Dois-je utiliser des adresses lien-local lorsqu'une adresse IP interne non routable est requise?

11

J'ai une appliance réseau qui contient des fonctionnalités d'équilibrage de charge - dans ma conception, ces fonctionnalités sont uniquement destinées à une utilisation interne au sein de l'appliance. Rien ne doit JAMAIS leur parler en externe et, en outre, le client a peu d'adresses IP dans la plage IP des appareils.

Serait-il acceptable d'utiliser la gamme Link-Local pour ces fonctionnalités? Par exemple 169.254.1.1,.

NB: L'appareil en question ne permet pas d'utiliser des IP de bouclage pour ces fonctionnalités.

Dan
la source
1
S'ils ne sont utilisés que pour communiquer d'un service à l'autre au sein du même hôte, y a-t-il une raison pour laquelle vous n'utiliseriez pas d'adresse de bouclage?
Apprendre le
@YLearn Pour être juste - je n'en ai pas vraiment, même si je ne peux pas me débarrasser du sentiment que ce n'est pas vraiment de quoi parle une adresse de bouclage mais peut-être que je me trompe? Quoi qu'il en soit, je suis allé le tester et l'appliance ne vous permettra pas de configurer quoi que ce soit sur les IP de bouclage!
Dan

Réponses:

5

Non , la RFC3927 interdit l' attribution manuelle d'adresses dans ce bloc.

Vous devriez utiliser les adresses forment les blocs fournis par RFC1918 , 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16. Ces adresses peuvent être utilisées librement, à condition que les itinéraires ne soient pas annoncés sur Internet. N'oubliez pas de sélectionner un sous-réseau qui n'est pas utilisé par ailleurs dans votre environnement.

84104
la source
Comme vous ne savez peut-être pas quels sous-réseaux sont utilisés dans l'environnement, il est préférable de le rendre configurable. Il pourrait suivre l'exemple de nombreux routeurs domestiques: choisir un 192.168.x.0/24sous-réseau par défaut et permettre à l'administrateur de changer x. Ne devrait probablement pas être réglé par défaut sur 0 ou 1, car ce sont les valeurs par défaut courantes des routeurs.
Barmar
4

Les détails du RFC3927 semblent penser que ce n'est pas strictement correct.

Oui , allez-y. Les raisons pour lesquelles cela est interdit ne vont pas entrer en jeu. C'est bien mieux que d'autres situations courantes, comme la réquisition 1.1.1.0/24.

Si vous voulez jouer gentiment, vous pouvez utiliser soit 169.254.0.0/24ou 169.254.255.0/24.

2.1. Sélection d'adresse de liaison locale

Lorsqu'un hôte souhaite configurer une adresse IPv4 Link-Local, il sélectionne une adresse à l'aide d'un générateur de nombres pseudo-aléatoires avec une distribution uniforme dans la plage de 169.254.1.0 à 169.254.254.255 inclus.

Le préfixe IPv4 169.254 / 16 est enregistré auprès de l'IANA à cet effet. Les 256 premières et 256 dernières adresses du préfixe 169.254 / 16 sont réservées pour une utilisation future et NE DOIVENT PAS être sélectionnées par un hôte utilisant ce mécanisme de configuration dynamique.

84104
la source
Pourquoi suggéreriez-vous d'utiliser les deux gammes que l'IANA a réservées pour une utilisation future? Cela semble être un mauvais conseil au cas où l'IANA choisirait d'utiliser ces plages réservées pour une raison quelconque.
Apprendre le
@YLearn Vous avez raison, c'est une violation des spécifications. Cependant, l'autre option impliquant ces adresses est une violation claire. Je pense qu'il vaut mieux faire le mauvais choix plus obscur.
84104
1
Donc, pour paraphraser votre réponse et votre commentaire, l'utilisation des adresses réservées est une violation et l'utilisation d'une affectation manuelle à partir de la plage générée est une violation. Alors, la réponse devrait être "Non, c'est une mauvaise idée. Vous devez trouver une meilleure solution." Si les gens devaient simplement ignorer les normes et les spécifications lorsqu'ils sont gênés par eux, alors la standardisation, l'interopérabilité et toute la base de la mise en réseau / Internet sont tous en danger ..
Apprendre le
D'accord avec @YLearn. Link-Local est pour l'attribution automatique d'hôte IP en l'absence de DHCP, pas pour la configuration manuelle dans des circonstances spécifiques. Découper un morceau hors des plages RFC1918 (même un non actuellement utilisé) serait la seule option valide.
Ashley
3

Pour répondre à votre question, non, vous ne devriez pas. La RFC3927 de la section 1.6 interdit ce type d'utilisation.

Plus précisément, le dernier paragraphe de cette section dit ceci:

Les administrateurs souhaitant configurer leurs propres adresses locales (en utilisant une configuration manuelle, un serveur DHCP ou tout autre mécanisme non décrit dans ce document) doivent utiliser l'un des préfixes d'adresse privée existants [RFC1918], pas le préfixe 169.254 / 16.

Cela exclut l'ensemble / 16 pour ce type d'utilisation, vous devez donc rechercher une alternative différente.

Ma première suggestion serait d'utiliser une interface de bouclage. Les interfaces de bouclage sont parfaites pour la communication entre les services d'un même hôte qui ne nécessitent pas d'accès en dehors de cet hôte. Ils sont utilisés de cette manière par un certain nombre de services, pour les interfaces de gestion, les tests et à d'autres fins.

Vous avez mentionné dans vos commentaires / modifications que l'appliance ne vous permettra pas de le faire. Vous ne mentionnez pas le fournisseur / modèle ou les versions de code, donc ma première recommandation est que vous contactiez le fournisseur. Si c'est vraiment une utilisation valide de l'appareil, ils peuvent être disposés à ajuster leur code pour permettre l'utilisation d'une interface de bouclage; ils n'ont peut-être tout simplement pas pris en compte ce cas d'utilisation lors de l'écriture de code pour valider les adresses IP. Ou ils peuvent vous dire pourquoi c'est une mauvaise idée et pourquoi cela devrait être fait d'une autre manière.

Si une interface de bouclage est vraiment hors de question, vous devez utiliser l' espace d'adressage RFC1918 à cet effet. Assurez-vous de travailler avec le personnel informatique concerné en sélectionnant la plage IP à utiliser pour éviter tout autre problème imprévu sur le réseau.

YLearn
la source