[Internet-e-architetture-di-rete] la suite tcp/ip
Francesca Spinozzi
francesca.spinozzi at gmail.com
Tue May 10 21:09:55 CEST 2016
Sono rimasta un po' indietro, ma inizio il recupero degli esercizi
RFC 1918 – Assegnazione di indirizzi per reti private.
1. Si descrive qui l'assegnazione di indirizzi per reti private, la
quale consente una piena connettività di livello network tra tutti gli
elaboratori interni ad un'organizzazione e tra tutti gli elaboratori
pubblici di diverse organizzazioni. Si intende qui un'organizzazione
come un'entità che gestisce autonomamente una rete usando TCP/IP ed in
particolare determinando il piano di indirizzi e gli assegnamenti
degli indirizzi all'interno di quella rete.
2. La diffusione della tecnologia TCP/IP in tutto il mondo, anche al
di fuori di Internet, e la crescita esponenziale di quest'ultima
introduce preoccupazioni per la comunità, come il fatto che lo spazio
di indirizzamento unico a livello globale termini e che il
sovraccarico di instradamento cresca oltre le capacità degli ISP. Per
cercare di contenere il sovraccarico, gli ISP ottengono un blocco di
spazio di indirizzamento da un registro degli indirizzi ed assegnano
ai loro clienti, che dovranno rinumerare i loro computer, indirizzi
presi all'interno di questo, aggregando insieme i percorsi verso molti
clienti che appaiono agli altri provider come un singolo percorso.
Se un'organizzazione acquisisce indirizzi IP globalmente unici da un
registro Internet, non è detto che questa abbia connettività IP su
Internet, piuttosto è probabile che abbia bisogno di cambiare gli
indirizzi IP di tutti i suoi elaboratori pubblici (che necessitano
cioè di connettività IP su Internet), non considerando se gli
indirizzi usati dall'azienda inizialmente siano globalmente unici o
meno.
Per allungare la vita dello spazio di indirizzamento IPv4, i registri
degli indirizzi necessitano di più motivazioni rispetto a prima per
assegnare alle organizzazioni spazio di indirizzamento addizionale.
Gli elaboratori interni ad organizzazioni che utilizzano IP si possono
dividere in tre categorie:
- CATEGORIA 1: elaboratori che non richiedono accesso ad elaboratori
in altre organizzazioni o ad Internet in generale, che possono
utilizzare indirizzi IP che non siano ambigui solo all'interno
dell'organizzazione;
- CATEGORIA 2: elaboratori che hanno bisogno di accedere ad un insieme
limitato di servizi esterni (ad esempio: e-mail, FTP, netnews, login
remoto) che possono essere gestiti da gateway intermedi (per esempio
gateway di livello application), per i quali un accesso esterno senza
restrizioni (fornito via connettività IP) può non essere necessario ed
anche indesiderabile per ragioni di privacy e/o sicurezza; come gli
elaboratori nella prima categoria, potrebbero utilizzare indirizzi IP
che non sono ambigui all'interno di un'organizzazione, ma possono
esserlo tra organizzazioni diverse;
- CATEGORIA 3: elaboratori che hanno bisogno di accesso di livello
network fuori dall'azienda (fornito attraverso connettività IP) ed
hanno bisogno di indirizzi IP che sono globalmente non ambigui.
Gli elaboratori che rientrano nelle prime due categorie sono qui
chiamati “privati”, quelli che rientrano nella terza “pubblici”.
3. Spazio di indirizzamento privato
Lo IANA (Autorità Internet per i Numeri Assegnati) ha riservato i
seguenti tre blocchi dello spazio di indirizzamento IP per reti
private:
- 10.0.0.0 - 10.255.255.255 (prefisso 10/8) – blocco da 24 bit
- 172.16.0.0 – 172.31.255.255 (prefisso 172.16/12) – blocco da 20 bit
- 192.168.0.0 – 192.168.255.255 (prefisso 192.168/16) – blocco da 16 bit
Indirizzi interni a questo spazio di indirizzamento privato saranno
unici soltanto all'interno dell'organizzazione o dell'insieme di
organizzazioni che scelgono di operare insieme su questo spazio per
comunicare tra di loro nella loro propria rete privata.
Le organizzazioni che hanno bisogno di spazio di indirizzamento
globalmente unico devono ottenere indirizzi da un registro Internet,
che non li assegnerà mai loro dai blocchi sopra definiti
Per usare lo spazio di indirizzamento privato, un'organizzazione ha
bisogno di determinare quali elaboratori poter classificare come
privati; questi possono comunicare con tutti gli altri elaboratori
all'interno dell'organizzazione, sia pubblici che privati, ma non
possono avere connettività IP verso qualsiasi elaboratore fuori
dall'organizzazione; possono però avere accesso a servizi esterni
attraverso gateway intermedi (per esempio, gateway di livello
application).
Tutti gli altri elaboratori saranno pubblici ed useranno uno spazio di
indirizzamento globalmente unico assegnato da un registro Internet;
questi possono comunicare con altri elaboratori all'interno di
organizzazioni sia pubbliche che private, avere connettività IP verso
elaboratori pubblici all'esterno dell'organizzazione ma non possono
avere connettività verso elaboratori privati di altre organizzazioni.
Gli indirizzi privati non hanno significato a livello globale; le
informazioni di instradamento circa le reti private non devono essere
diffuse su collegamenti tra le organizzazioni, e i pacchetti con
indirizzi privati di sorgente o destinazione non dovrebbero essere
inoltrati su tale collegamento.
I router in reti che non usano spazio di indirizzamento privato,
specialmente quelli degli ISP, dovrebbero essere configurati per
rifiutare informazioni di instradamento circa reti private, non
trattando il rifiuto come un errore di protocollo di instradamento.
4. Vantaggi nell'uso dello spazio di indirizzamento privato:
- Conservare lo spazio di indirizzamento unico globale
- Flessibilità per le organizzazioni nella progettazione della rete
(avendo a disposizione più spazio di indirizzamento di quello che
potrebbero ottenere dal blocco globalmente unico)
Svantaggi:
-Nel caso in cui un'organizzazione non connessa precedentemente ad
Internet abbia utilizzato spazio di indirizzamento diverso da quello
privato senza averne l'assegnazione da IANA , se tale spazio è stato
assegnato ad altra organizzazione, connettendosi entrambe ad Internet
potrebbero esserci seri problemi di instradamento a causa
dell'indirizzamento ambiguo
- Riduzione della flessibilità nell'accesso ad Internet di
un'organizzazione, che necessita di essere rinumerata del tutto o in
parte per acquisire connettività IP su Internet, con un costo
dipendente dal numero degli elaboratori che passano da pubblici a
privati.
- Il problema della rinumerazione può presentarsi anche in caso di
unione di più reti private, che utilizzavano lo spazio di
indirizzamento in maniera indipendente l'una dall'altra, in quanto
alcuni indirizzi dopo l'unione potrebbero non essere unici.
5. Considerazioni operative:
- Una possibile strategia consiste nel progettare prima la parte
privata della rete ed usare lo spazio di indirizzamento privato per
tutti i collegamenti interni, poi pianificare le sottoreti pubbliche
per postazioni di cui si ha bisogno e progettare la connettività
esterna.
- E' possibile il cambio di stato di uno o più elaboratori (da privato
o pubblico o viceversa), rinumerando soltanto quelli coinvolti e
cambiando la connettività fisica, se necessario. Ove siano prevedibili
tali cambiamenti è consigliabile disporre mezzi fisici separati per
sottoreti pubbliche e private e raggruppare elaboratori con bisogni
simili di connettività su loro proprie sottoreti.
- E' consigliabile utilizzare un blocco da 24 bit di uno spazio di
indirizzamento privato; se fare sottoreti è un problema, può essere
utilizzato un blocco da da 16 bit o un blocco da 20 bit.
- Avere indirizzi sia pubblici sia privati sullo stesso mezzo fisico è
possibile, ma si incorre in una progettazione insidiosa.
- Si raccomanda fortemente che i router che connettono organizzazioni
a reti esterne siano impostati con appropriati filtri di pacchetto e
di routing su entrambe le estremità del collegamento perché si
prevenga la perdita di pacchetti ed informazioni di routing.
- Un'organizzazione dovrebbe anche filtrare qualsiasi rete privata
dalle informazioni di routing in arrivo per proteggere se stessa da
situazioni di routing ambigue che possono accadere se percorsi verso
spazio di indirizzamento privato si dirigono all'esterno della rete.
-Due siti, che entrambi operano insieme su di uno spazio di
indirizzamento privato, possono comunicare tra di loro su una rete
pubblica, usando un metodo di incapsulamento ai loro estremi e
mantenendo così privati i loro indirizzi privati.
-Scegliere a caso i sottoblocchi di indirizzi privati per
l'assegnazione interna abbassa il rischio di violazione dell'unicità
degli indirizzi nel caso in cui due o più organizzazioni vogliano in
seguito stabilire connettività IP tra di loro
- Se un'organizzazione usa spazio di indirizzamento privato, o un
misto di spazi di indirizzamento pubblici e privati, allora i client
DNS fuori dall'organizzazione non dovrebbero vedere gli indirizzi
nello spazio di indirizzamento privato usato dall'organizzazione, dato
che questi indirizzi sarebbero ambigui. Un modo di assicurare ciò è di
eseguire due autorità server per ogni zona DNS che contiene
elaboratori indirizzati sia pubblicamente che privatamente.
-----------------------------------------------------------------------------------------------------------------
RFC 4193
Si definisce qui un formato di indirizzo unicast IPv6 che è
globalmente unico ed è destinato per le comunicazioni locali. Questi
indirizzi sono chiamati indirizzi locali unicast IPv6 univoci
(indirizzi IPv6
locali), non dovrebbero essere instradabili su Internet, ma sono
instradabili all'interno di un'area più limitata, ad esempio un sito o
tra un numero limitato di siti.
Gli indirizzi unicast IPv6 locali hanno le seguenti caratteristiche:
- Un prefisso globale unico (con alta probabilità di unicità).
- Un prefisso ben conosciuto per permettere un facile filtraggio ai
confini del sito
- Consentono ai siti di essere combinati o privatamente interconnessi
senza creare conflitti di indirizzo o richiedere rinumerazione delle
interfacce che utilizzano questi prefissi.
- Sono indipendenti dall'Internet Service Provider e possono essere
utilizzati per le comunicazioni all'interno di un sito senza avere
alcuna permanente o intermittente connettività ad Internet.
- Se escono accidentalmente al di fuori di un sito attraverso
l'instradamento o DNS, non c'è alcun conflitto con qualunque altro
indirizzo
- In pratica, le applicazioni possono trattare questi indirizzi come
indirizzi di ambito globale.
Gli indirizzi IPv6 locali vengono creati utilizzando un ID globale
assegnato pseudo-casualmente. Essi hanno il seguente formato:
| 7 bit | 1 | 40 bit | 16 bit | 64 bit
|
+---------- + - + ------------- + --------------- +
---------------------------- +
|Prefisso | L | ID globale | ID sottorete| ID interfaccia |
+---------- + - + ------------- + --------------- +
---------------------------- +
Dove:
1) Prefisso
FC00 :: / 7 prefisso per identificare indirizzi IPv6 unicastlocali.
Vi è un compromesso diretto tra l'avere un campo per l'ID globale
grande abbastanza per sostenere la prevedibile crescita futura e il
non utilizzare troppo spazio di indirizzamento Ipv6 inutilmente. Gli
autori ritengono che un prefisso / 7 risultante in uno spazio dell'ID
globale a 41-bit (tra cui il bit L) sia una buona scelta, perché
fornisce un gran numero di assegnazioni (cioè 2,2 trilioni) e allo
stesso tempo utilizza meno dello 0,8% dello spazio di indirizzamento
Ipv6 totale.
2) L: Viene impostato a 1 ed indica che viene usato un metodo
specifico locale per assegnare gli id globali.
Un altro metodo, cancellando il bit L, potrà essere definito in seguito.
3) ID Globale: identificatore globale a 40 bit utilizzato per creare
un prefisso univoco a livello globale. L'assegnazione deve avvenire
tramite un algoritmo pseudo-casuale (coerente con RFC 4086) e gli ID
globali non devono essere assegnati in sequenza o con numeri ben noti,
per garantire che non vi è alcuna relazione tra allocazioni e per
contribuire a chiarire che questi prefissi non sono destinati a essere
instradati a livello globale né sono progettati per essere aggregati
tra loro.
Gli ID globali assegnati a livello locale devono essere generati con
un algoritmo pseudo-casuale.
È importante che tutti i siti che generano ID globali utilizzino un
algoritmo funzionalmente simile per assicurarsi che ci sia un'alta
probabilità di unicità e che quindi sia altamente improbabile che
qualsiasi rete numerata usando tale prefisso abbia lo spazio di
indirizzamento che si scontri con qualsiasi altra rete che ha un altro
prefisso assegnato a livello locale. Dal momento che gli ID globali
sono scelti a caso (e in modo indipendente), è possibile che reti
separate abbiano scelto lo stesso ID Globale. Analizzando la
probabilità che due o più di questi ID si scontrino, per qualsiasi
rete, con uno o più ID Global casuali, che ha interconnessioni con
altre reti, si evince che l'unicità dell'ID globale generato
localmente è adeguata per i siti che progettano da una piccola ad una
moderata quantità di comunicazioni tra siti utilizzando ID globali
generati localmente.
4) ID sottorete: L'ID di sottorete a 16 bit è un identificatore di
una sottorete all'interno del sito.
5) ID interfaccia: ID dell'interfaccia a 64 bit come definito in RFC 3513.
Per impostazione predefinita, il campo di applicazione di questi
indirizzi è globale; questi prefissi sono globalmente unici, e come
tali,la loro applicabilità è maggiore degli indirizzi locali del sito.
La loro limitazione è nell'instradabilità dei prefissi, che è limitata
a un sito e ad eventuali accordi di routing espliciti con altri siti
per diffonderli. Inoltre, a differenza di quelli locali del sito, un
sito può avere più di uno di questi prefissi e usarli
contemporaneamente.
Linee guida operative.
Gli indirizzi IPv6 locali sono stati progettati per essere instradati
all'interno di un sito allo stesso modo di altri tipi di indirizzi
unicast. Possono essere portati dentro qualsiasi protocollo di routing
IPv6 senza alcuna variazione. Ci si aspetta che condividano gli stessi
ID di sottorete con indirizzi unicast globali basati sul provider, se
stanno venendo usati contemporaneamente.
Il comportamento predefinito di sessioni di protocollo di routing
esterne tra regioni amministrative di routing deve
essere di ignorare la ricezione e di non rendere pubblici i prefissi
nel blocco FC00 :: / 7. Un operatore di rete può
specificamente configurare prefissi più lunghi di FC00 :: / 7 per la
comunicazione tra siti.
Se BGP viene utilizzato al confine di sito con un provider di servizi
Internet, la configurazione di BGP di default deve filtrare eventuali
prefissi degli indirizzi IPv6 locali, sia in entrata che in uscita.
L'eccezione a questo è se ci sono specifici percorsi / 48 o più lunghi
creati per uno o più prefissi IPv6 locali.
Per IGP link-state, si consiglia che un sito che utilizza prefissi di
indirizzo IPv6 locali sia contenuto all'interno di un dominio di IGPo
di un'area.
Quando si uniscono più siti, è improbabile che gli indirizzi creati
con questi prefissi debbano essere rinumerati perché tutti gli
indirizzi hanno un'alta probabilità di essere unici. I Router di
confine di sito ed i firewall devono essere configurati in modo da non
inoltrare qualunque pacchetto con indirizzi Ipv6 locali di origine o
di
destinazione al di fuori del sito (eccezione di cui sopra a parte).
Il comportamento predefinito di questi dispositivi dovrebbe essere
quello di installare un percorso di "rifiuto" per questi prefissi
affinché si eviti un timeout di protocollo transport.
C'è una piccola possibilità che gli stessi indirizzi IPv6 locali
assegnati localmente vengano utilizzati da due diverse organizzazioni
che entrambe pretendano di avere l'autorità di farlo, con diverse
motivazioni. In questo scenario, è probabile che ci sarà un tentativo
di connessione all'host più vicino con il corrispondente indirizzo
IPv6 locale assegnato localmente.
Ciò può comportare timeout di connessione, errori di connessione
indicati da messaggi ICMP “Destinazione irraggiungibile” o connessioni
riuscite all'host sbagliato.
A causa di questa preoccupazione, l'aggiunta di record AAAA per questi
indirizzi per il DNS globale è ritenuta imprudente.
Interrogazioni al rovescio (da indirizzo a nome) per indirizzi locali
Ipv6 assegnati localmente non devono essere inviate ai server di nome
per il DNS globale, a causa del carico che tali domande potrebbero
creare per i server di nome che hanno autorità per la zona ip6.arpa.
Ilmetodo consigliato per evitare l'invio di tali query ai server di
nome per il DNS globale è che le implementazioni ricorsive dei server
di nome agiscano come se avessero autorità per una zona d.f.ip6.arpa
vuota e restituiscano RCODE 3 per tali query
Application e altri protocolli di livello superiore possono trattare
gli indirizzi IPv6 locali allo stesso modo di altri tipi di indirizzi
unicast globali.Dalla prospettiva di un host, la differenza tra IPv6
locale e altri tipi di indirizzi unicast globali si presenta come una
diversa raggiungibilità e potrebbe essere gestita per impostazione
predefinita in quel modo. In qualche caso, è meglio per i nodi e le
applicazioni trattarli
diversamente da indirizzi unicast globali. Un punto di partenza
potrebbe essere dare loro preferenza rispetto all'unicast globale, ma
tornare all'unicast globale se una particolare destinazione si trova
ad essere irraggiungibile.
Gli indirizzi IPv6 locali, come gli indirizzi unicast di portata
globale, sono assegnati ai nodi solo se il loro impiego è stato
abilitato. Perché gli host autoconfigurino indirizzi IPv6 locali,i
router devono essere configurati per rendere pubblici i prefissi IPv6
locali / 64 nelle comunicazioni del router, o un server DHCPv6 deve
essere
stato configurato in modo da assegnarli.
Affinché un nodo apprenda l'indirizzo IPv6 locale di un altro nodo,
l'indirizzo IPv6 locale deve essere stato installato in un sistema di
assegnazione nomi (Ad esempio, DNS, sistema di assegnazione nomi di
proprietà, ecc). Per queste ragioni, controllare il loro utilizzo in
un sito è semplice ed è possibile limitarne l'utilizzo a seconda della
tipologia dei nodi appartenenti al sito.
Gli indirizzi IPv6 locali possono essere utilizzati per Virtual
Private Networks (VPN) tra siti se le rotte appropriate sono
impostate. Poiché gli indirizzi sono unici, queste VPN funzioneranno
in modo
affidabile e senza bisogno di traduzione, inoltre continueranno a
funzionare se i singoli siti sono rinumerati o vendono uniti.
Considerazioni globali di routing
Sono state sollevate preoccupazioni, indirizzate al gruppo di lavoro
IPv6 ed alla IETF nel suo complesso, per la possibilità che i siti
tentino di utilizzare gli indirizzi locali come indirizzi indipendenti
dal provider instradati a livello globale. C'è incompatibilità tra la
struttura degli indirizzi IPv6 locali e il modello IPv6 normale di
routing per area vasta. Il prefisso /48 di un indirizzo locale Ipv6
non si inserisce in nessuna parte della normale gerarchia degli
indirizzi IPv6 unicast. Ciò significa che ci sarebbe una penalità
operativa significativa per il tentativo di utilizzare i prefissi
dell'indirizzo locale IPv6 genericamente con la tecnologia di
instradamento per area vasta attualmente nota.
Alcuni fattori di progettazione negli indirizzi locali Ipv6 riducono
la probabilità che questi siano in futuro utilizzati come indirizzi
unicast globali arbitrari. Tra questi:
- Le regole predefinite per filtrare i pacchetti ed i percorsi rendono
gli indirizzi locali IPv6 molto difficili da usare per l'uso
arbitrario attraverso Internet.
- Non è matematicamente garantito che siano unici e non sono
registrati in database pubblici.
- Gli indirizzi sono assegnati in modo casuale. Se un sito avesse più
prefissi che voleva fossero utilizzati a livello globale, il costo per
renderli pubblici sarebbe molto alto perché potrebbero non essere
aggregati.
- Hanno un lungo prefisso (cioè / 48) per cui un prefisso di un
singolo indirizzo locale fornisce sufficiente spazio di
indirizzamento per l'utilizzo in maniera esclusiva da parte delle più
grandi organizzazioni.
Questo approccio presenta i seguenti vantaggi:
- Fornisce prefissi IPv6 locali che possono essere utilizzati
indipendentemente da qualsiasi assegnazione di indirizzi unicast Ipv6
basata sul provider. Questo è utile per i siti che non sono sempre
connessi a Internet o siti che desiderino avere un prefisso distinto
che può essere utilizzato per limitare il traffico all'interno del
sito.
- Le applicazioni possono trattare questi indirizzi alla stessa
maniera di ogni altro tipo di indirizzo globale Ipv6 unicast.
- I siti possono essere uniti senza alcuna rinumerazione degli
indirizzi ipv6 locali.
- I siti possono cambiare i loro indirizzi unicast ipv6 basati sul
provider senza interrompere alcuna comunicazione che utilizza gli
indirizzi locali ipv6
- Un prefisso ben conosciuto che consente un facile filtraggio al
confine del sito
- Può essere utilizzato per le VPN tra siti.
- Se si fuoriesce da un sito attraverso l'instradamento o il DNS, non
c'è alcun conflitto con qualunque altro indirizzo.
Questo approccio presenta i seguenti svantaggi:
- Non è possibile instradare prefissi locali IPv6 su Internet con la
tecnologia di instradamento corrente. Di conseguenza, è necessario
adottare il comportamento predefinito dei router di confine sito per
filtrare questi indirizzi.
- C'è una probabilità molto bassa che l'algoritmo pseudo-casuale
generi ID globali assegnati localmente non univoci. Questo rischio può
essere ignorato per tutti gli scopi pratici, ma porta ad un rischio
teorico di scontro tra prefissi di indirizzo.
Gli indirizzi IPv6 locali non offrono alcuna sicurezza intrinseca ai
nodi che li utilizzano. Essi possono essere utilizzati con i filtri ai
confini di sito per mantenere il traffico IPv6 locale all'interno del
sito, ma questo non è più o meno sicuro rispetto a filtrare qualsiasi
altro tipo di indirizzo unicast IPv6 globale; consentono
però meccanismi di sicurezza basati sull'indirizzo.
Non sono molto dotata di sintesi... Mi scuso per errori di battitura
e/o traduzioni grezze!
Buona serata (io continuo a recuperare...)
Francesca
More information about the Internet-e-architetture-di-rete
mailing list