Le 20/11/2013 15:12, Jérôme Nicolle a écrit :
Le principe des IP définie comme "privées" dans la RFC1918 est qu'elle
ne doivent pas apparaitre sur Internet.
De ce fait, on ne dois pas accepter de routes pour ces préfixes, ni
même les forwarder dans la GRT ou la VRF qui porte des routes
publiques. Les deux son théoriquement sensées rester à part. Sur un
réseau bien tenu, tu devrais même dropper les paquets ayant pour
source ou destination une telle adresse, sans même y réflechir, en
ingress sur tous les ports (hors VRF privées) de ton réseau.
Du coup, avec un ensemble de ficelles de configuration toutes prêtes
intégrant tous les filtres pour respecter cette convention, ainsi que
quelques règles de sécurité courantes, alors ça oblige à reprendre pas
mal de prefix-list et d'ACL pour pouvoir utiliser un tel prefixe et
abandonner la convention.
Bon, ce n'est qu'une convention, les IP RFC1918 ne sont pas
fondamentalement avariées, mais si on commence à ne plus respecter les
règles qui font Internet, qu'est ce qui va nous tomber dessus ensuite
? Au diable les RIR, on se sert dans le pool ?
Ca m'inquiette vraiment que certains d'entre nous prennent ce genre de
libertés alors qu'on est tous sensés resserer la vis pour consolider
un réseau de plus en plus critique...
Sur le principe on est tous d'accord q'une interco BGP en rfc1918 c'est
juste abusé. (meme si techniquement faisable, j'ai du mal à croire que
l'opérateur en question soit à deux @IP prés).
Après il y a le débat de melanger des IP rfc1918 et des publiques dans
la table de routage Internet. C'est laid on est d'accord, mais cela
amène parfois a plus de complexité , aka multiplier les vrf(s)/routing
instance. Je ne suis pas dogmatique sur la question, tant que tu filtre
correctement en sortie.
Et la dernière grande question existentielle : comment tu construis ton
IGP ? est ce que l'adressage de ton core doit il être en @IP publique ?
Évidement que ça parait bien, mais mine de rien, même sur un petit
réseau cela fait du gaspillage pour respecter une convention.
Une solution : construire son core en IPV6 :)
PS : Malheureusement certain en sont rendus à faire des économies de
bout de chandelles.
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
