Segment IPv4 100.64.0.0/10

J'ai récemment appris que le segment IP 100.64.0.0/10a été réservé par l'IANA pour «l'espace d'adressage partagé».

Ma question est: Puis-je utiliser le segment IP 100.64.0.0/10comme une plage privée dans mon réseau (comme la façon dont nous utilisons 10.0.0.0/8)?

Si oui, dois-je mettre à niveau mes appliances réseau (comme un pare-feu ou un routeur) avant de l'utiliser, ou puis-je l'utiliser tel quel?

Si non, alors pourquoi pas, et à quelles fins ce segment est-il réservé?

Si possible, veuillez partager un document (ou BCP) expliquant (ou parlant) de ce segment.

Le 100.64.0.0/10bloc d'adresse n'est pas un espace d'adressage privé ; c'est un espace d'adressage partagé . Ceci est expliqué dans la RFC 6598, préfixe IPv4 réservé par l'IANA pour l'espace d'adressage partagé (j'ai mis en évidence le verbiage pertinent):

1. introduction

   L'espace d'adressage IPv4 est presque épuisé. Cependant, les FAI doivent continuer à prendre en charge la croissance IPv4 jusqu'à ce que IPv6 soit entièrement déployé. À cette fin, de nombreux FAI déploieront un périphérique NAT de qualité transporteur (CGN), tel que celui décrit dans [ RFC6264 ]. Étant donné que les CGN sont utilisés sur des réseaux où l'espace d'adressage public est attendu et que l'espace d'adressage privé actuellement disponible provoque des problèmes de fonctionnement lorsqu'ils sont utilisés dans ce contexte, les FAI nécessitent un nouveau bloc d'adresse IPv4 / 10. Ce bloc d'adresse sera appelé «espace d'adressage partagé» et sera utilisé pour numéroter les interfaces qui connectent les périphériques CGN à l'équipement CPE (Customer Premises Equipment).

   L'espace d'adressage partagé est similaire à l' espace d'adressage privé [ RFC1918 ] en ce qu'il n'est pas un espace d'adressage globalement routable et peut être utilisé par plusieurs équipements. Cependant, l'espace d'adressage partagé a des limitations dans son utilisation que l' espace d'adressage privé [ RFC1918 ] actuel n'a pas. En particulier, l'espace d'adressage partagé ne peut être utilisé que dans les réseaux de fournisseurs de services ou sur des équipements de routage capables de traduire des adresses sur des interfaces de routeur lorsque les adresses sont identiques sur deux interfaces différentes.

   Ce document demande l'allocation d'un bloc d'adresse IPv4 / 10 à utiliser comme espace d'adressage partagé. Dans les conversations avec de nombreux FAI, a / 10 est le plus petit bloc qui leur permettra de déployer des CGN sur une base régionale sans nécessiter de CGN imbriqués. Par exemple, comme décrit dans [ ISP-SHARED-ADDR ], a / 10 est suffisant pour desservir les points de présence dans la région de Tokyo.

   Ce document détaille l'allocation d'un bloc d'adresses IPv4 à usage spécial supplémentaire et les mises à jour [ RFC5735 ].

Ce bloc d'adresses est réservé aux fournisseurs de services pour pouvoir faire du NAT de manière à ne pas entrer en conflit avec l'espace d'adressage privé normal. Si vous commencez à l'utiliser comme espace privé, vous risquez de créer à nouveau un conflit, alors non: ne l'utilisez pas comme espace privé.

La RFC 6598 dit officiellement

Les appareils DOIVENT être capables d'effectuer une traduction d'adresse lorsque des plages identiques d'espace d'adressage partagé sont utilisées sur deux interfaces différentes.

La plupart des implémentations NAT ne sont pas capables de gérer ce cas au moins sans piratage supplémentaire (sur linux par exemple, je crois que pour implémenter NAT avec un espace interne et externe qui se chevauchent, vous auriez besoin de NAT deux fois le trafic dans deux espaces de noms de réseau différents).

Vous êtes bien sûr libre d'ignorer ce paragraphe et d'utiliser quand même les adresses. Les RFC ne sont pas des lois. Utiliser "l'espace d'adressage partagé" pour vos réseaux internes est certainement un moindre mal que d'utiliser l'espace de squat.

Si vous choisissez de l'ignorer et que votre FAI modifie votre connexion à CGN, il y a un risque de résolution des conflits.

Donc, comme beaucoup de choses, cela revient à une évaluation des risques. À quel point avez-vous besoin d'un espace d'adressage privé supplémentaire? quelle est la probabilité que votre connexion Internet soit mise derrière un CGN à l'avenir?

Si vous songez à utiliser ce bloc parce que vous manquez d'adresses privées régulières, il est probablement temps de jeter un long regard sur vos politiques d'adressage IP. Avez-vous vraiment des millions d'appareils sur vos réseaux internes? Vous gaspillez des PI avec des allocations surdimensionnées? n'est-il pas temps de penser à IPv6?

Techniquement, vous pouvez utiliser cet espace dans votre réseau, il s'agit simplement d'un autre sous-réseau IP, mais vous ne pouvez pas publier ce réseau sur Internet public et tous les périphériques internes utilisant ces IP devraient avoir un NAT source appliqué avant que le trafic n'entre sur Internet. Je ne recommanderais cependant pas la duplication d'un sous-réseau public.

Ma compréhension de cela (peut être erronée) est que les FAI avec une pénurie d'adresses IPv4 externes enregistrées peuvent choisir de mettre une adresse de cette plage comme adresse EXTÉRIEURE du routeur d'un client. Ils appliqueront ensuite un NAT plus loin (sur une appliance NAT capable de nombreuses entrées actives) si le trafic client doit être acheminé en dehors du FAI. Cela signifie que SI vous avez votre propre / 24 ou plus d'adresses externes enregistrées que vous utilisez pour TOUTES vos adresses Internet externes, vos FAI n'auront pas besoin d'attribuer à votre CPE une adresse à partir de 100.64.0.0/10 - donc ces adresses être disponible pour que vous puissiez l'utiliser en interne. N'essayez simplement pas de les acheminer vers quelqu'un d'autre - même sur des interconnexions privées, car vous ne savez pas si leur FAI les utilise.

100.64.0.0 cette adresse IP appartient à l'adresse IP de classe A. Il existe une plage d'adresses IP privées pour chaque classe d'adresses IP. Pour la plage IP privée de classe A, 10.0.0.0/8. Donc, si vous voulez une adresse IP privée de classe A, elle appartient au segment IP 10.xxx. Vous ne pouvez pas allouer l'adresse IP 100.64.0.0 en tant qu'IP privée.