Bonjour à tous, Avec la raréfaction des ressources IPv4, on commence à être un paquet à lorgner sur des /16 ERX qui n'ont jamais été annoncés de mémoire de RIS.
Il parait qu'il y a des cas de figure ou l'on peut légitimement réserver un bloc sans le router, hors des blocs réservés (RFC 990, 1700, 1918, 2544, 3068, 3927, 5737, 5771, 6333, 6598 et 6890). On m'a cité, en vrac : - Pour des VPN [non publics] - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux [non publics] - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit s'interconnecter Bref, que des cas de réseaux non connectés à Internet (par définition, puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Le problème de base est celui de l'unicité de l'adresse. Le registre global d'Internet est bien géré et permet de garantir qu'un bloc n'est pas assigné deux fois. Autant utiliser un registre existant, non ? Mais ça, c'était avant. Là, il y a pénurie. Un réseau d'entreprise, d'administration ou de recherche, n'a pas forcement vocation à _faire partie_ d'Internet. Mais on va bien volontiers s'y interconnecter pour bénéficier de quelques services présents sur ce dernier. Deux possibilités : - NAT : dans ce cas le masquage d'adresses publiques par des adresses du réseau privé est un problème bien réel dans certains réseaux qui ont numéroté au pif sans respecter les RFC. - Passerelles applicatives : les proxy sont parfaits pour lier le web, le mail, la voix et bien d'autres services dès lors qu'ils sont nommés au moyen d'un espace sans collision, c'est à dire par DNS et non par adresses littérales. Alors, si le resolver interne ne connait pas la zone, il répond l'adresse d'un proxy qui lui résout via la racine correspondante. J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, de bout en bout dans un environnement contrôlé bien plus facilement qu'on ne le ferait sur Internet. Il est donc techniquement facile d'interconnecter les services de deux réseaux, mais pas possible simplement d'interconnecter les réseaux eux-même. C'est presque heureux puisqu'on va souvent, dans le cas de l'interconnexion de deux réseaux, vouloir contrôler un peu ce qui passe de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un réseau bien conçu, avec adressage et nommage donc, sera facile à renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le concept de séparation de l'adresse logique et physique : LISP (RFC 6830). Du coup, la fusion de deux réseaux dont les adressages peuvent être en collision passe logiquement par une étape préalable (voir qui aurait du avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le DNS. C'est d'ailleurs une recommandation forte, à défaut d'être considéré comme obligatoire, pour le déploiement d'IPv6 en entreprise. De la même façon, la tenue d'un registre des allocations, du genre avec génération dynamique des zones DNS, s'impose rapidement. Le tableau excel montre trop vite ses limites. C'est une bonne pratique pour tout administrateur réseau, privé ou public, non ? (un appeau à commercial efficient-IP est caché dans ce paragraphe, saurez vous le trouver ?) Reste le cas de l'historique : Avant, il n'y avait pas de NAT. Avant, les proxy étaient chers. Avant, il y avait plein d'adresses. Mais ça... On ne change pas quelque chose qui marche. C'est d'ailleurs bien une des raisons pour lesquelles IPv6 peine à arriver sur le LAN. Depuis ces allocations, on peut légitimement se demander si tout le reste du réseau n'a pas été refait de fond en combles, et que seul l'adressage reste un vestige d'une époque bénie. Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous contrat de maintenance, donc qu'on ne peut plus les utiliser dans une entreprise sérieuse, non ? Du coup, quand on me dit qu'il est normal d'adresser un LAN _non connecté à Internet_ avec des IP publiques, que dois-je en déduire ? Bref, ces ERX et autres reliquats, on vote tous pour leur destruction à la prochaine AG du RIPE ? @+ -- Jérôme Nicolle 06 19 31 27 14 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
