基本介紹
- 中文名:RFC1597
- 分配:全局唯一的IP位址
- 使用:TCP/IP協定
- 外部服務:電子郵件檔案傳輸
目標,私有地址空間,使用私有地址空間的優缺點,操作上的考慮,安全上的考慮,結論,致謝,作者,
目標
隨著TCP/IP技術在全世界的傳播,包括在Internet以外,大量沒有聯網的企業采
用該技術及它在地址分配上的能力進行企業內部獨立的通信,而不用與其它企業或
Internet本身直接相連。
現在的慣例是為所有使用TCP/IP的主機分配全局唯一的地址。越來越受到關心的
問題是有限的IP位址空間有朝一日會耗盡。因此,近年來分配IP位址的要求變得嚴格
起來。這些準則對於那些想要實施和運作網路的企業來說過於謹慎了。
在企業內部使用IP的主機可以分為三類:
- 不需要訪問其他企業或Internet的主機;
- 需要訪問有限的外部服務(例如:電子郵件, 檔案傳輸,網路新聞,遠程登
錄)的主機, 這些服務由套用層網關處理;
- 需要訪問企業以外的網路層(通過IP 互連實現);
- 第一類主機在企業內部使用的IP位址不重複,而在企業之間發生重複。
在許多第二類主機中,不受限制的外部訪問(通過IP 互連)是不必要的,甚至對
於私有和安全原因來說是不希望發生的。就象在第一類中的主機,這些主機在企業內部
使用的IP位址不重複,而在企業之間發生重複。
只有最後一類的主機需要全局唯一的IP位址。
很多應用程式只需要在一個企業內部的互連, 而不需要與互連網上的大多數主機
進行外部連線。在一個大的企業中,可以很容易地確定那些使用TCP/IP 協定但不需要
與企業外部進行連線的主機。
以下是一些不需要外部連線的例子:
- 一個大型的機場需要使航班到達/離開的顯示信息通過TCP/IP 成為可分別尋
址的。這些顯示信息不大可能需要被其他網路直接訪問到。
- 象銀行和銷售鏈這樣的大型組織正轉向TCP/IP用做它們內部的通信。大量的
本地工作站象收銀機, 取款機和文書工作的設備很少需要這種連線。
絡連線到Internet上。內部網絡通常不能直接訪問Internet, 這樣只有一個或
幾個防火牆主機對於Internet是可見的。這種情況下,內部網路可以使用不唯
一的IP位址。
- 如果兩個企業通過它們私有的連線通信,通常只有數量非常有限的主機可以互
相訪問到。只有那些主機需要全局唯一的IP 地址。
- 路由器上內部網路的接口不需要在企業外部被直接訪問到。
私有地址空間
IANA保留了以下三段IP位址空間作為私有地址:
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255
我們指第一段為24位段,第二段為20位段,第三段為16位段。 注意, 第一段只
是一個A類地址,第二段是16個連續B類地址的集合,第三段是255個連續C類地址的
集合。
一個企業若決定使用本文定義以外的IP位址, 則無須徵得IANA許可或Internet注
冊。所以這類地址可被許多企業使用。 在私有地址空間內的地址在一個企業內部必須唯一。
過去, 一個需要全局唯一地址空間的企業被要求向Internet註冊組織獲得這樣的地
址。一個企業要求為其外部訪問所分配的地址決不會從以上定義的地址段中獲得。
為了使用私有地址空間,一個企業需要決定哪些主機在可預見的將來不需要連線外部
除此之外的主機稱為公有主機,並使用從Internet註冊組織獲得的全局唯一的地址空
間。公有主機能與企業內部所有的公有和私有的主機通信並能通過IP連線訪問外部公有主
機。公有主機不能與其他企業的私有主機連線。
把一台主機從私有轉為公有或相反涉及到IP位址的變更。
間的連線上,使用私有源地址和目的地址的報文不能被傳送過這樣的連線。
網路上不使用私有地址空間的路由器,特別是Internet服務提供商的,將會配置成拒
應該被當作路由協定錯誤。
用內部私有地址的信息。Internet服務提供商應特別採取措施避免這種泄漏。
使用私有地址空間的優缺點
使用私有地址空間的顯著的優點是通過使不需要全局唯一地址的情況下不使用它而達
到保存全局唯一的地址空間的目的。
企業本身也從使用私有地址空間得到很多好處:它們得到了多於它們能從全局唯一地址
儲備中獲得的地址儲備,使它們在網路的設計中獲得很多的靈活性。這樣使地址規劃在操作
和管理上更方便,成長擴展更容易。
由於各種原因,Internet已經遇到過這樣的情況:一個還沒有連到Internet的企業使用
未從IANA分配的地址給內部的主機。在某些情況下,這個地址已經分配給其他企業。當這
個企業以後連到Internet時,可能發生一些嚴重的問題, 例如當存在衝突的地址時, IP
路由不能正確操作。 使用私有地址空間為這些企業提供了一個安全的選擇, 可以避免需要
連線外部網路時發生的衝突。 有人會說, 對於重新編址的潛在需要顯示了使用私有網路以
外地址的一個顯著的缺點。 但是, 我們必須看到, 由於許多主機可能永遠不需要轉到第
三類, 而且一個企業也許不會與其他的企業互連(在IP級)。
Internet上的企業, 當換了Network Service Providers(網路服務提供商)時, 傾向於重新
網路以外的地址段。 能便利於重新編址的工具(例如DHCP)的確使之費心更少。
也要看到私有和公有主機之間清晰的劃分和由此對重新編址的需要使在連線以外的控
制更困難, 所以在某種程度上重新編址的需要可以看作是一個優點。
操作上的考慮
網路規劃上一個推薦的策略是先設計網路的私有部分, 並在所有的內部連線上使用私
這個設計並非固定不變。 如果一些主機將來需要改變狀態, 能通過僅對涉及到的主機
如果需要設計一個合適的子網模式, 並能被所涉及的設備所支持, 建議使用24位的
私有地址空間, 並制定一種可擴展的地址設計規劃。 如果子網化有問題, 可以使用16
位的包括255個連續網路地址的C類地址。
在同一物理媒質上使用多個IP網路(子網)有很多缺點。 我們建議避免如此, 除非運
行上的問題被很好地理解並證實所有的設備都能正確地支持。
把一台主機從私有狀態轉到公有狀態將涉及到地址和多數情況下物理連線的變更。 在
這些變更能被預見到的地方(如機房), 建議為私有和公有子網配置不同的物理媒質, 以利
於此變更。
在整個網路上能容易地變更所有主機的狀態, 且不對企業網路的整體產生破壞。 因此
建議按照將來在同一子網上可能發生相同的連線上的變更把主機分組。
強烈建議在連線外部網路的路由器上的內外兩端的連線上設定合適的包和路由過濾,
的路由狀態, 這種狀態在對私有地址空間的路由指向企業外部時發生。
對於那些預見到較大的互動通信需求的組織集團, 可以考慮通過設計一個公共的地址
規劃來組成一個企業, 這個規劃被必要的組織協定如註冊機構所支持。
如果在同一企業的兩個站點需要使用外部的服務提供商互連, 可以考慮使用IP隧道技
術以避免發生私有網路上的包的丟失。
避免DNS RRs丟失的一個可能的措施是運行兩個域名伺服器, 一個外部的伺服器授
權服務於所有全局唯一的IP位址, 一個內部的伺服器授權服務於所有企業內部的私有和公
有的IP位址。 為了保持連貫性, 這些伺服器應該從外部伺服器接收到的已被過濾版本的
數據進行配置。
析從企業外部來的查詢, 並且連線全局的域名伺服器。 內部的伺服器把針對企業外部信
安全上的考慮
雖然使用私有地址空間可以增進安全性, 但這不能替換專門的安全措施。
結論
藉助詳細的規劃, 很多大的企業需要相對更少的全局地址空間。 整個Internet由於節
約了全局地址空間, 並由此有效地延長IP位址空間的使用期限而受益。 企業由於能使用
相對更大的地址空間而增加的靈活性而受益。
致謝
感謝Tony Bates (RIPE NCC), Jordan Becker (ANS),
Hans-Werner Braun (SDSC), Ross Callon (Wellfleet), John Curran
(NEARNET), Vince Fuller (Barrnet), Tony Li (cisco Systems), Anne Lord
(RIPE NCC), Milo Medin (NSI), Marten Terpstra (RIPE NCC), 和 Geza
Turchanyi (RIPE NCC)的審閱和建設性的建議。
作者
Yakov Rekhter
T.J. Watson Research Center, IBM Corp。
P.O. Box 218
Yorktown Heights, NY, 10598
Robert G Moskowitz
Chrysler Corporation
CIMS: 424-73-00 25999 Lawrence Ave
Center Line, MI 48015
Daniel Karrenberg
RIPE Network Coordination Centre Kruislaan 409
1098 SJ Amsterdam, the Netherlands
Geert Jan de Groot
RIPE Network Coordination Centre Kruislaan 409
1098 SJ Amsterdam, the Netherlands
RFC1597——Address Allocation for Private Internets
