On Mon, Sep 22, 2014, at 22:46, Jérôme Nicolle wrote: > - Pour des VPN [non publics] > - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux > [non publics] > - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit > s'interconnecter > > Bref, que des cas de réseaux non connectés à Internet (par définition,
Les gens ont tendance a confondre "publiquement accessible sur Internet avec "globallement unique". Les adresses aloues par les RIR (et avant eux par IANA directement) n'ont pas necessairement vocation a etre "publiques". Leur vocation est celle d'etre "globallement uniques". Permier pas sera donc d'arreter de parler "IP publique" / "IP prive" ici meme. > puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser > des blocs enregistrés auprès de l'IANA ou d'un RIR ? Par ignorance ? Parce-qu'a la base Internet n'etait pas juste "le reseau du porn, spam, warez, malware et DoS", mais une interconnexion de plusieurs reseaux. De nos jour, l'aspect "interconnexion etre reseaux ne partageant pas les meme politiques" a ete un peu oubliee. Ah, tiens, si on mettait les serveurs DNS/AD de la bien-aimee zone ".local" dans une des reseaux suivants: - 192.36.148.0/24 - 192.112.36.0/24 - 192.5.5.0/24 (joli !!!) - 192.228.79.0/24 - plein d'autres reseaux commencant par 192.petit numero Huh quoi ? 192.*.*.* c'etait pas tout reserve pour des "IP privees" ??? > Le problème de base est celui de l'unicité de l'adresse. Le registre > global d'Internet est bien géré et permet de garantir qu'un bloc n'est > pas assigné deux fois. Autant utiliser un registre existant, non ? Mais > ça, c'était avant. Là, il y a pénurie. Penurie de quoi ? D'adresses RFC1918 ? C'est hyper-rare. Parce-que le reflexe a la mode aujourd'hui, c'est de mettre systematiquement et sans possibilite d'appel des RFC1918 partout. Le NAT c'est bien-sur le "holy grail", meme pour des services qui doivent etre accessibles depuis l'internet par design. > - NAT : dans ce cas le masquage d'adresses publiques par des adresses du > réseau privé est un problème bien réel dans certains réseaux qui ont > numéroté au pif sans respecter les RFC. Parfois aussi dans d'autres qui respectent au moins le RFC1918. > - Passerelles applicatives : les proxy sont parfaits pour lier le web, > le mail, la voix et bien d'autres services dès lors qu'ils sont nommés > au moyen d'un espace sans collision, c'est à dire par DNS et non par "Notre produit fait tout (sauf les choses auxquelles le marketing n'a pas pense". Expliquer aussi SSH au marketing.... que le sans le trafic marque "rouge-danger" dans l'IDP/IPS/FWNG (coucou PaloAlto) il y a des gens (dont les marketeux eux-memes) qui vont au pole emploi. > J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de > confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer > RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, > de bout en bout dans un environnement contrôlé bien plus facilement > qu'on ne le ferait sur Internet. ??????? > Il est donc techniquement facile d'interconnecter les services de deux > réseaux, mais pas possible simplement d'interconnecter les réseaux > eux-même. Quoi qu'il arrive, ca finit toujours par la casse des bien detestees addresses publiques^Wglobalement uniques. > de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un > réseau bien conçu, avec adressage et nommage donc, sera facile à > renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le > concept de séparation de l'adresse logique et physique : LISP (RFC 6830). On ne doit pas vivre sur la meme planete. Sur la mienne, le permier "consultat" externe qui passe (et qui a forcement raison, parce-qu'il est "consultant") va expliquer les bien-faits des addresses IP en dur.... et de l'addressage RFC1918, meme pour des services qui DOIVENT etre exposes a des tiers. > avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le > DNS. C'est d'ailleurs une recommandation forte, à défaut d'être > considéré comme obligatoire De ce cote de l'univers, il y a plutot le DSI qui decrete "on touche rien; ca fait 10 ans que ca marche comem ca et c'est tres bien". > pour le déploiement d'IPv6 en entreprise. IPvquoi ? Dans la meme serie: 640K should be enough for everyone. Mon reseau IPX repond a tous nos besoins. Je vois pas l'interet de l'IP. En plus ,de nos jours on m'explique que "Il va falloir attendre longtemps avant qu'un client (TPE/PME) demande de l'IPv6", et que donc pas besoin. > Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le > nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous > contrat de maintenance, donc qu'on ne peut plus les utiliser dans une > entreprise sérieuse, non ? La machine, oui,ok. Par contre l'appli qui tourne dessus, c'est parfois une totalement autre histoire. > Du coup, quand on me dit qu'il est normal d'adresser un LAN _non > connecté à Internet_ avec des IP publiques, que dois-je en déduire ? "non connecte a internet" : dans strictement aucun cas le reseau ne communiquera pas avec l'Internet. Pas d'exception possible ou envisageable. Si jamais il peut eventuellement, probablement penser a peut-etre acceder et/ou etre accessible a/depuis l'Internet, Faut se souvenir que l'Internet a lui aussi des regles. > Bref, ces ERX et autres reliquats, on vote tous pour leur destruction à la > prochaine AG du RIPE ? Non. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
