par une étape préalable (voir qui aurait > du > avoir lieu bien avant) : virer les adresses en dur, tout nommer sur > le > DNS. C'est d'ailleurs une recommandation forte, à défaut d'être > considéré comme obligatoire, pour le déploiement d'IPv6 en > entreprise. > > De la même façon, la tenue d'un registre des allocations, du genre > avec > génération dynamique des zones DNS, s'impose rapidement. Le tableau > excel montre trop vite ses limites. C'est une bonne pratique pour > tout > administrateur réseau, privé ou public, non ? (un appeau à commercial > efficient-IP est caché dans ce paragraphe, saurez vous le trouver ?) > > Reste le cas de l'historique : Avant, il n'y avait pas de NAT. Avant, > les proxy étaient chers. Avant, il y avait plein d'adresses. Mais > ça... > > On ne change pas quelque chose qui marche. C'est d'ailleurs bien une > des > raisons pour lesquelles IPv6 peine à arriver sur le LAN. > > Depuis ces allocations, on peut légitimement se demander si tout le > reste du réseau n'a pas été refait de fond en combles, et que seul > l'adressage reste un vestige d'une époque bénie. > > Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le > nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous > contrat de maintenance, donc qu'on ne peut plus les utiliser dans une > entreprise sérieuse, non ? > > > Du coup, quand on me dit qu'il est normal d'adresser un LAN _non > connecté à Internet_ avec des IP publiques, que dois-je en déduire ? > > Bref, ces ERX et autres reliquats, on vote tous pour leur destruction > à > la prochaine AG du RIPE ? > > @+ > > -- > Jérôme Nicolle > 06 19 31 27 14 > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
