Privatus tinklas: kas tai — RFC1918, privatūs IP adresai ir NAT

Sužinokite, kas yra privatus tinklas: RFC1918, privatūs IP adresai ir NAT — kaip veikia, kodėl svarbu saugumui ir kaip saugiai ir patogiai prijungti prie interneto.

Autorius: Leandro Alegsa

Interneto terminologijoje privatus tinklas reiškia tinklą, kuriame įrenginiai naudoja privačią IP adresų erdvę pagal RFC 1918 standartą. Toks adresavimas skirtas vidinei komunikacijai tarp kompiuterių ir kitų įrenginių intraneto aplinkoje, t. y. vietiniuose tinkluose, kuriuose naudojamas intraneto principas ir interneto protokolas).

RFC 1918 – privačių IP adresų diapazonai

RFC 1918 nustato tris pagrindinius privačių IPv4 adresų diapazonus, kuriuos saugu naudoti vietiniuose tinkluose (jie neroutinami viešajame internete):

  • 10.0.0.0/8 (10.0.0.0 – 10.255.255.255)
  • 172.16.0.0/12 (172.16.0.0 – 172.31.255.255)
  • 192.168.0.0/16 (192.168.0.0 – 192.168.255.255)

Šie adresai nėra unikalūs globaliai — skirtingos organizacijos gali naudoti tuos pačius privačius adresus be tiesioginių konfliktų, kol jų tinklai nėra sujungti per viešą internetą.

Kodėl naudojami privatūs tinklai

Privatūs tinklai yra plačiai paplitę namų ir biurų tinklų (LAN) projektuose, nes organizacijoms paprastai nereikia suteikti kiekvienam kompiuteriui, spausdintuvui ar kitam įrenginiui pasaulyje unikalios viešos IP paskyros. Tokia praktika atsirado iš dalies dėl viešai registruojamų IPv4 adre­sų trūkumo. Viena iš priežasčių, dėl kurių buvo sukurta IPv6, - padidinti galimų adresų skaičių ir sumažinti poreikį masiškai naudoti NAT. Tačiau IPv6 vis dar nėra pilnai išplėtotas visuose tinkluose, todėl RFC 1918 adresai tebėra plačiai naudojami.

Kaip veikia gateway, NAT ir tarpiniai sprendimai

Privataus tinklo įrenginiai, norintys bendrauti su internetu ar kitais tinklais, paprastai naudoja vartus — įrenginį arba serverį, kuris imituoja viešą adresą. Dažniausiai tai yra NAT įrenginys arba tarpinis serveris. NAT (Network Address Translation) keičia paketų šaltinio adresą iš privataus į viešą, taip leidžiant daugeliui vidaus įrenginių dalintis vienu ar keliais viešaisiais IP adresais. Dažniausios NAT formos:

  • PAT (Port Address Translation) arba "portų persiuntimas" — daug vietinių adresų dalijasi vienu viešu IP per skirtingus portus;
  • Statinis NAT — vienas privatus adresas priskiriamas vienam viešam adresui;
  • Hairpin NAT — leidžia vidiniams klientams pasiekti vidinius serverius per viešą adresą.

Saugumas ir maršrutizavimas

Viešojo interneto maršrutizatoriai turėtų būti sukonfigūruoti taip, kad atmestų bet kokius paketus, kurių IP paketų antraštėje yra privačių IP adresų (RFC 1918). Toks filtravimas sumažina adresų klastojimo (spoofing) riziką ir suteikia privatiems tinklams pagrindinę saugumo formą — paprastai išorinis pasaulis negali tiesiogiai inicijuoti ryšio su kompiuteriu, naudojančiu privačius adresus. Kadangi privačių tinklų adresai nėra maršrutuojami per viešą internetą, skirtingos organizacijos gali naudoti tuos pačius privačių adresų diapazonus be tiesioginių IP konfliktų.

Vis dėlto vidaus maršrutizatoriai paprastai persiunčia RFC 1918 adresais žyminčius paketus vidaus tinklo ribose be papildomos konfigūracijos. Tuo tarpu viešiesiems interneto maršruto parinktuvai pagal nutylėjimą neperduoda paketų su RFC 1918 adresais.

Problemos su dubliuotais tinklais ir sprendimai

Didžiausia praktinė problema kyla tada, kai sujunginėjami du tinklai, kurie abu naudoja tuos pačius privačius adresus. Jei abi organizacijos naudoja identiškus vietinius IP diapazonus arba abi stipriai priklauso nuo NAT, gali kilti adresų susidūrimų ir maršrutizavimo problemų — paketai gali būti nukreipti ne ten arba ryšys gali visiškai neįvykti.

Dažni sprendimai:

  • Adresų perskirstymas (renumbering) — pakeisti vienos šakos vidaus adresaciją, kad būtų unikalu tarp sujungiamų tinklų;
  • VPN su adresų vertimu — sukurti VPN tunelį tarp tinklų ir pritaikyti NAT/PAT ar policy NAT tam tikriems ryšiams, kad būtų išvengta konfliktų;
  • Double NAT arba PAT — laikinai sprendžia problemas, bet didina sudėtingumą ir gali apsunkinti paslaugų prieinamumą (pvz., serverių pasiekiamumą iš išorės);
  • Naudoti viešai routinamą adresų erdvę arba pasinaudoti paslaugomis, tokiais kaip carrier‑grade NAT (CGN), kai organizacija neturi pakankamai viešų adresų;
  • IPv6 perėjimas — ilgalaikis sprendimas, leidžiantis išvengti NAT poreikio ir adresų konflikto, tačiau reikalauja tinklo ir programinės įrangos palaikymo.

Kiti svarbūs pastebėjimai

  • Be RFC 1918, yra ir kitų specialių IP blokų (pvz., loopback 127.0.0.0/8 arba link‑local 169.254.0.0/16), kurių paskirtis skiriasi ir kurių maršrutizavimas viešajame internete nėra tinkamas.
  • IPv6 turi analogą privačioms IPv4 sritims — Unique Local Addresses (ULA) fc00::/7 (dažniausiai naudojama fd00::/8). Skirtingai nei IPv4, IPv6 siekia sumažinti poreikį naudoti NAT.
  • Prieš sujungiant tinklus, rekomenduojama atlikti adresų auditą ir suplanuoti sprendimą dėl perskirstymo, VPN ar kitų priemonių, kad būtų išvengta konfliktų ir sumažintas trikdžių skaičius.

Apibendrinant: privatus tinklas suteikia praktišką ir ekonomišką sprendimą vietinei IP adresacijai, bet reikalauja aiškaus supratimo apie NAT, maršrutizavimą ir galimus konfliktus, ypač kai tinklai yra sujungiami tarpusavyje arba jungiasi prie viešo interneto.

Interneto priskirtųjų numerių tarnybos (IANA) privatūs adresai

Interneto priskirtųjų numerių tarnyba (IANA) - tai įstaiga, valdanti pasaulinį IP adresų paskirstymą, DNS šakninių zonų valdymą, laikmenų tipus ir kitus interneto protokolų priskyrimus. Ją valdo ICANN.

Žinantiems klasių adresavimo ribas svarbu atkreipti dėmesį, kad nors RFC 1918 diapazonas 172.16.0.0-172.31.255.255 patenka į tradicinį B klasės diapazoną, rezervuotas adresų blokas yra ne /16, o /12. Tas pats pasakytina ir apie 192.168.0.0-192.168.255.255 diapazoną; šis blokas yra ne /24, o /16. Tačiau kas nors vis tiek gali naudoti (ir daugelis asmenų paprastai tai daro) adresus iš šių CIDR blokų ir taikyti potinklio kaukę, atitinkančią tradicinę adreso klasės ribą.

Dabartiniai IANA privatūs interneto adresai (dar vadinami neruterizuojamais) yra šie:

Pavadinimas

IP adresų diapazonas

adresų skaičius

Klasės aprašymas

didžiausias CIDR blokas

apibrėžta

24 bitų blokas

10.0.0.0 – 10.255.255.255

16,777,216

viena A klasė, 256 gretimos B klasės

10.0.0.0/8

RFC 1597 (nebeaktualu), RFC 1918

20 bitų blokas

172.16.0.0 – 172.31.255.255

1,048,576

16 gretimų B klasės įrenginių

172.16.0.0/12

16 bitų blokas

192.168.0.0 – 192.168.255.255

65,536

viena B klasė, 256 gretimos Cs klasės

192.168.0.0/16

Siekiant sumažinti pagrindinių vardų serverių apkrovą, kurią sukelia šių IP adresų atvirkštinės DNS paieškos, "juodųjų skylių" vardų serverių sistemą teikia "Anycast" tinklas AS112.

Susiję puslapiai

  • Interneto protokolų rinkinys
  • Ryšių protokolas

Klausimai ir atsakymai

Klausimas: Kas yra privatus tinklas?


A: Privatus tinklas - tai kompiuterių tinklas, naudojantis privačią IP adresų erdvę pagal RFC 1918 standartą. Jis paprastai naudojamas vidiniams organizacijos tinklams arba namų ir biurų vietiniams tinklams (LAN).

K: Dėl kokios priežasties buvo sukurti privatūs IP adresai?


A: Privatūs IP adresai buvo sukurti dėl viešai registruotų IP adresų trūkumo, atsiradusio dėl IPv4 standarto. Viena iš priežasčių, kodėl buvo sukurtas IPv6, - įveikti šį IPv4 standarto apribojimą.

K: Kaip izoliavimas suteikia privatiems tinklams saugumo?


A.: Izoliacija suteikia privatiems tinklams pagrindinę saugumo formą, nes išoriniai įrenginiai paprastai negali užmegzti tiesioginio ryšio su šiais privačiais adresais naudojančiais kompiuteriais. Siekiant užtikrinti šią apsaugą, interneto maršrutizatoriai turėtų būti sukonfigūruoti taip, kad atmestų bet kokius paketus su šiais adresais.

Klausimas: Kaip skirtingos organizacijos gali naudoti tą patį privačių adresų diapazoną, nerizikuodamos adresų konfliktais?


A.: Kadangi tarp skirtingų privačių tinklų per internetą negali būti užmegzti ryšiai, skirtingos organizacijos gali naudoti tą patį privačių adresų diapazoną, nerizikuodamos adresų konfliktais (komunikacijos atsitiktinumais, kuriuos sukelia tą patį IP adresą naudojanti trečioji šalis).

K.: Kokio tipo įrenginio reikia, jei privačiame tinkle esantis įrenginys turi palaikyti ryšį su kitais tinklais?


A: Jei privačiame tinkle esančiam įrenginiui reikia bendrauti su kitais tinklais, reikalingas "tarpinis šliuzas" (tarpinis šliuzas), kuris užtikrintų, kad išoriniams įrenginiams būtų pateikiamas viešai pasiekiamas adresas, kad interneto maršrutizatoriai leistų bendrauti. Šie vartai paprastai yra NAT įrenginys arba tarpinis serveris.

Klausimas: Ar viešiesiems interneto maršrutizatoriams reikia papildomos konfigūracijos, kad jie galėtų persiųsti paketus su RFC 1918 adresais?


A.: Viešieji interneto maršrutizatoriai pagal numatytuosius nustatymus neperduoda paketų su RFC 1918 adresais, todėl jiems reikia papildomos konfigūracijos. Tačiau vidiniams maršrutizatoriams nereikia jokios papildomos konfigūracijos, kad jie galėtų persiųsti šiuos paketus, o tai gali sukelti problemų, kai sujungiami du skirtingi tinklai, kuriuose naudojamos panašios IP adresų schemos.


Ieškoti
AlegsaOnline.com - 2020 / 2025 - License CC3