Question Quelle est l'état d'épuisement des adresses IPv4?


Pendant des années, la presse a écrit sur le problème selon lequel il existe maintenant très peu d'adresses IPv4 disponibles. Par ailleurs, j’utilise une société d’hébergement sur serveur qui donne volontiers des adresses IPv4 publiques pour un petit montant. Et ma connexion Internet privée est fournie avec une adresse IPv4 publique.

Comment est-ce possible? Le problème est-il aussi grave que la presse veut nous faire croire?


161
2018-01-28 14:01


origine


Certaines entreprises ont encore beaucoup d'adresses IPv4 sous la main. D'autres ont très peu. Je dois réfléchir très attentivement à l'utilisation d'une adresse IPv4; Par conséquent, j'ai un certain nombre de machines exclusivement IPv6. - Michael Hampton♦
Cela vous donne également une idée de la douleur que les fournisseurs de services Internet sont disposés à amener d'autres personnes à simplement éviter de déployer IPv6. - immibis
Je n'appellerais pas ça mal, mais c’est certainement pénible. Cela dit, la plupart les consommateurs ne s'en soucierait probablement pas, ils sont derrière un nat, en supposant que Facebook et WhatsApp fonctionnent ._. - Journeyman Geek
@JourneymanGeek Eh bien, les consommateurs moyens ne se préoccupent pas de tout ce qu'ils ne comprennent pas. Il y a des idées pour les médias sociaux distribués, par exemple (parce que cela rend très difficile la censure), mais personne ne se soucie de telles choses jusqu'à ce que après ils ont décollé, ce qu'ils ne peuvent pas à cause du NAT. Je pense que le NAT est l'une des raisons pour lesquelles nous avons fini par créer un site Web centralisé, car il est en principe impossible d'héberger son propre site Web sans payer quelqu'un. - immibis
Comme @Azendale l'a fait remarquer, l'hébergement de serveurs de jeux est un gros problème. Pourquoi ne puis-je pas exécuter minecraft_server.exe et donner mon adresse à mes amis? À cause de NAT. Les «consommateurs» veulent très certainement parfois utiliser des serveurs de jeux. - immibis


Réponses:


C'est tres mal. Voici une liste d’exemples de ce que j’ai pu constater directement auprès des fournisseurs d’accès Internet grand public pour lutter contre la pénurie d’adresses IPv4:

  • Déplacez régulièrement les blocs IPv4 entre les villes, provoquant de brèves pannes et des réinitialisations de connexion pour les clients.
  • Raccourcissement DHCP Durée du bail de quelques jours à quelques minutes.
  • Autoriser les utilisateurs à choisir s'ils le souhaitent traduction d'adresse réseau (NAT) sur l'équipement du client (CPE) ou non, puis allumez-le rétroactivement pour tout le monde de toute façon.
  • Activation du NAT sur CPE pour les clients qui ont déjà utilisé l'opportunité de se retirer du NAT.
  • Réduire le nombre maximal de personnes simultanément actives adresses de contrôle d'accès au support (MAC) appliquée par CPE.
  • Déploiement NAT de classe opérateur (CGN) pour les clients qui avaient une adresse IP réelle lors de leur inscription au service.

Tous ces facteurs réduisent la qualité du produit que le fournisseur de services Internet vend à ses clients. La seule explication sensée à expliquer pourquoi ils le feraient à leurs clients est la pénurie d'adresses IPv4.

La pénurie d’adresses IPv4 a entraîné une fragmentation de l’espace d’adresses, qui présente de nombreux inconvénients:

  • Les frais généraux administratifs qui non seulement coûtent du temps et de l'argent, mais sont également sujets aux erreurs et ont entraîné des pannes.
  • Grand usage de mémoire adressable par le contenu (CAM) capacité sur les routeurs dorsaux qui quelques années en arrière conduisent à une panne importante sur plusieurs FAI quand il a franchi la limite d'un modèle de routeurs populaire.

Sans NAT, nous ne pourrions nous en sortir aujourd'hui avec les 3700 millions d'adresses IPv4 routables. Mais le NAT est une solution fragile qui vous offre une connectivité moins fiable et des problèmes difficiles à résoudre. Plus il y a de couches de NAT, pire ce sera. Deux décennies de dur labeur ont permis de faire fonctionner une seule couche de NAT, mais nous avons déjà franchi le point où une seule couche de NAT suffisait pour pallier le manque d'adresses IPv4.


174
2018-01-28 14:31



Une chose à ajouter est que le NAT entraîne également des utilisateurs malveillants qui affectent les utilisateurs normaux et rend généralement l’IP non fiable en tant que mécanisme de différenciation des utilisateurs. Par exemple, Wikipedia bloquant presque tous les utilisateurs du Qatar en raison du vandalisme d'un ou de quelques utilisateurs. - IllusiveBrian
@ IllusiveBrian avance un argument valable. J'ai hérité d'un logiciel de ciblage publicitaire utilisant les adresses IP comme identifiant principal. Cela est loin d’être suffisant aujourd’hui et a dû être profondément modifié pour le maintenir fiable. L'Inde et la Grèce semblent être deux des pays les plus touchés. Je peux voir une annonce être touchée plus de 100 fois par jour à partir du même IPv4, mais chaque hit peut être un utilisateur différent, déterminé par d'autres méthodes de suivi. - Darren H
@DmitriySintsov pas plus qu'un simple pare-feu dynamique. Si un périphérique périphérique peut utiliser la technologie NAT, il peut également utiliser un pare-feu avec état. - mfinni
@DarrenH "Un logiciel de ciblage publicitaire utilisant des adresses IP comme identifiant principal ... et devant être profondément modifié pour rester fiable". Cette seule raison suffit à conserver le NAT. - Andy
@DarrenH C'est juste un commentaire sur le fait de ne pas aimer les logiciels publicitaires, quel que soit le ton que vous ressentez est dans votre tête. - Andy


Avant de commencer à manquer d'adresses IPv4, nous n'utilisions pas (largement) le NAT. Chaque ordinateur connecté à Internet aurait sa propre adresse unique au monde. Lorsque le NAT a été introduit pour la première fois, il consistait à donner aux clients du fournisseur de services Internet une adresse réelle par périphérique utilisé / détenu par le client, à une adresse réelle à un client. Cela a résolu le problème pendant un certain temps (années) alors que nous étions supposés passer à IPv6. Au lieu de passer à IPv6, tout le monde (la plupart du temps) attendait que tous les autres basculent et ainsi (la plupart du temps) personne n’a déployé IPv6. Nous rencontrons à nouveau le même problème, mais cette fois-ci, une deuxième couche de NAT est en cours de déploiement (CGN) afin que les fournisseurs de services Internet puissent partager une adresse réelle entre plusieurs clients.

L’épuisement des adresses IP n’est pas un problème si le NAT n’est pas terrible, y compris dans le cas où l’utilisateur final n’a aucun contrôle sur celui-ci (Carrier Grade NAT ou CGN).

Mais je dirais que le NAT est terrible, notamment dans le cas où l'utilisateur final n'a pas le contrôle. Et (en tant que personne occupant un poste d'ingénieur / administrateur réseau mais possédant un diplôme en génie logiciel), je dirais qu'en déployant la technologie NAT au lieu d'IPv6, les administrateurs réseau ont transféré le poids de la résolution de l'épuisement des adresses de leur domaine aux utilisateurs finaux. et les développeurs d'applications.

Donc (à mon avis), pourquoi le NAT est-il une chose terrible et perverse à éviter?

Voyons si je peux lui rendre justice en expliquant ce qui se brise (et les problèmes que cela cause auxquels nous sommes devenus si habitués que nous ne réalisons même pas que cela pourrait être mieux):

  • Indépendance de la couche réseau
  • Connexions d'égal à égal
  • Nom et localisation cohérents des ressources
  • Routage optimal du trafic, les hôtes connaissant leur adresse réelle
  • Suivre la source du trafic malveillant
  • Protocoles réseau qui séparent les données et le contrôle en connexions distinctes

Voyons si je peux expliquer chacun de ces éléments.

Indépendance de la couche réseau

Les FAI sont supposés simplement faire passer les paquets de la couche 3 sans se soucier de ce qui se trouve dans les couches supérieures. Que vous transmettiez TCP, UDP ou quelque chose de mieux / plus exotique (SCTP peut-être? Ou même un autre protocole meilleur que TCP / UDP, mais qui reste obscur en raison d’un manque de prise en charge du NAT), votre FAI n’est pas supposé se soucier; tout est censé ressembler à des données.

Mais ce n'est pas le cas - pas lorsqu'ils mettent en œuvre la "deuxième vague" de NAT, NAT "Carrier Grade". Ensuite, ils doivent nécessairement examiner et prendre en charge les protocoles de couche 4 que vous souhaitez utiliser. À l'heure actuelle, cela signifie pratiquement que vous ne pouvez utiliser que TCP et UDP. D'autres protocoles seraient soit simplement bloqués / supprimés (dans la grande majorité des cas, selon mon expérience), soit simplement transférés au dernier hôte "à l'intérieur" du NAT utilisant ce protocole (j'ai déjà vu une implémentation qui le fait). Même le transfert vers le dernier hôte qui a utilisé ce protocole n'est pas un vrai correctif - dès que deux hôtes l'utilisent, cela se rompt.

J'imagine qu'il existe des protocoles de remplacement pour TCP et UDP qui n'ont actuellement pas été testés et qui n'ont pas été utilisés simplement à cause de ce problème. Ne vous méprenez pas, TCP et UDP étaient remarquablement bien conçus et il est étonnant de constater à quel point ils ont pu s'adapter à la manière dont nous utilisons Internet aujourd'hui. Mais qui sait ce que nous avons manqué? J'ai lu sur SCTP et ça sonne bien, mais je ne l'ai jamais utilisé parce que c'était impraticable à cause du NAT.

Connexions d'égal à égal

C'est un gros. En fait, le plus grand à mon avis. Si vous avez deux utilisateurs finaux, tous deux derrière leur propre NAT, quel que soit celui qui essaie de se connecter en premier, le NAT de l'autre utilisateur abandonnera son paquet et la connexion échouera.

Cela concerne les jeux, le chat audio / vidéo (comme Skype), l'hébergement de vos propres serveurs, etc.

Il existe des solutions de contournement. Le problème est que ces solutions coûtent soit du temps de développement, du temps et des inconvénients pour l'utilisateur final, soit des coûts d'infrastructure de service. Et ils ne sont pas infaillibles et se cassent parfois. (Voir les commentaires d'autres utilisateurs sur la panne subie par Skype.)

Une solution de contournement est la redirection de port, dans laquelle vous programmez le périphérique NAT pour qu'il transfère un port entrant spécifique à un ordinateur spécifique derrière le périphérique NAT. Des sites Web entiers sont consacrés à la procédure à suivre pour tous les différents périphériques NAT. Voir https://portforward.com/. Cela coûte généralement du temps et de la frustration à l'utilisateur final.

Une autre solution consiste à ajouter la prise en charge d'éléments tels que la perforation de trous aux applications et à maintenir une infrastructure de serveur qui n'est pas derrière un NAT pour introduire deux clients NAT. Cela coûte généralement du temps de développement et place les développeurs dans une position de maintenance potentielle de l'infrastructure de serveur là où cela n'aurait pas été nécessaire auparavant.

(N'oubliez pas ce que j'ai dit à propos du déploiement de la traduction d'adresses réseau (NAT) au lieu d'IPv6, transférant le poids du problème des administrateurs réseau aux utilisateurs finaux et aux développeurs d'applications?)

Nom / emplacement cohérent des ressources réseau

Parce qu'un espace d'adressage différent est utilisé à l'intérieur d'un NAT, puis à l'extérieur, tout service offert par un périphérique dans un NAT a plusieurs adresses pour l'atteindre, et le bon à utiliser dépend de l'endroit où le client y accède. . (Cela reste un problème même après que la redirection de port fonctionne.)

Si vous avez un serveur Web dans un NAT, disons sur le port 192.168.0.23, le port 80, et que votre périphérique NAT (routeur / passerelle) a une adresse externe de 35.72.216.228 et que vous configurez la redirection de port pour le port TCP 80. Le serveur Web est accessible via le port 80.1 de 192.168.0.23 ou le port 80 de 35.72.216.228. Celui que vous devez utiliser dépend du fait que vous soyez à l'intérieur ou à l'extérieur du NAT. Si vous êtes en dehors du NAT et utilisez l'adresse 192.168.0.23, vous ne pourrez pas vous rendre où vous vous attendez. Si vous êtes à l'intérieur du NAT et que vous utilisez l'adresse externe 35.72.216.228, vous pourrait allez où vous voulez, si votre implémentation NAT est avancée et prend en charge l'épingle à cheveux, mais le serveur Web qui répond à votre demande verra que la demande provient de votre périphérique NAT. Cela signifie que tout le trafic doit transiter par le périphérique NAT, même si le chemin derrière le NAT est plus court dans le réseau, ce qui signifie que les journaux sur le serveur Web deviennent beaucoup moins utiles car ils indiquent tous que le périphérique NAT est la source de la connexion. Si votre implémentation NAT ne prend pas en charge l'épingle à cheveux, vous n'obtiendrez pas ce que vous espériez.

Et ce problème s'aggrave dès que vous utilisez DNS. Du coup, si vous voulez que tout fonctionne correctement pour quelque chose hébergé derrière un NAT, vous voudrez donner des réponses différentes sur l'adresse du service hébergé dans un NAT, en fonction de la personne qui le demande (AKA split horizon DNS, IIRC). Beurk.

Et tout cela en supposant que vous ayez quelqu'un de bien informé sur le transfert de port, le NAT en épingle à cheveux et le DNS à horizon divisé. Qu'en est-il des utilisateurs finaux? Quelles sont leurs chances de régler tout cela correctement quand ils achètent un routeur grand public et une caméra de sécurité IP et veulent le faire fonctionner?

Et cela m'amène à:

Routage optimal du trafic, les hôtes connaissant leur adresse réelle

Comme nous l'avons vu, le trafic NAT en épingle à cheveux avancé ne suit pas toujours le chemin optimal. Même dans le cas où un administrateur compétent configure un serveur et possède un NAT en épingle à cheveux. (Un DNS partagé, à horizon fractionné, peut conduire à un routage optimal du trafic interne entre les mains d'un administrateur réseau.)

Que se passe-t-il lorsqu'un développeur d'applications crée un programme tel que Dropbox et le distribue à des utilisateurs finaux non spécialisés dans la configuration d'équipements réseau? Plus précisément, que se passe-t-il lorsque je mets un fichier de 4 Go dans mon fichier de partage, puis que j'essaie d'accéder au prochain ordinateur? Transfère-t-il directement entre les machines ou dois-je attendre qu'il soit transféré sur un serveur cloud via une connexion WAN lente, puis attendre une seconde fois pour qu'il soit téléchargé via la même connexion WAN lente?

Pour une implémentation naïve, il serait chargé, puis téléchargé, en utilisant l'infrastructure de serveur Dropbox qui n'est pas derrière un NAT en tant que médiateur. Mais si les deux machines pouvaient se rendre compte qu'elles se trouvaient sur le même réseau, elles pourraient alors transférer directement le fichier beaucoup plus rapidement. Donc, pour notre première tentative d'implémentation moins naïve, nous pourrions demander au système d'exploitation quelles adresses IP (v4) ont la machine, puis vérifier cela par rapport à d'autres machines enregistrées sur le même compte Dropbox. Si cela se situe dans la même plage que nous, transférez simplement le fichier directement. Cela pourrait fonctionner dans beaucoup de cas. Mais même dans ce cas, il y a un problème: le NAT ne fonctionne que parce que nous pouvons réutiliser des adresses. Que se passe-t-il si l'adresse 192.168.0.23 et l'adresse 192.168.0.42 enregistrées sur le même compte Dropbox sont réellement sur des réseaux différents (comme votre réseau domestique et votre réseau de travail)? Vous devez maintenant utiliser l'infrastructure de serveur Dropbox pour la médiation. (Au final, Dropbox a tenté de résoudre le problème en diffusant chaque client Dropbox sur le réseau local dans l’espoir de trouver d’autres clients. Mais ces émissions ne croisent aucun routeur que vous pourriez avoir derrière le NAT, ce qui signifie qu’il ne s’agit pas d’une solution complète. , surtout dans le cas de CGN.)

IP statiques

En outre, depuis que la première pénurie (et la vague de NAT) s'est produite lorsque de nombreuses connexions client ne sont pas toujours connectées (telles que l'accès à distance), les fournisseurs de services Internet peuvent mieux utiliser leurs adresses en allouant uniquement des adresses IP publiques / externes lorsque vous êtes réellement connecté. Cela signifiait que lorsque vous vous connectiez, vous obteniez l'adresse disponible, quelle qu'elle soit, au lieu de toujours obtenir la même adresse. Cela rend l'exécution de votre propre serveur encore plus difficile et le développement d'applications poste à poste plus difficiles, car elles doivent gérer le déplacement des pairs au lieu d'être à des adresses fixes.

Obscurcissement de la source du trafic malveillant

Dans la mesure où NAT réécrit les connexions sortantes comme si elles provenaient du périphérique NAT lui-même, tout le comportement, qu'il soit bon ou mauvais, est converti en une adresse IP externe. Je n'ai vu aucun périphérique NAT enregistrant chaque connexion sortante par défaut. Cela signifie que, par défaut, la source du trafic malveillant antérieur ne peut être attribuée qu'au périphérique NAT traversé. Bien que les équipements de classe entreprise ou opérateur puissent être configurés pour enregistrer chaque connexion sortante, je n’ai pas vu de routeurs consommateurs le faire. Je pense certainement qu'il sera intéressant de voir si (et pendant combien de temps) les FAI conserveront un journal de toutes les connexions TCP et UDP établies via les CGN au fur et à mesure de leur déploiement. De tels enregistrements seraient nécessaires pour traiter les plaintes d'abus et les plaintes DMCA.

Certaines personnes pensent que le NAT augmente la sécurité. Si c'est le cas, il le fait par obscurité. La suppression par défaut du trafic entrant imposée par NAT est identique à celle d'un pare-feu avec état. D'après ce que je comprends, tout matériel capable de faire le suivi de connexion nécessaire pour le NAT devrait pouvoir exécuter un pare-feu avec état, de sorte que le NAT ne mérite pas vraiment de points.

Protocoles utilisant une seconde connexion

Les protocoles tels que FTP et SIP (VoIP) ont tendance à utiliser des connexions séparées pour le contrôle et le contenu des données. Chaque protocole effectuant cette opération doit disposer d'un logiciel d'assistance appelé ALG (passerelle de couche d'application) sur chaque périphérique NAT traversé, ou contourner le problème à l'aide d'un type de médiateur ou de perforation. D'après mon expérience, les ALG sont rarement, voire jamais, mises à jour et ont été à l'origine d'au moins deux problèmes liés au SIP que j'ai traités. Chaque fois que j'entends dire à quelqu'un que la VoIP ne fonctionne pas pour eux parce que l'audio ne fonctionne que dans un sens, je soupçonne instantanément que quelque part, il existe une passerelle NAT laissant tomber des paquets UDP avec laquelle elle ne sait pas quoi faire.

En résumé, le NAT a tendance à casser:

  • protocoles alternatifs à TCP ou UDP
  • systèmes peer-to-peer
  • accéder à quelque chose hébergé derrière le NAT
  • des choses comme SIP et FTP. Les ALG qui travaillent autour de cela posent encore aujourd'hui des problèmes aléatoires et étranges, en particulier avec SIP.

À la base, l’approche en couches adoptée par la pile de réseaux est relativement simple et élégante. Essayez d’expliquer cela à une personne novice en réseautique, qui suppose inévitablement que son réseau domestique est probablement un bon réseau simple à essayer de comprendre. Dans quelques cas, j'ai eu l'occasion de trouver des idées assez intéressantes (excessivement compliquées) sur le fonctionnement du routage en raison de la confusion entre adresses externes et internes.

Je soupçonne que sans NAT, la VoIP serait omniprésente et intégrée au RTPC, et que passer des appels depuis un téléphone portable ou un ordinateur serait gratuit (sauf pour l'internet pour lequel vous avez déjà payé). Après tout, pourquoi devrais-je payer pour un téléphone alors que vous et moi pouvons simplement ouvrir un flux VoIP 64K et que cela fonctionne aussi bien que sur le réseau PSTN? Il semble qu'aujourd'hui, le problème numéro 1 du déploiement de la VoIP passe par les périphériques NAT.

Je suppose que nous ne réalisons généralement pas à quel point beaucoup de choses pourraient être simples si nous avions la connectivité de bout en bout interrompue par le NAT. Les gens continuent à envoyer des fichiers (ou Dropbox) eux-mêmes parce que le principal problème de la nécessité d’un médiateur existe lorsque deux clients se trouvent derrière NAT.


129
2018-01-29 06:18



Les adresses IPs6 de @supercat sont globalement uniques, mais pas plat (pour supporter le routage, qui doit être hiérarchique). Il me semble que si nous voulons théoriquement pouvoir communiquer avec deux hôtes connectés à Internet, des adresses uniques globales sont nécessaires sous une forme ou une autre. - Jakob
@supercat C'est malheureusement un mythe persistant que IPv6 n'a toujours pas assez d'espace pour tout le monde. Vous pouvez donner a / 48 à tout le monde sur Terre et vous avez encore beaucoup d’espace libre. Pour épuiser les ressources actuellement allouées 2000::/3 vous devrez répéter cet exercice plus de 4 000 fois! ou donner à chacun un / 34. Mais a / 48 convient à quasiment tout le monde et ceux qui en ont besoin peuvent facilement l’obtenir. Même si cela ne suffisait pas, il y a toujours 4000::/3, 6000::/3, etc., disponible. Nous avons beaucoup de place; il est temps de l'utiliser. Voir également RFC 6177. - Michael Hampton♦
@immibis Vous semblez avoir manqué quelque chose. Les organisations ne sont pas limitées à obtenir un / 48 ou un / 32. Ils peuvent obtenir pratiquement n'importe quel bloc de taille. Cela pourrait être un / 44 ou un / 40 ou / 39 ou / 47 ou autre. Vous devriez également lire la RFC 6177. - Michael Hampton♦
Malheureusement, de nombreuses personnes ont commencé à utiliser le NAT comme une forme de sécurité peu fiable et de nombreux périphériques, tels que les chromecasts et les périphériques IoT, supposent que tout périphérique capable de s'y connecter est un périphérique de confiance. Ainsi, chaque routeur grand public que j'ai vu abandonnera les connexions entrantes vers les périphériques ipv6. aussi et certains que j'ai vus n'ont aucun moyen de désactiver cela, seulement le transfert de port normal. - Qwertie
... Ok je déteste le NAT maintenant; Comment puis-je passer à IPv6? - Adam Barnes


Un gros symptôme d'épuisement IPv4 que je n'ai pas vu mentionné dans d'autres réponses est que certains fournisseurs de services mobiles commencé à utiliser IPv6 seulement il y a plusieurs années. Il est possible que vous utilisiez IPv6 depuis des années sans le savoir. Les fournisseurs de services mobiles sont plus récents que le jeu Internet et ne disposent pas nécessairement d’allocations IPv4 préexistantes. Ils ont également besoin de plus d'adresses que de câbles / DSL / fibres, car votre téléphone ne peut pas partager une adresse IP publique avec d'autres membres de votre ménage.

Je pense que les fournisseurs IaaS et PaaS seront les suivants, en raison de leur croissance qui n'est pas liée aux adresses physiques des clients. Je ne serais pas surpris de voir bientôt les fournisseurs IaaS proposer uniquement IPv6 à prix réduit.


20
2018-01-29 16:58



J'ai déjà vu quelques petits fournisseurs proposer des machines virtuelles exclusivement IPv6 et facturer une prime pour IPv4. - Michael Hampton♦


Les principaux RIR ont récemment manqué d'espace pour les allocations normales. Pour la plupart des fournisseurs, les seules sources d'adresses IPv4 sont donc leurs propres stocks et les marchés.

Il existe des scénarios dans lesquels il est préférable d’avoir une IP IP publique publique dédiée, mais ce n’est pas absolument essentiel. Il existe également un ensemble d'adresses IPv4 publiques attribuées mais non utilisées actuellement sur l'internet public (elles peuvent être utilisées sur des réseaux privés ou ne pas être utilisées du tout). Enfin, il existe des réseaux plus anciens avec des adresses attribuées beaucoup plus librement qu'ils ne le devraient.

Les trois plus grands RIR permettent désormais aux adresses d'être vendues entre leurs membres et aux membres les uns des autres. Nous avons donc un marché entre les organisations qui utilisent des adresses qu’elles n’utilisent pas ou qui ont des adresses qui pourraient être libérées à un coût et celles qui ont réellement besoin de plus d’adresses IP de l’autre.

Ce qui est difficile à prédire, c’est le volume de l’offre et de la demande à chaque niveau de prix et donc ce que le prix du marché fera à l’avenir. Jusqu'à présent, le prix par propriété intellectuelle semble être resté étonnamment bas.


14
2018-01-28 19:30



AfriNIC a moins de 8 adresses disponibles, et j’ai vu de nombreux exemples d’organisations en dehors de l’Afrique s’en emparer. - Michael Hampton♦


Dans l’idéal, chaque hôte sur Internet devrait pouvoir obtenir une adresse IP de portée globale, mais l’épuisement des adresses IPv4 est réel, en réalité. ARIN a déjà manqué d'adresse dans son pool libre.

Tout le monde peut toujours accéder aux services Internet grâce aux techniques de traduction d'adresses réseau (NAT) qui permettent à plusieurs hôtes de partager des adresses IP publiques. Cependant, cela ne va pas sans problèmes.


7
2018-01-28 14:32



Je ne veux pas savoir combien d'heures de travail, de ressources et de millions de dollars ont été perdus entre Napster, Gnutella, Gossip, Kazaa, BitTorrent, Kademlia, FastTrack, eDonkey, Freenet, Grokster, Skype, Threema, Spotify, etc. , développant des techniques de piercing NAT. - Jörg W Mittag
@ JörgWMittag Sans parler de son spectaculaire échec pour Skype en décembre 2010. - kasperd
Et le fait que vous deviez utiliser des techniques de perçage NAT en premier lieu. Si la machine X et la machine Y sont toutes deux sur des connexions ordinaires, elles ne peuvent pas se parler sans un médiateur. Ennuyeux pour des choses comme les tâches de synchronisation de fichiers. - Loren Pechtel
@kasperd Pourriez-vous élaborer sur cet "échec pour Skype en décembre 2010"? Je pourrais trouver ça un grand nombre de super nœuds ont échoué en même temps, pour une raison non spécifiée. Et ne voyez pas en quoi cela est pertinent pour l'épuisement des adresses IPv4. - ivan_pozdeev
@ivan_pozdeev Supernodes est une solution de contournement pour les problèmes causés par NAT. La NAT en elle-même est une solution de rechange au manque d’adresses IPv4. Ainsi, la nécessité pour Skype d'utiliser des supernodes en premier lieu était entièrement due à la pénurie d'adresses IPv4. Si Internet avait été mis à niveau vers IPv6 à un rythme plus raisonnable, Skype n'aurait pas eu besoin de super nœuds, et cette panne n'aurait pas eu lieu. - kasperd


Les FAI donnaient auparavant des blocs de 256 adresses IP aux entreprises. Maintenant, les FAI sont chics et vous donnent (une entreprise) comme 5. À l’époque (2003), chaque PC et appareil connecté de votre maison avait sa propre adresse IP Internet. Maintenant, le routeur câble / DSN / Fios a une adresse IP et transmet les adresses IP 10.0.0.x à tous les PC de votre domicile. Résumé: les FAI avaient l'habitude de perdre leurs adresses IP et maintenant, ils ne les gaspillent plus.


5
2018-01-29 23:38



"De retour dans la journée (2003), chaque PC et appareil connecté de votre domicile possédait sa propre adresse IP Internet."Seulement si vous avez payé pour le 2ème, 3ème, 4ème, etc. - RonJohn
RonJohn a raison. J'étais l'un des pionniers du haut débit lorsque l'internet par câble est arrivé dans ma région en 1997. Je l'ai payée 50 $ US par mois, et je me souviens très bien qu'ils ont offert une deuxième adresse IP pour 20 $ de plus par mois. Même si j'en voulais un, je n'étais pas disposé à payer pour cela. L'année suivante, mon problème a été résolu lorsque j'ai découvert les périphériques NAT. Ils n'avaient pas beaucoup de fonctionnalités (telles que le transfert de port pour les connexions entrantes), mais celui que j'ai résolu a résolu mon besoin immédiat. - Charles Burge
@ Charles Burge Je me souviens aussi de cela. Nous constatons également que certains fournisseurs tentent de faire la même chose avec IPv6. - Kevin Keane
@CharlesBurge: Cela dépendait de votre FAI. J'avais un ami sur le câble à Phoenix, en Arizona, à peu près au même moment, et il a obtenu un sous-réseau entièrement routé, un bloc / 29, avec 8 adresses, dont 5 utilisables. Nous avons exploité un serveur Linux avec gated (par accident de notre part), et le réseau câblé a en fait partagé des informations de routage BGP complètes. Cela et les gens qui ont mis leurs ordinateurs et imprimantes Windows avec des partages entièrement ouverts sur le réseau ont rendu la vie intéressante. - Zan Lynx
Oh oui, je me souviens de la visibilité du réseau. Tous les autres utilisateurs de ma boucle étaient visibles dans "Voisinage réseau" et je pouvais parcourir les partages qu'ils possédaient. - Charles Burge


Vous avez déjà reçu beaucoup d'excellentes réponses, mais j'aimerais ajouter quelque chose qui n'a pas encore été mentionné.

Oui, l'épuisement des adresses IPv4 est mauvais, selon la façon dont vous le mesurez. Certaines entreprises ont encore une offre considérable d'adresses IPv4, mais nous commençons à voir des solutions de contournement telles que le NAT de classe opérateur.

Mais beaucoup de réponses sont fausses quand ils passent au format IPv6.

Voici une liste de technologies qui peuvent aider à faire face à la pénurie d'adresses IPv4. Chacun a ses avantages et ses inconvénients.

  • IPv6

    • Avantage: standardisé et disponible dans la plupart des systèmes d'exploitation.
    • Inconvénient: malgré de fréquentes déclarations contraires, de graves problèmes de sécurité. Dès 2005, US CERT averti des problèmes de sécurité causés par l'adressage global d'IPv6. IPv6 pouvez être correctement sécurisé, mais compte tenu de l'état des routeurs consommateurs, cela peut ne pas arriver.
    • Inconvénient: la migration prend du temps, de l'argent et de l'expertise.
    • Inconvénient: de nombreux appareils grand public sont gravement défectueux. Par exemple, un certain nombre de routeurs D-Link prennent en charge IPv6 en transférant simplement tout le trafic sans offrir aucun pare-feu.

Autre point à prendre en compte: même si IPv6 prenait toute sa dimension aujourd’hui, il faudrait encore une vingtaine d’années pour le supprimer, en raison des équipements existants que les utilisateurs utiliseront très longtemps (je vois toujours des serveurs Windows 2003 et des postes de travail Windows XP). de temps en temps! Sans parler de toutes les imprimantes et appareils photo et gadgets IoT qui ne supportent pas IPv6).

  • CGNat:
    • Avantage: fonctionne sans changement chez le client.
    • Inconvénient: prend en charge uniquement les connexions sortantes.
    • Inconvénient: peut ne pas supporter quelques protocoles.

Finalement, CGNat ne suffira pas. IPv6 va peut-être faire son chemin, mais il est également tout à fait possible que nous finissions par voir un NAT de niveau national, ou quelque chose du genre.

Actuellement, en tant que consultant, je dois souvent signaler à mes clients qu'ils sont exposés sur IPv6 (souvent grâce à Teredo). La prochaine question sera invariablement: "combien ça coûte de réparer ça?" et ensuite "Combien ça coûte de le bloquer? Que perdons-nous si nous l'éteignons?" Devinez quelle sera la décision à chaque fois.

En bout de ligne: pour répondre à votre question, oui, l’épuisement IPv4 est réel. Et nous verrons pas mal de mécanismes pour y faire face. IPv6 peut être ou ne pas être l'équation.

Pour être clair: je ne dis pas que je comme cette situation. J'aimerais que IPv6 réussisse (et j'aimerais voir un certain nombre d'améliorations apportées à IPv6). Je ne fais que regarder la situation actuelle sur le terrain.


5
2018-02-01 01:54



CGN, comme n'importe quel NAT, ne fonctionne qu'avec TCP, UDP et ICMP, et non avec d'autres protocoles de transport. Il rompt également de nombreux protocoles de couche application. Le NAT est une solution laide pour essayer d’étendre IPv4, et il a vraiment survécu à son utilité. - Ron Maupin
@supercat, les paquets IP n'ont pas de noms DNS. Ce serait un protocole différent. Seuls les protocoles de transport TCP, UDP et ICMP fonctionnent avec NAPT, d'autres non. De nombreuses applications et protocoles de couche d’application ne fonctionnent pas avec NAPT, et ils ont besoin d’incroyables piratages par-dessus le vilain piratage de NAPT. Le principe IP est que chaque périphérique final a une adresse unique et de nombreux protocoles ont été conçus autour de cela. IPv6 résout ce problème, ainsi que certains défauts IPv4. - Ron Maupin
@supercat, si c’était aussi simple, il n’y aurait aucune raison pour l’énorme base installée de réseaux IPX de convertir en IPv4. Vous pouvez faire le même type de choses entre IPX et IPv4, et cela a été fait pendant un moment, mais ce n’est qu’un kludge. - Ron Maupin
@supercat - Afin de prendre en charge un tel réseau, nous devons abandonner les normes existantes et réécrire toutes les applications existantes qui se connectent directement aux adresses? Cela ne semble pas être une bonne approche pour moi. - Jules
@ KevinKeane Je ne suis pas très surpris qu'un ancien routeur grand public de 2010 ait des problèmes IPv6. Une recherche des résultats de recherche Google de 30 secondes indique qu'ils ont résolu ce problème il y a des années. - Michael Hampton♦