home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / rfc / 3 / rfc2008.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  33.9 KB  |  732 lines
  1.  
  2.  
  3.  
  4.  
  5.  
  6.  
  7. Network Working Group                                      Y. Rekhter
  8. Request for Comments: 2008                                      T. Li
  9. BCP: 7                                                  Cisco Systems
  10. Category: Best Current Practice                          October 1996
  11.  
  12.  
  13.               Implications of Various Address Allocation
  14.                      Policies for Internet Routing
  15.  
  16. Status of this Memo
  17.  
  18.    This document specifies an Internet Best Current Practices for the
  19.    Internet Community, and requests discussion and suggestions for
  20.    improvements.  Distribution of this memo is unlimited.
  21.  
  22. IESG Note:
  23.  
  24.    The addressing constraints described in this document are largely the
  25.    result of the interaction of existing router technology, address
  26.    assignment, and architectural history.  After extensive review and
  27.    discussion, the authors of this document, the IETF working group that
  28.    reviewed it, and the IESG have concluded that there are no other
  29.    currently deployable technologies available to overcome these
  30.    limitations.  In the event that routing or router technology develops
  31.    to the point that adequate routing aggregation can be achieved by
  32.    other means or that routers can deal with larger routing and more
  33.    dynamic tables, it may be appropriate to review these constraints.
  34.  
  35. 1 Abstract
  36.  
  37.    IP unicast address allocation and management are essential
  38.    operational functions for the Public Internet. The exact policies for
  39.    IP unicast address allocation and management continue to be the
  40.    subject of many discussions. Such discussions cannot be pursued in a
  41.    vacuum - the participants must understand the technical issues and
  42.    implications associated with various address allocation and
  43.    management policies.
  44.  
  45.    The purpose of this document is to articulate certain relevant
  46.    fundamental technical issues that must be considered in formulating
  47.    unicast address allocation and management policies for the Public
  48.    Internet, and to provide recommendations with respect to these
  49.    policies.
  50.  
  51.    The major focus of this document is on two possible policies,
  52.    "address ownership" and "address lending," and the technical
  53.    implications of these policies for the Public Internet.  For the
  54.    organizations that could provide reachability to a sufficiently large
  55.  
  56.  
  57.  
  58. Rekhter & Li             Best Current Practice                  [Page 1]
  59.  
  60. RFC 2008                                                    October 1996
  61.  
  62.  
  63.    fraction of the total destinations in the Internet, and could express
  64.    such reachability through a single IP address prefix the document
  65.    suggests to use the "address ownership" policy. However, applying the
  66.    "address ownership" policy to every individual site or organization
  67.    that connects to the Internet results in a non-scalable routing.
  68.  
  69.    Consequently, this document also recomments that the "address
  70.    lending" policy should be formally added to the set of address
  71.    allocation policies in the Public Internet. The document also
  72.    recommends that organizations that do not provide a sufficient degree
  73.    of routing information aggregation, but wish to obtain access to the
  74.    Internet routing services should be strongly encouraged to use this
  75.    policy to gain access to the services.
  76.  
  77. 2 On the intrinsic value of IP addresses
  78.  
  79.    Syntactically, the set of IPv4 unicast addresses is the (finite) set
  80.    of integers in the range 0x00000000 - 0xDFFFFFFF. IP addresses are
  81.    used for Network Layer (IP) routing. An IP address is the sole piece
  82.    of information about the node injected into the routing system.
  83.  
  84.    The notable semantics of an IP unicast address is its ability to
  85.    interact with the Public Internet routing service and thereby
  86.    exchange data with the remainder of the Internet. In other words, for
  87.    the Public Internet, it is the reachability of an IP address that
  88.    gives it an intrinsic value. Observe, however, that IP addresses are
  89.    used outside of the Public Internet. This document does not cover the
  90.    value of addresses in other than the Public Internet context.
  91.  
  92.    The above implies that in the Public Internet it is the service
  93.    environment (the Internet) and its continued operation, including its
  94.    routing system, which gives an IP address its intrinsic value, rather
  95.    than the inverse. Consequently, if the Public Internet routing system
  96.    ceases to be operational, the service disappears, and the addresses
  97.    cease to have any functional value in the Internet. At this point,
  98.    for the Public Internet, all address allocation and management
  99.    policies, including existing policies, are rendered meaningless.
  100.  
  101. 3 Hierarchical routing and its implication on address allocation
  102.  
  103.    Hierarchical routing [Kleinrock 77] is a mechanism that improves the
  104.    scaling properties of a routing system. It is the only proven
  105.    mechanism for scaling routing to the current size of the Internet.
  106.  
  107.    Hierarchical routing requires that addresses be assigned to reflect
  108.    the actual network topology. Hierarchical routing works by taking the
  109.    set of addresses covered by a portion of the topology, and generating
  110.    a single routing advertisement (route) for the entire set. Further,
  111.  
  112.  
  113.  
  114. Rekhter & Li             Best Current Practice                  [Page 2]
  115.  
  116. RFC 2008                                                    October 1996
  117.  
  118.  
  119.    hierarchical routing allows this to be done recursively: multiple
  120.    advertisements (routes) can be combined into a single advertisement
  121.    (route). By exercising this recursion, the amount of information
  122.    necessary to provide routing can be decreased substantially.
  123.  
  124.    A common example of hierarchical routing is the phone network, where
  125.    country codes, area codes, exchanges, and finally subscriber lines
  126.    are different levels in the hierarchy. In the phone network, a switch
  127.    need not keep detailed routing information about every possible
  128.    subscriber in a distant area code. Instead, the switch usually knows
  129.    one routing entry for the entire area code.
  130.  
  131.    Notice that the effect on scaling is dramatic. If we look at the
  132.    space complexity of the different schemes, the switch that knows
  133.    about every subscriber in the world needs O(n) space for n worldwide
  134.    subscribers.  Now consider the case of hierarchical routing. We can
  135.    break n down into the number of subscribers in the local area (l),
  136.    the other exchanges in the area code (e), the other area codes in the
  137.    local country code (a) and other country codes (c). Using this
  138.    notation, hierarchical routing has space complexity O(l + e + a + c).
  139.    Notice that each of these factors is much, much less than n, and
  140.    grows very slowly, if at all. This implies that a phone switch can be
  141.    built today that has some hope of not running out of space when it is
  142.    deployed.
  143.  
  144.    The fundamental property of hierarchical routing that makes this
  145.    scalability possible is the ability to form abstractions: here, the
  146.    ability to group subscribers into exchanges, area codes and country
  147.    codes. Further, such abstractions must provide useful information for
  148.    the ability to do routing. Some abstractions, such as the group of
  149.    users with green phones, are not useful when it comes time to route a
  150.    call.
  151.  
  152.    Since the information that the routing system really needs is the
  153.    location of the address within the topology, for hierarchical
  154.    routing, the useful abstraction must capture the topological location
  155.    of an address within the network. In principle this could be
  156.    accomplished in one of two ways.  Either (a) constrain the topology
  157.    (and allowed topology changes) to match address assignment. Or, (b)
  158.    avoid constraints on the topology (and topology changes), but require
  159.    that as the topology changes, an entity's address change as well. The
  160.    process of changing an entity's address is known as "renumbering."
  161.  
  162.  
  163.  
  164.  
  165.  
  166.  
  167.  
  168.  
  169.  
  170. Rekhter & Li             Best Current Practice                  [Page 3]
  171.  
  172. RFC 2008                                                    October 1996
  173.  
  174.  
  175. 4 Scaling the Internet routing system
  176.  
  177.    The enormous growth of the Public Internet places a heavy load on the
  178.    Internet routing system. Before the introduction of CIDR the growth
  179.    rate had doubled the size of the routing table roughly every nine
  180.    months. Capacity of computer technology doubles roughly every 24
  181.    months. Even if we could double the capacities of the routers in the
  182.    Internet every 24 months, inevitably the size of the routing tables
  183.    is going to exceed the limit of the routers. Therefore, to preserve
  184.    uninterrupted continuous growth of the Public Internet, deploying
  185.    mechanisms that contain the growth rate of the routing information is
  186.    essential.
  187.  
  188.    Lacking mechanisms to contain the growth rate of the routing
  189.    information, the growth of the Internet would have to be either
  190.    limited or frozen, or the Internet routing system would become
  191.    overloaded. The result of overloading routing is that the routing
  192.    subsystem will fail: either equipment (routers) could not maintain
  193.    enough routes to insure global connectivity, or providers will simply
  194.    exclude certain routes to insure that other routes provide
  195.    connectivity to particular sites. This document assumes that neither
  196.    of the outcomes mentioned in this paragraph is acceptable.
  197.  
  198.    Classless Inter-Domain Routing (CIDR) [RFC1518, RFC1519] has been
  199.    deployed since late 1992 in the Public Internet as the primary
  200.    mechanism to contain the growth rate of the routing information -
  201.    without CIDR the Internet routing system would have already
  202.    collapsed. For example, in October 1995, within AlterNet (one of the
  203.    major Internet Service Providers) there were 3194 routes. Thanks to
  204.    aggregation, AlterNet advertised only 799 routes to the rest of the
  205.    Internet - a saving of 2395 routes (75%) [Partan 95]. In October 1995
  206.    the Internet Routing Registry (IRR) contained 61,430 unique prefixes
  207.    listed, not counting prefixes marked as withdrawn (or 65,191 prefixes
  208.    with prefixes marked as withdrawn). That is roughly a lower bound
  209.    since many prefixes are not registered in the IRR. CIDR aggregation
  210.    resulted in less than 30,000 routes in the default-free part of the
  211.    Internet routing system [Villamizar 95].
  212.  
  213.    CIDR is an example of the application of hierarchical routing in the
  214.    Public Internet, where subnets, subscribers, and finally providers
  215.    are some possible levels in the hierarchy. For example, a router
  216.    within a site need not keep detailed routing information about every
  217.    possible host in that site. Instead, the router maintains routing
  218.    information on a per subnet basis. Likewise, a router within a
  219.    provider need not keep detailed routing information about individual
  220.    subnets within its subscribers. Instead, the router could maintain
  221.    routing information on a per subscriber basis. Moreover, a router
  222.    within a provider need not keep detailed routing information about
  223.  
  224.  
  225.  
  226. Rekhter & Li             Best Current Practice                  [Page 4]
  227.  
  228. RFC 2008                                                    October 1996
  229.  
  230.  
  231.    stub (single home) subscribers of other providers by maintaining
  232.    routing information on a per provider basis.
  233.  
  234.    Because of pre-CIDR address allocation, many routes in the Internet
  235.    are not suitable for hierarchical aggregation. Moreover, unconnected
  236.    sites with pre-CIDR address allocations exist. If these sites connect
  237.    to the Internet at some point in the future, the routes to these
  238.    sites are unlikely to be suitable for hierarchical aggregation. Also,
  239.    when a site uses addresses obtain from its provider, but then later
  240.    switches to a different provider (while continuing to use the same
  241.    addresses), the route to the site may no longer be suitable for
  242.    hierarchical aggregation.
  243.  
  244.    Hierarchical routing requires that aggregation boundaries for the
  245.    addressing information be formed along some hierarchy. As a result,
  246.    many exceptions will be injected into the routing system in the
  247.    future, besides those exceptions that currently exist. Each exception
  248.    added to the routing system deters the scalability of the routing
  249.    system. The exact number of exceptions that can be tolerated is
  250.    dependent on the technology used to support routing. Unbridled growth
  251.    in the number of such exceptions will cause the routing system to
  252.    collapse.
  253.  
  254. 5 Address allocation and management policies
  255.  
  256.    IP address allocation and management policy is a complex,
  257.    multifaceted issue. It covers a broad range of issues, such as who
  258.    formulates the policies, who executes the policies, what is the role
  259.    of various registries, what is the role of various organizations
  260.    (e.g., ISOC, IAB, IESG, IETF, IEPG, various government bodies, etc.),
  261.    the participation of end users in requesting addresses, and so on.
  262.    Address allocation and management and the scalability of the routing
  263.    system are interrelated - only certain address allocation and
  264.    management policies yield scalable routing. The Internet routing
  265.    system is subject to both technological and fundamental constraints.
  266.    These constraints restrict the choices of address allocation policies
  267.    that are practical.
  268.  
  269. 5.1 The "address ownership" allocation policy and its implications on
  270.    the Public Internet
  271.  
  272.    "Address ownership" is one possible address allocation and management
  273.    policy. The "address ownership" policy means that part of the address
  274.    space, once allocated to an organization, remains allocated to the
  275.    organization as long as that organization wants it. Further, that
  276.    portion of the address space would not be allocated to any other
  277.    organization.  Often, such addresses are called "portable." It was
  278.    assumed that if an organization acquires its addresses via the
  279.  
  280.  
  281.  
  282. Rekhter & Li             Best Current Practice                  [Page 5]
  283.  
  284. RFC 2008                                                    October 1996
  285.  
  286.  
  287.    "address ownership" policy, the organization would be able to use
  288.    these addresses to gain access to the Internet routing services,
  289.    regardless of where the organization connects to the Internet.
  290.  
  291.    While it has never been explicitly stated that various Internet
  292.    Registries use the "address ownership" allocation policy, it has
  293.    always been assumed (and practiced).
  294.  
  295.    To understand the implications of the "address ownership" policy
  296.    ("portable" addresses) on the scalability of the Internet routing
  297.    system, one must observe that:
  298.  
  299.      (a) By definition, address ownership assumes that addresses, once
  300.      assigned, fall under the control of the assignee. It is the
  301.      assignee that decides when to relinquish the ownership (although
  302.      the decision could be influenced by various factors).
  303.      Specifically, the assignee is not required (but may be influenced)
  304.      to relinquish the ownership as the connectivity of the assignee to
  305.      the Internet changes.
  306.  
  307.      (b) By definition, hierarchical routing assumes that addresses
  308.      reflect the network topology as much as possible.
  309.  
  310.    Therefore, the only presently known practical way to satisfy both
  311.    scalable hierarchical routing and address ownership for everyone is
  312.    to assume that the topology (or at least certain pieces of it) will
  313.    be permanently fixed. Given the distributed, decentralized, largely
  314.    unregulated, and global (international) nature of the Internet,
  315.    constraining the Internet topology (or even certain parts of it) may
  316.    have broad technical, social, economical, and political implications.
  317.    To date, little is known of what these implications are; even less is
  318.    known whether these implications would be acceptable (feasible) in
  319.    practice. Therefore, at least for now, we have to support an Internet
  320.    with an unconstrained topology (and unconstrained topological
  321.    changes).
  322.  
  323.    Since the Internet does not constrain its topology (or allowed
  324.    topology changes), we can either have address ownership for everyone
  325.    or a routable Internet, but not both, or we need to develop and
  326.    deploy new mechanisms (e.g., by decoupling the address owned by the
  327.    end users from those used by the Internet routing, and provide
  328.    mechanisms to translate between the two). In the absence of new
  329.    mechanisms, if we have address ownership ("portable" addresses) for
  330.    everyone, then the routing overhead will lead to a breakdown of the
  331.    routing system resulting in a fragmented (partitioned) Internet.
  332.    Alternately, we can have a routable Internet, but without address
  333.     ownership ("portable" addresses) for everyone.
  334.  
  335.  
  336.  
  337.  
  338. Rekhter & Li             Best Current Practice                  [Page 6]
  339.  
  340. RFC 2008                                                    October 1996
  341.  
  342.  
  343. 5.2 The "address lending" allocation policy and its implications for the
  344.    Public Internet
  345.  
  346.    Recently, especially since the arrival of CIDR, some subscribers and
  347.    providers have followed a model in which address space is not owned
  348.    (not portable), but is bound to the topology. This model suggests an
  349.    address allocation and management policy that differs from the
  350.    "address ownership" policy. The following describes a policy, called
  351.    "address lending," that provides a better match (as compared to the
  352.    "address ownership" policy) to the model.
  353.  
  354.    An "address lending" policy means that an organization gets its
  355.    addresses on a "loan" basis. For the length of the loan, the lender
  356.    cannot lend the addresses to any other borrower. Assignments and
  357.    allocations based on the "address lending" policy should explicitly
  358.    include the conditions of the loan. Such conditions must specify that
  359.    allocations are returned if the borrower is no longer contractually
  360.    bound to the lender, and the lender can no longer provide aggregation
  361.    for the allocation. If a loan ends, the organization can no longer
  362.    use the borrowed addresses, and therefore must get new addresses and
  363.    renumber to use them. The "address lending" policy does not constrain
  364.    how the new addresses could be acquired.
  365.  
  366.    This document expects that the "address lending" policy would be used
  367.    primarily by Internet Registries associated with providers; however,
  368.    this document does not preclude the use of the "address lending"
  369.    policy by an Internet Registry that is not associated with a
  370.    provider.
  371.  
  372.    This document expects that when the "address lending" policy is used
  373.    by an Internet Registry associated with a provider, the provider is
  374.    responsible for arranging aggregation of these addresses to a degree
  375.    that is sufficient to achieve Internet-wide IP connectivity.
  376.  
  377.    This document expects that when the "address lending" policy is used
  378.    by an Internet Registry associated with a provider, the terms and
  379.    conditions of the loan would be coupled to the service agreement
  380.    between the provider and the subscribers. That is, if the subscriber
  381.    moves to another provider, the loan would be canceled.
  382.  
  383.  
  384.  
  385.  
  386.  
  387.  
  388.  
  389.  
  390.  
  391.  
  392.  
  393.  
  394. Rekhter & Li             Best Current Practice                  [Page 7]
  395.  
  396. RFC 2008                                                    October 1996
  397.  
  398.  
  399.    To reduce disruptions when a subscriber changes its providers, this
  400.    document strongly recommends that the terms and conditions of the
  401.    loan should include provision for a grace period. This provision
  402.    would allow a subscriber that disconnects from its provider a certain
  403.    grace period after the disconnection. During this grace period, the
  404.    borrower (the subscriber) may continue to use the addresses obtained
  405.    under the loan. This document recommends a grace period of at least
  406.    30 days. Further, to contain the routing information overhead, this
  407.    document suggests that a grace period be no longer than six months.
  408.  
  409.    To understand the scalability implications of the "address lending"
  410.    policy, observe that if a subscriber borrows its addresses from its
  411.    provider's block, then the provider can advertise a single address
  412.    prefix. This reduces the routing information that needs to be carried
  413.    by the Internet routing system (for more information, see Section
  414.    5.3.1 of RFC1518). As the subscriber changes its provider, the loan
  415.    from the old provider would be returned, and the loan from the new
  416.    provider would be established. As a result, the subscriber would
  417.    renumber to the new addresses. Once the subscriber renumbers into the
  418.    new provider's existing blocks, no new routes need to be introduced
  419.    into the routing system.
  420.  
  421.    Therefore, the "address lending" policy, if applied appropriately, is
  422.    consistent with the constraints on address allocation policies
  423.    imposed by hierarchical routing, and thus promotes a scalable routing
  424.    system.  Thus, the "address lending" policy, if applied
  425.    appropriately, could play an important role in enabling the
  426.    continuous uninterrupted growth of the Internet.
  427.  
  428.    To be able to scale routing in other parts of the hierarchy, the
  429.    "lending" policy may also be applied hierarchically, so that
  430.    addresses may in turn be lent to other organizations. The implication
  431.    here is that the end of a single loan may have effects on
  432.    organizations that have recursively borrowed parts of the address
  433.    space from the main allocation. In this case, the exact effects are
  434.    difficult to determine a priori.
  435.  
  436. 5.3 In the absence of an explicit "address lending" policy
  437.  
  438.    Organizations connecting to the Internet should be aware that even if
  439.    their current provider, and the provider they switch to in the future
  440.    do not require renumbering, renumbering may still be needed to
  441.    achieve Internet-wide IP connectivity. For example, an organization
  442.    may now receive Internet service from some provider and allocate its
  443.    addresses out of the CIDR block associated with the provider. Later
  444.    the organization may switch to another provider. The previous
  445.    provider may still be willing to allow the organization to retain
  446.    part of the provider's CIDR block, and accept a more specific prefix
  447.  
  448.  
  449.  
  450. Rekhter & Li             Best Current Practice                  [Page 8]
  451.  
  452. RFC 2008                                                    October 1996
  453.  
  454.  
  455.    for that organization from the new provider. Likewise, the new
  456.    provider may be willing to accept that organization without
  457.    renumbering and advertise the more specific prefix (that covers
  458.    destinations within the organization) to the rest of the Internet.
  459.    However, if one or more other providers exist, that are unwilling or
  460.    unable to accept the longer prefix advertised by the new provider,
  461.    then the organization would not have IP connectivity to part of the
  462.    Internet. Among the possible solutions open to the organization may
  463.    be either to renumber, or for others to acquire connectivity to
  464.    providers that are willing and able to accept the prefix.
  465.  
  466.    The above shows that the absence of an explicit "address lending"
  467.    policy from a current provider in no way ensures that renumbering
  468.    will not be required in the future when changing providers.
  469.    Organizations should be aware of this fact should they encounter a
  470.    provider making claims to the contrary.
  471.  
  472. 6 Recommendations
  473.  
  474.    Observe that the goal of hierarchical routing in the Internet is not
  475.    to reduce the total amount of routing information in the Internet to
  476.    the theoretically possible minimum, but just to contain the volume of
  477.    routing information within the limits of technology,
  478.    price/performance, and human factors.  Therefore, organizations that
  479.    could provide reachability to a sufficiently large fraction of the
  480.    total destinations in the Internet and could express such
  481.    reachability through a single IP address prefix could expect that a
  482.    route with this prefix will be maintained throughout the default-free
  483.    part of the Internet routing system, regardless of where they connect
  484.    to the Internet.  Therefore, using the "address ownership" policy
  485.    when allocating addresses to such organizations is a reasonable
  486.    choice.  Within such organizations this document suggests the use of
  487.    the "address lending" policy.
  488.  
  489.    For all other organizations that expect Internet-wide IP
  490.    connectivity, the reachability information they inject into the
  491.    Internet routing system should be subject to hierarchical
  492.    aggregation. For such organizations, allocating addresses based on
  493.    the "address ownership" policy makes hierarchical aggregation
  494.    difficult, if not impossible. This, in turn, has a very detrimental
  495.    effect on the Internet routing system. To prevent the collapse of the
  496.    Internet routing system, for such organizations, this document
  497.    recommends using the "address lending" policy. Consequently, when
  498.    such an organization first connects to the Public Internet or changes
  499.    its topological attachment to the Public Internet, the organization
  500.    eventually needs to renumber. Renumbering allows the organization to
  501.    withdraw any exceptional prefixes that the organization would
  502.    otherwise inject into the Internet routing system. This applies to
  503.  
  504.  
  505.  
  506. Rekhter & Li             Best Current Practice                  [Page 9]
  507.  
  508. RFC 2008                                                    October 1996
  509.  
  510.  
  511.    the case where the organization takes its addresses out of its direct
  512.    provider's block and the organization changes its direct provider.
  513.    This may also apply to the case where the organization takes its
  514.    addresses out of its indirect provider's block, and the organization
  515.    changes its indirect provider, or the organization's direct provider
  516.    changes its provider.
  517.  
  518.    Carrying routing information has a cost associated with it. This
  519.    cost, at some point, may be passed back in full to the organizations
  520.    that inject the routing information. Aggregation of addressing
  521.    information (via CIDR) could reduce the cost, as it allows an
  522.    increase in the number of destinations covered by a single route.
  523.    Organizations whose addresses are allocated based on the "address
  524.    ownership" policy (and thus may not be suitable for aggregation)
  525.    should be prepared to absorb the cost completely on their own.
  526.  
  527.    Observe that neither the "address ownership," nor the "address
  528.    lending" policy, by itself, is sufficient to guarantee Internet-wide
  529.    IP connectivity. Therefore, we recommend that sites with addresses
  530.    allocated based on either policy should consult their providers about
  531.    the reachability scope that could be achieved with these addresses,
  532.    and associated costs that result from using these addresses.
  533.  
  534.    If an organization doesn't require Internet-wide IP connectivity,
  535.    then address allocation for the organization could be done based on
  536.    the "address ownership" policy. Here, the organization may still
  537.    maintain limited IP connectivity (e.g., with all the subscribers of
  538.    its direct provider) by limiting the distribution scope of its
  539.    routing information to its direct provider. Connectivity to the rest
  540.    of the Internet can be handled by mediating gateways (e.g.,
  541.    application layer gateways, Network Address Translators (NATs)). Note
  542.    that use of mediating gateways eliminates the need for renumbering,
  543.    and avoids burdening the Internet routing system with non-
  544.    aggregatable addressing information; however they have other
  545.    drawbacks which may prove awkward in certain situations.
  546.  
  547.    Both renumbering (due to the "address lending" policy), and non-
  548.    aggregated routing information (due to the "address ownership"
  549.    policy), and the use of mediating gateways result in some costs.
  550.    Therefore, an organization needs to analyze its own connectivity
  551.    requirements carefully and compare the tradeoffs associated with
  552.    addresses acquired via either policy vs. having connectivity via
  553.    mediating gateways (possibly augmented by limited IP connectivity)
  554.    using addresses acquired via "address ownership." To reduce the cost
  555.    of renumbering, organizations should be strongly encouraged to deploy
  556.    tools that simplify renumbering (e.g., Dynamic Host Configuration
  557.    Protocol [RFC 1541]). Use of the DNS should be strongly encouraged.
  558.  
  559.  
  560.  
  561.  
  562. Rekhter & Li             Best Current Practice                 [Page 10]
  563.  
  564. RFC 2008                                                    October 1996
  565.  
  566.  
  567. 7 Summary
  568.  
  569.    Any address allocation and management policy for IP addresses used
  570.    for Internet connectivity must take into account its impact on the
  571.    scalability of the Public Internet routing system. Among all of the
  572.    possible address allocation and management policies only the ones
  573.    that yield a scalable routing system are feasible. All other policies
  574.    are self-destructive in nature, as they lead to a collapse of the
  575.    Internet routing system, and therefore to the fragmentation
  576.    (partitioning) of the Public Internet.
  577.  
  578.    Within the context of the current Public Internet, address allocation
  579.    and management policies that assume unrestricted address ownership
  580.    have an extremely negative impact on the scalability of the Internet
  581.    routing system. Such policies are almost certain to exhaust the
  582.    scalability of the Internet routing system well before we approach
  583.    the exhaustion of the IPv4 address space and before we can make
  584.    effective use of the IPv6 address space. Given the Internet's growth
  585.    rate and current technology, the notion that everyone can own address
  586.    space and receive Internet-wide routing services, despite where they
  587.    connect to the Internet, is currently technically infeasible.
  588.    Therefore, this document makes two recommendations. First, the
  589.    "address lending" policy should be formally added to the set of
  590.    address allocation policies in the Public Internet. Second,
  591.    organizations that do not provide a sufficient degree of routing
  592.    information aggregation to obtain access to the Internet routing
  593.    services should be strongly encouraged to use this policy to gain
  594.    access to the services.
  595.  
  596.    Since the current IPv6 address allocation architecture is based on
  597.    CIDR, recommendations presented in this document apply to IPv6
  598.    address allocation and management policies as well.
  599.  
  600. 8 Security Considerations
  601.  
  602.    Renumbering a site has several possible implications on the security
  603.    policies of both the site itself and sites that regularly communicate
  604.    with the renumbering sites.
  605.  
  606.    Many sites currently use "firewall" systems to provide coarse-grained
  607.    access control from external networks, such as The Internet, to their
  608.    internal systems.  Such firewalls might include access control
  609.    decisions based on the claimed source address of packets arriving at
  610.    such firewall systems.  When the firewall policy relates to packets
  611.    arriving on the firewall from inside the site, then that firewall
  612.    will need to be reconfigured at the same time that the site itself
  613.    renumbers.  When the firewall policy relates to packets arriving at
  614.    the firewall from outside the site, then such firewalls will need to
  615.  
  616.  
  617.  
  618. Rekhter & Li             Best Current Practice                 [Page 11]
  619.  
  620. RFC 2008                                                    October 1996
  621.  
  622.  
  623.    be reconfigured whenever an outside site that is granted any access
  624.    inside the site through the firewall is renumbered.
  625.  
  626.    It is highly inadvisable to rely upon unauthenticated source or
  627.    destination IP addresses for security policy decisions. [Bellovin89]
  628.    IP address spoofing is not difficult with widely available systems,
  629.    such as personal computers.  A better approach would probably involve
  630.    the use of IP Security techniques, such as the IP Authentication
  631.    Header [RFC-1826] or IP Encapsulating Security Payload [RFC-1827], at
  632.    the firewall so that the firewall can rely on cryptographic
  633.    techniques for identification when making its security policy
  634.    decisions.
  635.  
  636.    It is strongly desirable that authentication be present in any
  637.    mechanism used to renumber IP nodes.  A renumbering mechanism that
  638.    lacks authentication could be used by an adversary to renumber
  639.    systems that should not have been renumbered, for example.
  640.  
  641.    There may be other security considerations that are not covered in
  642.    this document.
  643.  
  644. 9 Acknowledgments
  645.  
  646.    This document borrows heavily from various postings on various
  647.    mailing lists. Special thanks to Noel Chiappa, Dennis Ferguson, Eric
  648.    Fleischman, Geoff Huston, and Jon Postel whose postings were used in
  649.    this document.
  650.  
  651.    Most of the Section 5.3 was contributed by Curtis Villamizar.  The
  652.    Security section was contributed by Ran Atkinson.
  653.  
  654.    Many thanks to Scott Bradner, Randy Bush, Brian Carpenter, Noel
  655.    Chiappa, David Conrad, John Curran, Sean Doran, Dorian Kim, Thomas
  656.    Narten, Andrew Partan, Dave Piscitello, Simon Poole, Curtis
  657.    Villamizar, and Nicolas Williams for their review, comments, and
  658.    contributions to this document.
  659.  
  660.    Finally, we like to thank all the members of the CIDR Working Group
  661.    for their review and comments.
  662.  
  663.  
  664.  
  665.  
  666.  
  667.  
  668.  
  669.  
  670.  
  671.  
  672.  
  673.  
  674. Rekhter & Li             Best Current Practice                 [Page 12]
  675.  
  676. RFC 2008                                                    October 1996
  677.  
  678.  
  679. 9 References
  680.  
  681.    [Bellovin89] Bellovin, S., "Security Problems in the TCP/IP Protocol
  682.    Suite", ACM Computer Communications Review, Vol. 19, No. 2, March
  683.    1989.
  684.  
  685.    [Kleinrock 77] Kleinrock, L., and K. Farouk, K., "Hierarchical
  686.    Routing for Large Networks," Computer Networks 1 (1977), North-
  687.    Holland Publishing Company.
  688.  
  689.    [Partan 95] Partan, A., private communications, October 1995.
  690.  
  691.    [RFC 1541] Droms, R., "Dynamic Host Configuration Protocol", October
  692.    1993.
  693.  
  694.    [RFC 1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Classless
  695.    Inter-Domain Routing (CIDR): an Address Assignment and Aggregation
  696.    Strategy", September 1993.
  697.  
  698.    [RFC 1518] Rekhter, Y., and T. Li, "An Architecture for IP Address
  699.    Allocation with CIDR", September 1993.
  700.  
  701.    [RFC 1825] Atkinson, R., "IP Security Architecture", RFC 1825, August
  702.    1995.
  703.  
  704.    [RFC 1826] Atkinson, R., "IP Authentication Header (AH), RFC 1826,
  705.    August 1995.
  706.  
  707.    [RFC 1827] Atkinson, R., "IP Encapsulating Security Payload (ESP)",
  708.    RFC 1827, August 1995.
  709.  
  710.    [Villamizar 95] Villamizar, C., private communications, October 1995.
  711.  
  712. 10 Authors' Addresses
  713.  
  714.       Yakov Rekhter
  715.       cisco Systems, Inc.
  716.       170 Tasman Dr.
  717.       San Jose, CA 95134
  718.       Phone: (914) 528-0090
  719.       EMail: yakov@cisco.com
  720.  
  721.       Tony Li
  722.       cisco Systems, Inc.
  723.       170 Tasman Dr.
  724.       San Jose, CA 95134
  725.       Phone: (408) 526-8186
  726.       EMail: tli@cisco.com
  727.  
  728.  
  729.  
  730. Rekhter & Li             Best Current Practice                 [Page 13]
  731.  
  732.