Devo usar endereços locais vinculados onde um endereço IP interno não roteável é necessário?

Question

Devo usar endereços locais vinculados onde um endereço IP interno não roteável é necessário?

#1 resposta do (4 votos)
#2 resposta do (4 votos)
#3 resposta do (3 votos)

11

Eu tenho um appliance de rede que contém alguns recursos de balanceamento de carga - no meu design, esses recursos são apenas para uso interno no appliance. Nada deve SEMPRE falar com eles externamente e, além disso, o cliente está com poucos endereços IP no intervalo de IP do dispositivo.

Seria aceitável usar o intervalo Link-Local para esses recursos? Por exemplo, 169.254.1.1 .

NB: O dispositivo em questão não permitirá que IPs de loopback sejam usados para esses recursos.

networking

por Dan 20.04.2015 / 20:25

3 respostas

Tags networking

Descobrindo como um servidor invadido foi invadido Definindo $ TERM para a tela do gnu

score 4 · Answer 1

Os detalhes de RFC3927 parecem pensar que isso não é estritamente correto.

Sim , vá em frente. As razões pelas quais isso é proibido não entrarão em jogo. É muito melhor do que outras situações comuns, como o comando 1.1.1.0/24 .

Se você quer jogar bem, você pode usar 169.254.0.0/24 ou 169.254.255.0/24 .

2.1. Link-Local Address Selection

When a host wishes to configure an IPv4 Link-Local address, it selects an address using a pseudo-random number generator with a uniform distribution in the range from 169.254.1.0 to 169.254.254.255 inclusive.

The IPv4 prefix 169.254/16 is registered with the IANA for this purpose. The first 256 and last 256 addresses in the 169.254/16 prefix are reserved for future use and MUST NOT be selected by a host using this dynamic configuration mechanism.

score 4 · Answer 2

Não , RFC3927 proíbe a atribuição manual de endereços dentro deste bloco.

Você deve usar endereços dos blocos fornecidos por RFC1918 , 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 . Esses endereços podem ser usados livremente, desde que as rotas não sejam anunciadas na Internet. Lembre-se de selecionar uma sub-rede que não esteja em uso no seu ambiente.

score 3 · Answer 3

Para responder à sua pergunta, não, você não deveria. RFC3927 em Seção 1.6 proíbe esse tipo de uso.

Especificamente, o último parágrafo desta seção diz isto:

Administrators wishing to configure their own local addresses (using manual configuration, a DHCP server, or any other mechanism not described in this document) should use one of the existing private address prefixes [RFC1918], not the 169.254/16 prefix.

Isso elimina o total / 16 para esse tipo de uso, então você precisa procurar uma alternativa diferente.

Minha primeira sugestão seria usar uma interface de loopback. As interfaces de loopback são perfeitas para comunicação entre serviços no mesmo host que não requerem acesso fora desse host. Eles são usados dessa maneira por vários serviços, para interfaces de gerenciamento, testes e outros propósitos.

Você mencionou em seus comentários / edições que o appliance não permitirá que você faça isso. Você não menciona o fornecedor / modelo ou versões de código, então minha primeira recomendação é que você entre em contato com o fornecedor. Se isso for realmente um uso válido do dispositivo, eles podem estar dispostos a ajustar seu código para permitir o uso de uma interface de loopback; eles simplesmente podem não ter considerado esse caso de uso ao escrever código para validar endereços IP. Ou eles podem dizer por que essa é uma má ideia e por que isso deveria ser feito de outra maneira.

Se uma interface de loopback estiver realmente fora de questão, você deverá usar o espaço de endereçamento RFC1918 para essa finalidade. Certifique-se de trabalhar com qualquer equipe de TI relevante que esteja selecionando o intervalo de IP a ser utilizado para evitar outros problemas imprevistos na rede.