home *** CD-ROM | disk | FTP | other *** search

---

/ Unix System Administration Handbook 1997 October / usah_oct97.iso / rfc / 2000s / rfc2008.txt

< prev

next >

Wrap

Text File  |  1996-10-10  |  35KB  |  732 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7. Network Working Group                                      Y. Rekhter
8. Request for Comments: 2008                                      T. Li
9. BCP: 7                                                  Cisco Systems
10. Category: Best Current Practice                          October 1996
11.  
12.  
13.               Implications of Various Address Allocation
14.                      Policies for Internet Routing
15.  
16. Status of this Memo
17.  
18.    This document specifies an Internet Best Current Practices for the
19.    Internet Community, and requests discussion and suggestions for
20.    improvements.  Distribution of this memo is unlimited.
21.  
22. IESG Note:
23.  
24.    The addressing constraints described in this document are largely the
25.    result of the interaction of existing router technology, address
26.    assignment, and architectural history.  After extensive review and
27.    discussion, the authors of this document, the IETF working group that
28.    reviewed it, and the IESG have concluded that there are no other
29.    currently deployable technologies available to overcome these
30.    limitations.  In the event that routing or router technology develops
31.    to the point that adequate routing aggregation can be achieved by
32.    other means or that routers can deal with larger routing and more
33.    dynamic tables, it may be appropriate to review these constraints.
34.  
35. 1 Abstract
36.  
37.    IP unicast address allocation and management are essential
38.    operational functions for the Public Internet. The exact policies for
39.    IP unicast address allocation and management continue to be the
40.    subject of many discussions. Such discussions cannot be pursued in a
41.    vacuum - the participants must understand the technical issues and
42.    implications associated with various address allocation and
43.    management policies.
44.  
45.    The purpose of this document is to articulate certain relevant
46.    fundamental technical issues that must be considered in formulating
47.    unicast address allocation and management policies for the Public
48.    Internet, and to provide recommendations with respect to these
49.    policies.
50.  
51.    The major focus of this document is on two possible policies,
52.    "address ownership" and "address lending," and the technical
53.    implications of these policies for the Public Internet.  For the
54.    organizations that could provide reachability to a sufficiently large
55.  
56.  
57.  
58. Rekhter & Li             Best Current Practice                  [Page 1]
59.  
60. RFC 2008                                                    October 1996
61.  
62.  
63.    fraction of the total destinations in the Internet, and could express
64.    such reachability through a single IP address prefix the document
65.    suggests to use the "address ownership" policy. However, applying the
66.    "address ownership" policy to every individual site or organization
67.    that connects to the Internet results in a non-scalable routing.
68.  
69.    Consequently, this document also recomments that the "address
70.    lending" policy should be formally added to the set of address
71.    allocation policies in the Public Internet. The document also
72.    recommends that organizations that do not provide a sufficient degree
73.    of routing information aggregation, but wish to obtain access to the
74.    Internet routing services should be strongly encouraged to use this
75.    policy to gain access to the services.
76.  
77. 2 On the intrinsic value of IP addresses
78.  
79.    Syntactically, the set of IPv4 unicast addresses is the (finite) set
80.    of integers in the range 0x00000000 - 0xDFFFFFFF. IP addresses are
81.    used for Network Layer (IP) routing. An IP address is the sole piece
82.    of information about the node injected into the routing system.
83.  
84.    The notable semantics of an IP unicast address is its ability to
85.    interact with the Public Internet routing service and thereby
86.    exchange data with the remainder of the Internet. In other words, for
87.    the Public Internet, it is the reachability of an IP address that
88.    gives it an intrinsic value. Observe, however, that IP addresses are
89.    used outside of the Public Internet. This document does not cover the
90.    value of addresses in other than the Public Internet context.
91.  
92.    The above implies that in the Public Internet it is the service
93.    environment (the Internet) and its continued operation, including its
94.    routing system, which gives an IP address its intrinsic value, rather
95.    than the inverse. Consequently, if the Public Internet routing system
96.    ceases to be operational, the service disappears, and the addresses
97.    cease to have any functional value in the Internet. At this point,
98.    for the Public Internet, all address allocation and management
99.    policies, including existing policies, are rendered meaningless.
100.  
101. 3 Hierarchical routing and its implication on address allocation
102.  
103.    Hierarchical routing [Kleinrock 77] is a mechanism that improves the
104.    scaling properties of a routing system. It is the only proven
105.    mechanism for scaling routing to the current size of the Internet.
106.  
107.    Hierarchical routing requires that addresses be assigned to reflect
108.    the actual network topology. Hierarchical routing works by taking the
109.    set of addresses covered by a portion of the topology, and generating
110.    a single routing advertisement (route) for the entire set. Further,
111.  
112.  
113.  
114. Rekhter & Li             Best Current Practice                  [Page 2]
115.  
116. RFC 2008                                                    October 1996
117.  
118.  
119.    hierarchical routing allows this to be done recursively: multiple
120.    advertisements (routes) can be combined into a single advertisement
121.    (route). By exercising this recursion, the amount of information
122.    necessary to provide routing can be decreased substantially.
123.  
124.    A common example of hierarchical routing is the phone network, where
125.    country codes, area codes, exchanges, and finally subscriber lines
126.    are different levels in the hierarchy. In the phone network, a switch
127.    need not keep detailed routing information about every possible
128.    subscriber in a distant area code. Instead, the switch usually knows
129.    one routing entry for the entire area code.
130.  
131.    Notice that the effect on scaling is dramatic. If we look at the
132.    space complexity of the different schemes, the switch that knows
133.    about every subscriber in the world needs O(n) space for n worldwide
134.    subscribers.  Now consider the case of hierarchical routing. We can
135.    break n down into the number of subscribers in the local area (l),
136.    the other exchanges in the area code (e), the other area codes in the
137.    local country code (a) and other country codes (c). Using this
138.    notation, hierarchical routing has space complexity O(l + e + a + c).
139.    Notice that each of these factors is much, much less than n, and
140.    grows very slowly, if at all. This implies that a phone switch can be
141.    built today that has some hope of not running out of space when it is
142.    deployed.
143.  
144.    The fundamental property of hierarchical routing that makes this
145.    scalability possible is the ability to form abstractions: here, the
146.    ability to group subscribers into exchanges, area codes and country
147.    codes. Further, such abstractions must provide useful information for
148.    the ability to do routing. Some abstractions, such as the group of
149.    users with green phones, are not useful when it comes time to route a
150.    call.
151.  
152.    Since the information that the routing system really needs is the
153.    location of the address within the topology, for hierarchical
154.    routing, the useful abstraction must capture the topological location
155.    of an address within the network. In principle this could be
156.    accomplished in one of two ways.  Either (a) constrain the topology
157.    (and allowed topology changes) to match address assignment. Or, (b)
158.    avoid constraints on the topology (and topology changes), but require
159.    that as the topology changes, an entity's address change as well. The
160.    process of changing an entity's address is known as "renumbering."
161.  
162.  
163.  
164.  
165.  
166.  
167.  
168.  
169.  
170. Rekhter & Li             Best Current Practice                  [Page 3]
171.  
172. RFC 2008                                                    October 1996
173.  
174.  
175. 4 Scaling the Internet routing system
176.  
177.    The enormous growth of the Public Internet places a heavy load on the
178.    Internet routing system. Before the introduction of CIDR the growth
179.    rate had doubled the size of the routing table roughly every nine
180.    months. Capacity of computer technology doubles roughly every 24
181.    months. Even if we could double the capacities of the routers in the
182.    Internet every 24 months, inevitably the size of the routing tables
183.    is going to exceed the limit of the routers. Therefore, to preserve
184.    uninterrupted continuous growth of the Public Internet, deploying
185.    mechanisms that contain the growth rate of the routing information is
186.    essential.
187.  
188.    Lacking mechanisms to contain the growth rate of the routing
189.    information, the growth of the Internet would have to be either
190.    limited or frozen, or the Internet routing system would become
191.    overloaded. The result of overloading routing is that the routing
192.    subsystem will fail: either equipment (routers) could not maintain
193.    enough routes to insure global connectivity, or providers will simply
194.    exclude certain routes to insure that other routes provide
195.    connectivity to particular sites. This document assumes that neither
196.    of the outcomes mentioned in this paragraph is acceptable.
197.  
198.    Classless Inter-Domain Routing (CIDR) [RFC1518, RFC1519] has been
199.    deployed since late 1992 in the Public Internet as the primary
200.    mechanism to contain the growth rate of the routing information -
201.    without CIDR the Internet routing system would have already
202.    collapsed. For example, in October 1995, within AlterNet (one of the
203.    major Internet Service Providers) there were 3194 routes. Thanks to
204.    aggregation, AlterNet advertised only 799 routes to the rest of the
205.    Internet - a saving of 2395 routes (75%) [Partan 95]. In October 1995
206.    the Internet Routing Registry (IRR) contained 61,430 unique prefixes
207.    listed, not counting prefixes marked as withdrawn (or 65,191 prefixes
208.    with prefixes marked as withdrawn). That is roughly a lower bound
209.    since many prefixes are not registered in the IRR. CIDR aggregation
210.    resulted in less than 30,000 routes in the default-free part of the
211.    Internet routing system [Villamizar 95].
212.  
213.    CIDR is an example of the application of hierarchical routing in the
214.    Public Internet, where subnets, subscribers, and finally providers
215.    are some possible levels in the hierarchy. For example, a router
216.    within a site need not keep detailed routing information about every
217.    possible host in that site. Instead, the router maintains routing
218.    information on a per subnet basis. Likewise, a router within a
219.    provider need not keep detailed routing information about individual
220.    subnets within its subscribers. Instead, the router could maintain
221.    routing information on a per subscriber basis. Moreover, a router
222.    within a provider need not keep detailed routing information about
223.  
224.  
225.  
226. Rekhter & Li             Best Current Practice                  [Page 4]
227.  
228. RFC 2008                                                    October 1996
229.  
230.  
231.    stub (single home) subscribers of other providers by maintaining
232.    routing information on a per provider basis.
233.  
234.    Because of pre-CIDR address allocation, many routes in the Internet
235.    are not suitable for hierarchical aggregation. Moreover, unconnected
236.    sites with pre-CIDR address allocations exist. If these sites connect
237.    to the Internet at some point in the future, the routes to these
238.    sites are unlikely to be suitable for hierarchical aggregation. Also,
239.    when a site uses addresses obtain from its provider, but then later
240.    switches to a different provider (while continuing to use the same
241.    addresses), the route to the site may no longer be suitable for
242.    hierarchical aggregation.
243.  
244.    Hierarchical routing requires that aggregation boundaries for the
245.    addressing information be formed along some hierarchy. As a result,
246.    many exceptions will be injected into the routing system in the
247.    future, besides those exceptions that currently exist. Each exception
248.    added to the routing system deters the scalability of the routing
249.    system. The exact number of exceptions that can be tolerated is
250.    dependent on the technology used to support routing. Unbridled growth
251.    in the number of such exceptions will cause the routing system to
252.    collapse.
253.  
254. 5 Address allocation and management policies
255.  
256.    IP address allocation and management policy is a complex,
257.    multifaceted issue. It covers a broad range of issues, such as who
258.    formulates the policies, who executes the policies, what is the role
259.    of various registries, what is the role of various organizations
260.    (e.g., ISOC, IAB, IESG, IETF, IEPG, various government bodies, etc.),
261.    the participation of end users in requesting addresses, and so on.
262.    Address allocation and management and the scalability of the routing
263.    system are interrelated - only certain address allocation and
264.    management policies yield scalable routing. The Internet routing
265.    system is subject to both technological and fundamental constraints.
266.    These constraints restrict the choices of address allocation policies
267.    that are practical.
268.  
269. 5.1 The "address ownership" allocation policy and its implications on
270.    the Public Internet
271.  
272.    "Address ownership" is one possible address allocation and management
273.    policy. The "address ownership" policy means that part of the address
274.    space, once allocated to an organization, remains allocated to the
275.    organization as long as that organization wants it. Further, that
276.    portion of the address space would not be allocated to any other
277.    organization.  Often, such addresses are called "portable." It was
278.    assumed that if an organization acquires its addresses via the
279.  
280.  
281.  
282. Rekhter & Li             Best Current Practice                  [Page 5]
283.  
284. RFC 2008                                                    October 1996
285.  
286.  
287.    "address ownership" policy, the organization would be able to use
288.    these addresses to gain access to the Internet routing services,
289.    regardless of where the organization connects to the Internet.
290.  
291.    While it has never been explicitly stated that various Internet
292.    Registries use the "address ownership" allocation policy, it has
293.    always been assumed (and practiced).
294.  
295.    To understand the implications of the "address ownership" policy
296.    ("portable" addresses) on the scalability of the Internet routing
297.    system, one must observe that:
298.  
299.      (a) By definition, address ownership assumes that addresses, once
300.      assigned, fall under the control of the assignee. It is the
301.      assignee that decides when to relinquish the ownership (although
302.      the decision could be influenced by various factors).
303.      Specifically, the assignee is not required (but may be influenced)
304.      to relinquish the ownership as the connectivity of the assignee to
305.      the Internet changes.
306.  
307.      (b) By definition, hierarchical routing assumes that addresses
308.      reflect the network topology as much as possible.
309.  
310.    Therefore, the only presently known practical way to satisfy both
311.    scalable hierarchical routing and address ownership for everyone is
312.    to assume that the topology (or at least certain pieces of it) will
313.    be permanently fixed. Given the distributed, decentralized, largely
314.    unregulated, and global (international) nature of the Internet,
315.    constraining the Internet topology (or even certain parts of it) may
316.    have broad technical, social, economical, and political implications.
317.    To date, little is known of what these implications are; even less is
318.    known whether these implications would be acceptable (feasible) in
319.    practice. Therefore, at least for now, we have to support an Internet
320.    with an unconstrained topology (and unconstrained topological
321.    changes).
322.  
323.    Since the Internet does not constrain its topology (or allowed
324.    topology changes), we can either have address ownership for everyone
325.    or a routable Internet, but not both, or we need to develop and
326.    deploy new mechanisms (e.g., by decoupling the address owned by the
327.    end users from those used by the Internet routing, and provide
328.    mechanisms to translate between the two). In the absence of new
329.    mechanisms, if we have address ownership ("portable" addresses) for
330.    everyone, then the routing overhead will lead to a breakdown of the
331.    routing system resulting in a fragmented (partitioned) Internet.
332.    Alternately, we can have a routable Internet, but without address
333.     ownership ("portable" addresses) for everyone.
334.  
335.  
336.  
337.  
338. Rekhter & Li             Best Current Practice                  [Page 6]
339.  
340. RFC 2008                                                    October 1996
341.  
342.  
343. 5.2 The "address lending" allocation policy and its implications for the
344.    Public Internet
345.  
346.    Recently, especially since the arrival of CIDR, some subscribers and
347.    providers have followed a model in which address space is not owned
348.    (not portable), but is bound to the topology. This model suggests an
349.    address allocation and management policy that differs from the
350.    "address ownership" policy. The following describes a policy, called
351.    "address lending," that provides a better match (as compared to the
352.    "address ownership" policy) to the model.
353.  
354.    An "address lending" policy means that an organization gets its
355.    addresses on a "loan" basis. For the length of the loan, the lender
356.    cannot lend the addresses to any other borrower. Assignments and
357.    allocations based on the "address lending" policy should explicitly
358.    include the conditions of the loan. Such conditions must specify that
359.    allocations are returned if the borrower is no longer contractually
360.    bound to the lender, and the lender can no longer provide aggregation
361.    for the allocation. If a loan ends, the organization can no longer
362.    use the borrowed addresses, and therefore must get new addresses and
363.    renumber to use them. The "address lending" policy does not constrain
364.    how the new addresses could be acquired.
365.  
366.    This document expects that the "address lending" policy would be used
367.    primarily by Internet Registries associated with providers; however,
368.    this document does not preclude the use of the "address lending"
369.    policy by an Internet Registry that is not associated with a
370.    provider.
371.  
372.    This document expects that when the "address lending" policy is used
373.    by an Internet Registry associated with a provider, the provider is
374.    responsible for arranging aggregation of these addresses to a degree
375.    that is sufficient to achieve Internet-wide IP connectivity.
376.  
377.    This document expects that when the "address lending" policy is used
378.    by an Internet Registry associated with a provider, the terms and
379.    conditions of the loan would be coupled to the service agreement
380.    between the provider and the subscribers. That is, if the subscriber
381.    moves to another provider, the loan would be canceled.
382.  
383.  
384.  
385.  
386.  
387.  
388.  
389.  
390.  
391.  
392.  
393.  
394. Rekhter & Li             Best Current Practice                  [Page 7]
395.  
396. RFC 2008                                                    October 1996
397.  
398.  
399.    To reduce disruptions when a subscriber changes its providers, this
400.    document strongly recommends that the terms and conditions of the
401.    loan should include provision for a grace period. This provision
402.    would allow a subscriber that disconnects from its provider a certain
403.    grace period after the disconnection. During this grace period, the
404.    borrower (the subscriber) may continue to use the addresses obtained
405.    under the loan. This document recommends a grace period of at least
406.    30 days. Further, to contain the routing information overhead, this
407.    document suggests that a grace period be no longer than six months.
408.  
409.    To understand the scalability implications of the "address lending"
410.    policy, observe that if a subscriber borrows its addresses from its
411.    provider's block, then the provider can advertise a single address
412.    prefix. This reduces the routing information that needs to be carried
413.    by the Internet routing system (for more information, see Section
414.    5.3.1 of RFC1518). As the subscriber changes its provider, the loan
415.    from the old provider would be returned, and the loan from the new
416.    provider would be established. As a result, the subscriber would
417.    renumber to the new addresses. Once the subscriber renumbers into the
418.    new provider's existing blocks, no new routes need to be introduced
419.    into the routing system.
420.  
421.    Therefore, the "address lending" policy, if applied appropriately, is
422.    consistent with the constraints on address allocation policies
423.    imposed by hierarchical routing, and thus promotes a scalable routing
424.    system.  Thus, the "address lending" policy, if applied
425.    appropriately, could play an important role in enabling the
426.    continuous uninterrupted growth of the Internet.
427.  
428.    To be able to scale routing in other parts of the hierarchy, the
429.    "lending" policy may also be applied hierarchically, so that
430.    addresses may in turn be lent to other organizations. The implication
431.    here is that the end of a single loan may have effects on
432.    organizations that have recursively borrowed parts of the address
433.    space from the main allocation. In this case, the exact effects are
434.    difficult to determine a priori.
435.  
436. 5.3 In the absence of an explicit "address lending" policy
437.  
438.    Organizations connecting to the Internet should be aware that even if
439.    their current provider, and the provider they switch to in the future
440.    do not require renumbering, renumbering may still be needed to
441.    achieve Internet-wide IP connectivity. For example, an organization
442.    may now receive Internet service from some provider and allocate its
443.    addresses out of the CIDR block associated with the provider. Later
444.    the organization may switch to another provider. The previous
445.    provider may still be willing to allow the organization to retain
446.    part of the provider's CIDR block, and accept a more specific prefix
447.  
448.  
449.  
450. Rekhter & Li             Best Current Practice                  [Page 8]
451.  
452. RFC 2008                                                    October 1996
453.  
454.  
455.    for that organization from the new provider. Likewise, the new
456.    provider may be willing to accept that organization without
457.    renumbering and advertise the more specific prefix (that covers
458.    destinations within the organization) to the rest of the Internet.
459.    However, if one or more other providers exist, that are unwilling or
460.    unable to accept the longer prefix advertised by the new provider,
461.    then the organization would not have IP connectivity to part of the
462.    Internet. Among the possible solutions open to the organization may
463.    be either to renumber, or for others to acquire connectivity to
464.    providers that are willing and able to accept the prefix.
465.  
466.    The above shows that the absence of an explicit "address lending"
467.    policy from a current provider in no way ensures that renumbering
468.    will not be required in the future when changing providers.
469.    Organizations should be aware of this fact should they encounter a
470.    provider making claims to the contrary.
471.  
472. 6 Recommendations
473.  
474.    Observe that the goal of hierarchical routing in the Internet is not
475.    to reduce the total amount of routing information in the Internet to
476.    the theoretically possible minimum, but just to contain the volume of
477.    routing information within the limits of technology,
478.    price/performance, and human factors.  Therefore, organizations that
479.    could provide reachability to a sufficiently large fraction of the
480.    total destinations in the Internet and could express such
481.    reachability through a single IP address prefix could expect that a
482.    route with this prefix will be maintained throughout the default-free
483.    part of the Internet routing system, regardless of where they connect
484.    to the Internet.  Therefore, using the "address ownership" policy
485.    when allocating addresses to such organizations is a reasonable
486.    choice.  Within such organizations this document suggests the use of
487.    the "address lending" policy.
488.  
489.    For all other organizations that expect Internet-wide IP
490.    connectivity, the reachability information they inject into the
491.    Internet routing system should be subject to hierarchical
492.    aggregation. For such organizations, allocating addresses based on
493.    the "address ownership" policy makes hierarchical aggregation
494.    difficult, if not impossible. This, in turn, has a very detrimental
495.    effect on the Internet routing system. To prevent the collapse of the
496.    Internet routing system, for such organizations, this document
497.    recommends using the "address lending" policy. Consequently, when
498.    such an organization first connects to the Public Internet or changes
499.    its topological attachment to the Public Internet, the organization
500.    eventually needs to renumber. Renumbering allows the organization to
501.    withdraw any exceptional prefixes that the organization would
502.    otherwise inject into the Internet routing system. This applies to
503.  
504.  
505.  
506. Rekhter & Li             Best Current Practice                  [Page 9]
507.  
508. RFC 2008                                                    October 1996
509.  
510.  
511.    the case where the organization takes its addresses out of its direct
512.    provider's block and the organization changes its direct provider.
513.    This may also apply to the case where the organization takes its
514.    addresses out of its indirect provider's block, and the organization
515.    changes its indirect provider, or the organization's direct provider
516.    changes its provider.
517.  
518.    Carrying routing information has a cost associated with it. This
519.    cost, at some point, may be passed back in full to the organizations
520.    that inject the routing information. Aggregation of addressing
521.    information (via CIDR) could reduce the cost, as it allows an
522.    increase in the number of destinations covered by a single route.
523.    Organizations whose addresses are allocated based on the "address
524.    ownership" policy (and thus may not be suitable for aggregation)
525.    should be prepared to absorb the cost completely on their own.
526.  
527.    Observe that neither the "address ownership," nor the "address
528.    lending" policy, by itself, is sufficient to guarantee Internet-wide
529.    IP connectivity. Therefore, we recommend that sites with addresses
530.    allocated based on either policy should consult their providers about
531.    the reachability scope that could be achieved with these addresses,
532.    and associated costs that result from using these addresses.
533.  
534.    If an organization doesn't require Internet-wide IP connectivity,
535.    then address allocation for the organization could be done based on
536.    the "address ownership" policy. Here, the organization may still
537.    maintain limited IP connectivity (e.g., with all the subscribers of
538.    its direct provider) by limiting the distribution scope of its
539.    routing information to its direct provider. Connectivity to the rest
540.    of the Internet can be handled by mediating gateways (e.g.,
541.    application layer gateways, Network Address Translators (NATs)). Note
542.    that use of mediating gateways eliminates the need for renumbering,
543.    and avoids burdening the Internet routing system with non-
544.    aggregatable addressing information; however they have other
545.    drawbacks which may prove awkward in certain situations.
546.  
547.    Both renumbering (due to the "address lending" policy), and non-
548.    aggregated routing information (due to the "address ownership"
549.    policy), and the use of mediating gateways result in some costs.
550.    Therefore, an organization needs to analyze its own connectivity
551.    requirements carefully and compare the tradeoffs associated with
552.    addresses acquired via either policy vs. having connectivity via
553.    mediating gateways (possibly augmented by limited IP connectivity)
554.    using addresses acquired via "address ownership." To reduce the cost
555.    of renumbering, organizations should be strongly encouraged to deploy
556.    tools that simplify renumbering (e.g., Dynamic Host Configuration
557.    Protocol [RFC 1541]). Use of the DNS should be strongly encouraged.
558.  
559.  
560.  
561.  
562. Rekhter & Li             Best Current Practice                 [Page 10]
563.  
564. RFC 2008                                                    October 1996
565.  
566.  
567. 7 Summary
568.  
569.    Any address allocation and management policy for IP addresses used
570.    for Internet connectivity must take into account its impact on the
571.    scalability of the Public Internet routing system. Among all of the
572.    possible address allocation and management policies only the ones
573.    that yield a scalable routing system are feasible. All other policies
574.    are self-destructive in nature, as they lead to a collapse of the
575.    Internet routing system, and therefore to the fragmentation
576.    (partitioning) of the Public Internet.
577.  
578.    Within the context of the current Public Internet, address allocation
579.    and management policies that assume unrestricted address ownership
580.    have an extremely negative impact on the scalability of the Internet
581.    routing system. Such policies are almost certain to exhaust the
582.    scalability of the Internet routing system well before we approach
583.    the exhaustion of the IPv4 address space and before we can make
584.    effective use of the IPv6 address space. Given the Internet's growth
585.    rate and current technology, the notion that everyone can own address
586.    space and receive Internet-wide routing services, despite where they
587.    connect to the Internet, is currently technically infeasible.
588.    Therefore, this document makes two recommendations. First, the
589.    "address lending" policy should be formally added to the set of
590.    address allocation policies in the Public Internet. Second,
591.    organizations that do not provide a sufficient degree of routing
592.    information aggregation to obtain access to the Internet routing
593.    services should be strongly encouraged to use this policy to gain
594.    access to the services.
595.  
596.    Since the current IPv6 address allocation architecture is based on
597.    CIDR, recommendations presented in this document apply to IPv6
598.    address allocation and management policies as well.
599.  
600. 8 Security Considerations
601.  
602.    Renumbering a site has several possible implications on the security
603.    policies of both the site itself and sites that regularly communicate
604.    with the renumbering sites.
605.  
606.    Many sites currently use "firewall" systems to provide coarse-grained
607.    access control from external networks, such as The Internet, to their
608.    internal systems.  Such firewalls might include access control
609.    decisions based on the claimed source address of packets arriving at
610.    such firewall systems.  When the firewall policy relates to packets
611.    arriving on the firewall from inside the site, then that firewall
612.    will need to be reconfigured at the same time that the site itself
613.    renumbers.  When the firewall policy relates to packets arriving at
614.    the firewall from outside the site, then such firewalls will need to
615.  
616.  
617.  
618. Rekhter & Li             Best Current Practice                 [Page 11]
619.  
620. RFC 2008                                                    October 1996
621.  
622.  
623.    be reconfigured whenever an outside site that is granted any access
624.    inside the site through the firewall is renumbered.
625.  
626.    It is highly inadvisable to rely upon unauthenticated source or
627.    destination IP addresses for security policy decisions. [Bellovin89]
628.    IP address spoofing is not difficult with widely available systems,
629.    such as personal computers.  A better approach would probably involve
630.    the use of IP Security techniques, such as the IP Authentication
631.    Header [RFC-1826] or IP Encapsulating Security Payload [RFC-1827], at
632.    the firewall so that the firewall can rely on cryptographic
633.    techniques for identification when making its security policy
634.    decisions.
635.  
636.    It is strongly desirable that authentication be present in any
637.    mechanism used to renumber IP nodes.  A renumbering mechanism that
638.    lacks authentication could be used by an adversary to renumber
639.    systems that should not have been renumbered, for example.
640.  
641.    There may be other security considerations that are not covered in
642.    this document.
643.  
644. 9 Acknowledgments
645.  
646.    This document borrows heavily from various postings on various
647.    mailing lists. Special thanks to Noel Chiappa, Dennis Ferguson, Eric
648.    Fleischman, Geoff Huston, and Jon Postel whose postings were used in
649.    this document.
650.  
651.    Most of the Section 5.3 was contributed by Curtis Villamizar.  The
652.    Security section was contributed by Ran Atkinson.
653.  
654.    Many thanks to Scott Bradner, Randy Bush, Brian Carpenter, Noel
655.    Chiappa, David Conrad, John Curran, Sean Doran, Dorian Kim, Thomas
656.    Narten, Andrew Partan, Dave Piscitello, Simon Poole, Curtis
657.    Villamizar, and Nicolas Williams for their review, comments, and
658.    contributions to this document.
659.  
660.    Finally, we like to thank all the members of the CIDR Working Group
661.    for their review and comments.
662.  
663.  
664.  
665.  
666.  
667.  
668.  
669.  
670.  
671.  
672.  
673.  
674. Rekhter & Li             Best Current Practice                 [Page 12]
675.  
676. RFC 2008                                                    October 1996
677.  
678.  
679. 9 References
680.  
681.    [Bellovin89] Bellovin, S., "Security Problems in the TCP/IP Protocol
682.    Suite", ACM Computer Communications Review, Vol. 19, No. 2, March
683.    1989.
684.  
685.    [Kleinrock 77] Kleinrock, L., and K. Farouk, K., "Hierarchical
686.    Routing for Large Networks," Computer Networks 1 (1977), North-
687.    Holland Publishing Company.
688.  
689.    [Partan 95] Partan, A., private communications, October 1995.
690.  
691.    [RFC 1541] Droms, R., "Dynamic Host Configuration Protocol", October
692.    1993.
693.  
694.    [RFC 1519] Fuller, V., Li, T., Yu, J., and K. Varadhan, "Classless
695.    Inter-Domain Routing (CIDR): an Address Assignment and Aggregation
696.    Strategy", September 1993.
697.  
698.    [RFC 1518] Rekhter, Y., and T. Li, "An Architecture for IP Address
699.    Allocation with CIDR", September 1993.
700.  
701.    [RFC 1825] Atkinson, R., "IP Security Architecture", RFC 1825, August
702.    1995.
703.  
704.    [RFC 1826] Atkinson, R., "IP Authentication Header (AH), RFC 1826,
705.    August 1995.
706.  
707.    [RFC 1827] Atkinson, R., "IP Encapsulating Security Payload (ESP)",
708.    RFC 1827, August 1995.
709.  
710.    [Villamizar 95] Villamizar, C., private communications, October 1995.
711.  
712. 10 Authors' Addresses
713.  
714.       Yakov Rekhter
715.       cisco Systems, Inc.
716.       170 Tasman Dr.
717.       San Jose, CA 95134
718.       Phone: (914) 528-0090
719.       EMail: yakov@cisco.com
720.  
721.       Tony Li
722.       cisco Systems, Inc.
723.       170 Tasman Dr.
724.       San Jose, CA 95134
725.       Phone: (408) 526-8186
726.       EMail: tli@cisco.com
727.  
728.  
729.  
730. Rekhter & Li             Best Current Practice                 [Page 13]
731.  
732.