Quand l’IPv4 et la saturation des tables de routage posent problème

Il y a pas mal de réponses comportant des éléments erronés. Je vais tenter de clarifier.

PinoTM a écrit :



Petite question de la part de quelqu’un qui n’est pas très calé en réseau " />

L’IPV6 va-t-il régler ce genre de problèmes ?

On aura toujours besoin de tables de routages non ?







IPv6, dans la gestion administrative des allocations de blocs par les Regional Internet Registries (voirhttp://fr.wikipedia.org/wiki/Registre_Internet_r%C3%A9gional) aux Local Internet Registries (entre autre les FAI), de réduire le nombre de blocs fragmentés à annoncer.



Il n’interdit pas aux opérateurs de désagréger leurs blocs, ce que font certains pour équilibrer le trafic entre leurs différents liens de transit (voir CIDR Report et plus spécifiquementhttp://www.cidr-report.org/as2.0/#Gains ).



Le fait est qu’IPv4 y est plus sujet car :

• Il est largement plus déployé
  


• Il a un plus lourd passif (fusions / rachats de boites, allocations successives de nouveaux blocs…)
  


• Les ingés réseaux qui ont déjà déployé IPv6 sont globalement plus compétents et plus “propres” que ceux qui n’opèrent que de l’IPv4
  
  
  
  
  
  
  
  
  
  Bejarid a écrit :
  
  
  
  2° Seul les routeurs modernes supportent l’IP v6 et ceux-ci ont aussi des registres pour tables de routage bien plus gros (normalement toute personne sur terre pourra avoir son entrée sans que ça pose soucis).
  
  
  
  
  
  
  
  C’est partiellement faux : on ne peut pas dire qu’un Cisco Catalyst 6500 / Sup720-3BXL (ou un 7600, c’est la même architecture) soit “moderne” et pourtant il traite l’IPv6 en hardware depuis plus de 10 ans, tout comme un Juniper M7i ou un BigIron 4000 en Jetcore.
  
  
  
  Pour s’en tenir aux ⁶⁵⁰⁰⁄₇₆₀₀, qui représentent la plus large portion du parc installé dans le monde, une route IPv6 prend deux fois plus de place qu’une route IPv4, et on peut repartitionner la TCAM (portion de mémoire rapide dédiée à la Forward Information Base) pour pousser jusqu’à 1M routes de 72 bits (IPv4, MPLS…). Par contre on y perd des routes 144 bits (IPv6, multicast). Vu la taille de la Default Free Zone (table de routage globale d’Internet) pour ces deux protocoles, en pratique, ça se fait très bien quand même tant qu’il n’y a pas trop de routes internes dans le réseau concerné.
  
  
  
  Enfin les nouveaux routeurs ne supportent pas tous autant de routes. UN Brocade CER démarre à 256k routes, seules les versions -RT (bien plus chères) montent à 1,5M routes. Idem pour un Juniper MX, quoi qu’il s’agit d’un bridage logiciel à 256k routes. Le même mécano existe sur les Cisco ASR9k, et surtout les 6500 (maintenant rebrandés en 6800, comme quoi les vendeurs de GPU ne sont pas les seuls à nous faire passer du vieux pour du neuf) sont encore commercialisés, en deux versions : 256k et 2M routes (SUP2T et 2T-XL replaçant la SUP720-3B et -3BXL respectivement).
  
  
  
  Mais qu’on soit bien clairs : la plupart des réseaux prenant une full view n’en ont pas réellement besoin. Seuls ceux fournissant du transit BGP à d’autres peuvent le justifier, les autres peuvent se contenter de moins de routes et les versions “256k routes” des routeurs actuels ou anciens suffisent largement.
  
  
  
  
  
  
  
  HarmattanBlow a écrit :
  
  
  
  Ce problème n’est de toute façon pas causé par IPv4.
  
  
  
  
  
  
  
  Non, c’est principalement du à la mauvaise habitude de certains gros ISP américains et asiatiques de désagréger leurs préfixes pour des raisons d’ingénierie de trafic. Sans ces emmerdeurs on serait à moins de 300k routes.
  
  
  
  
  
  
  
  tiny_naxos a écrit :
  
  
  
  Tu dis ça de source sûre, que les routeurs supportant IPv6 pourront tout absorber finger in the noze ? " />
  
  Car bon introduire IPv6, c’est segmenter la mémoire pour la table v6 et donc réduire la place du v4…
  
  
  
  Dans tous les cas, le problème c’est la fragmentation qui empêche de bien summarizer les routes…
  
  
  
  
  
  
  
  Précisément. Mais il existe des algos pour l’auto-summarization. Après tout, tu n’as rien à foutre d’un more-specific à plus de 4 AS de toi : tes upstreams ont le more-specific, tu peux le shooter ça reviendra à la même chose (sous réserve de cohérence entre tes upstreams, si le TE est trop violent proche de la source tu peux avoir une route très différente en procédant de la sorte).
  
  
  
  Seulement quand on achète un routeur, c’est pas uniquement le matos qu’on paye, c’est surtout le logiciel (tout fermés et tout pleins de bugs, certes, mais on apprend vite à faire avec). On ne peut donc pas avoir une telle feature sans que le constructeur ne l’implémente. Hors le seul intérêt serait de prolonger la vie d’une machine. Ce qui ne va pas dans l’intérêt du constructeur. Donc il ne le fera probablement pas.
  
  
  
  
  

clacbec a écrit :



C’est un faux problème , n’importe quel pc a 500\( a la capacité de travailler

avec des table immense, c'est juste ces saleté de routeur qui tourne

sur des cpu minable et ou l'upgrade de ram fait passer apple pour

un truc bon marché







Tenir à jour une grosse table de routage n'est pas le problème, un P3 avec 512Mo de RAM est largement suffisant.



Recevoir un paquet sur une carte réseau déclenche une interruption. Le CPU va lire chaque paquet pour y repérer l'adresse, parcourir la table (de taille croissante) pour savoir quoi en faire, et transmettre ça à la bonne carte réseau, bizarrement, ça scale pas aussi bien.



Le routage logiciel fixe une limite faible en nombre de paquet pouvant être routé chaque seconde. En cas de DDoS sur des petits paquet UDP, sur un réseau routé en 100% soft (que ce soit un PC sous LInux avec BIRD ou Quagga ou un Cisco 7200 / NPE-G1), ton réseau va se vautrer comme une loutre bourrée.



Isoler le data-plane du control-plane permet d'avoir des composants spécialisés qui font le travail de routage en "fast-path", sans solliciter de ressource CPU rare.



Maintenant d'autres architectures apparaissent. Les NPU de chez Tilera et Cavium par exemple, des MIPS massivement multicores, savent router jusqu'à 80Gbps pour moins de \)2k (Tile GX8072, bientôt dispo dans le Mikrotik CCR1072-1G-8S+).







sebtx a écrit :



En tout cas je souhaite bon courage à celui qui se tape le mode CLI sur ces routeurs Cisco -_-







Sauf qu’à l’usage la CLI est infiniment plus efficace que n’importe quel clicodrome. Surtout dans le réseau. On y prend vite des automatismes…







iosys a écrit :



Oui ce serait comme encoder de la HD avec un 486 (PC à 500\() comparé à un c2d (le routeur à 100k\)) :o







Il dit qu’il voit pas le rapport " />

sebtx a écrit :



J’ai pas dit le contraire, mais ça doit devenir vite compliqué quand faut paramétrer des trucs bien spécifiques.







Justement, c’est ça qui est puissant : tu as accès à TOUS les réglages depuis n’importe quel terminal.



Bon, ça vaut pas une CLI Juniper ou IOS-XR où tu as de vraies possibilités d’édition et de scripting, de versionning etc… Mais l’IOS classique est déjà pas mal. Il en a d’ailleurs inspiré beaucoup.







porecreat a écrit :



En tout cas, je peux vous dire que sur le matos à acheter pour remplacer ceux qui sont touchés par ce problème, Cisco a beau reconnaitre son existence, ça l’empêche pas de se rincer au passage…







Il ne faut pas remplacer un 6500 parce qu’il ne tient pas assez de routes. Il faut le remplacer parce que 2-300W par port 10G c’est d’un autre âge. La puissance électrique en datacenter, c’est de plus en plus rare et de plus en plus cher. Investir dans des routeurs modernes peut facilement réduire les coûts d’exploitation d’un réseau.



Et je te dis ça en bossant coté ISP, pas coté équipementier…







Mickael Knight a écrit :



Désolé, mais Newsoo se bouge pas mal le derrière.



Ils développent un service Usenet en France dont leur AS n’annonce que de l’IPv6 et ils incitent les FAI à déployer IPv6 auprès des abonnés finaux en échange de la gratuité. C’est le cas pour K-Net par ex.







K-Net est un réseau jeune tenu par d’excellent techniciens " /> . Il a été construit dès le départ avec du matos supportant IPv6 et par des gens sachant l’utiliser. C’est pour ça qu’il le supporte mieux que plein d’autres. Pas parce qu’un service ultra minoritaire en part de marché a profité du 6 juin pour se faire un coup de pub.







GentooUser a écrit :



Je vient de quitter FirstHeberg parce-que l’IPv6 chez eux c’est pour demain…



…Depuis deux ans " />







Rha mais non, Jeremy est tout content de son MLX16, qui le supporte très bien ! " /> Bon, par contre, c’est pas un MLXe (nombre de routes, tout ça…) " />







Etre_Libre a écrit :



Chez Numericable, ils n’ont pas l’air de connaître IPv6 (chez moi en tout cas), donc pas moyen de tester un vrai accès…







Si si, le boss du réseau le connait très bien, et le cœur de réseau est déjà prêt. Mais les modems ne le supportent pas et le marketing à dit qu’“on s’en branle”.



Et puis ils sont trop occupés à racheter SFR et préparer la migration des clients ADSL sur le câble…" />

Etre_Libre a écrit :



Il paraît que Free n’a pas d’IPv6 natif mais encapsulé : qu’en est-il réellement ?



Aussi, ce n’est pas actif par défaut il me semble ?







Oui c’est encapsulé, mais ça ne change rien ou presque.



N’oublies pas que les autres FAI utilisent encore du PPP et donc encapsulent aussi IPv4.



Hors le seul problème posé par l’encapsulation c’est la baisse du MTU, qui en pratique n’est pas gênante tant que l’ICMP passe bien pour permettre la détection de la taille de paquet maximale sur l’ensemble du chemin (Path MTU Discovery).



Rani a fait comme ça car les DSLAM Freebox ne pouvaient pas supporter le routage IPv6 localement. C’était le meilleur compromis. Ce n’était pas pour autant le premier FAI à le proposer : Nerim propose IPv6 nativement sur toutes ses offres depuis quoi… 2001 ?