IP : Protocolo IP multicast

Alocação de endereço para Internet privada

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento é baseado no RFC 1597leavingcisco.com , e ajudá-lo-á a conservar o espaço de endereços IP não atribuindo globalmente - endereços IP exclusivos aos host privados em sua rede. Você ainda pode permitir a conectividade completa da camada de rede entre todos os hosts na rede e entre todos os hosts públicos na Internet.

Os hosts que usam IP recaem em três categorias:

  • Anfitriões que não exigem o acesso aos anfitriões em outras empresas ou no Internet at large. Esses hosts podem usar endereços IP que sejam exclusivos de suas redes, embora talvez não sejam exclusivos entre as redes externas.

  • Os hosts que precisam de acesso a um conjunto limitado de serviços de saída (por exemplo, e-mail, FTP, netnews, login remoto) que podem ser manipulados por gateways da camada de aplicativos. Muitos desses hosts talvez não precisem ou solicitem acesso externo irrestrito (fornecido via conectividade IP), por motivos como privacidade ou segurança. Assim como os roteadores da primeira categoria, eles podem usar endereços IP que são exclusivos dentro de sua rede, mas não com redes externas.

  • Os anfitriões que precisam o acesso da camada de rede fora da empresa forneceram através da conectividade IP. Somente estes anfitriões exigem os endereços IP de Um ou Mais Servidores Cisco ICM NT que são globalmente - originais.

Muitos aplicativos exigem a Conectividade somente dentro de uma rede e precisam nem sequer a conectividade externa para a maioria de host internos. Em redes grandes, os hosts quase sempre usam o TCP/IP quando não precisam da conectividade da camada de rede fora da rede. Estão aqui alguns exemplos onde a conectividade externa não pôde ser exigida:

  • Um grande aeroporto que tenha suas exibições de chegadas e partidas endereçáveis individualmente por meio de TCP/IP. É muito improvável que essas exibições precisem estar diretamente acessíveis de outras redes.

  • Grandes organizações, como bancos e redes de varejo, que utilizam TCP/IP para sua comunicação interna. Um grande número estações de trabalho local como registros de dinheiro, máquinas do dinheiro, e equipamento em posições de escritório precisam raramente a Conectividade exterior.

  • Redes que usam gateway de camadas de aplicativo (Firewall) para conectar ao Internet. A rede interna geralmente não tem de acesso direto ao Internet, tão somente uns ou vários anfitriões do Firewall é visível do Internet. Neste caso, a rede interna pode usar números NON-originais IP.

  • Duas redes que se comunicam pelos próprios links privados. Geralmente somente muito um conjunto limitado de anfitriões é excedente mutuamente alcançável este link. Somente esses hosts precisam de números IP globalmente únicos.

  • Relações do Roteadores em uma rede interna.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Espaço de endereço privado

O Internet Assigned Numbers Authority (IANA) reservou os seguintes três blocos do espaço de endereços IP para redes privadas:

  • 10.0.0.0 - 10.255.255.255

  • 172.16.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.255.255

O primeiro bloco é um número exclusivo da rede classe A, o segundo bloco é um conjunto de 16 números contíguos da rede classe B e o terceiro bloco é um conjunto de 255 números contíguos da rede classe C.

Se você decidir usar espaço de endereço privado, não será necessário coordenar com IANA ou com um Internet Registry. Os endereços dentro desse espaço de endereço privativo serão exclusivos apenas na sua rede. Lembre-se de que, se você precisa de espaço de endereço exclusivo globalmente, deve obter endereços de um registro de Internet.

Para utilizar um espaço de endereço privado, determine que hosts não precisam ter a conectividade de camada de rede para o lado externo. Esses hosts são privados e usam o espaço de endereço privado. Os host privados podem comunicar-se com todos anfitriões restantes dentro da rede, pública e privada, mas não podem ter a conectividade IP a nenhum host externo. Os host privados ainda podem ter acesso a serviços externos através de transmissões de camada de aplicativo.

Todos os outros hosts são públicos e utilizam um espaço de endereços globalmente exclusivos atribuído por um registro de Internet. Os hosts públicos podem se comunicar com outros hosts da rede e podem ter conectividade de IP com hosts públicos externos. Hosts públicos não possuem conectividade para hosts privados de outras redes.

Porque os endereços privados não têm nenhum significado global, a informação de roteamento sobre redes privadas não é propagada em links externos, e os pacotes com origem privado ou endereço de destino não devem ser enviados através de tais links. Os roteadores em redes que não usam espaço de endereço específico, especialmente os provedores de serviço da Internet, devem ser configurados para recusar (filtrar) as informações de roteamento sobre redes particulares. Esta rejeção não deve ser tratada como um erro do protocolo de roteamento.

Referências indiretas a esses endereços (como Registros de Recursos de DNS) devem estar contidas na rede. Os provedores de serviço de internet devem tomar medidas para impedir esse vazamento.

Vantagens e desvantagens de utilizar espaço de endereço particular

As vantagens óbvias de usar o espaço de endereço privado para o Internet at large são conservar globalmente - o espaço de endereços únicos. A utilização de espaçamento de endereços privados também fornece grande flexibilidade ao projeto da rede, visto que haverá mais endereços disponíveis do que se poderia conseguir com o pool global único.

A principal desvantagem de usar espaço de endereço privado é que você precisará renumerar os endereços IP caso queira se conectar à Internet.

Considerações do projeto

Você deve projetar a parte privada de sua rede primeiramente e usar o espaço de endereço privado para todos os links internos. Em seguida, planeje sub-redes públicas e desenhe a conectividade externa.

Se um esquema de colocação em sub-rede apropriado pode ser projetado e é apoiado por seu equipamento, use o bloco 24-bit do espaço de endereço privado e faça um plano de endereçamento com um bom caminho de crescimento. Se a sub-rede for um problema, use o bloco de classes C de 16 bits.

Alterar o host de particular para público requer a alteração do seu endereço e, na maioria dos casos, sua conectividade física. Nos locais em que tais alterações podem ser previstas (casas de máquinas, etc.), configure meios físicos separados para sub-redes públicas e privadas, de modo a promover essas alterações mais facilmente.

Os roteadores que se conectam a redes externas devem ser configurados com filtros apropriados de pacotes e roteamento em ambas as extremidades do link para impedir vazamentos. Você também deve filtrar quaisquer redes privadas de informações de roteamento de entrada para impedir situações de roteamento ambíguas que poderão ocorrer se as rotas para o ponto de espaço de endereço privado estiverem fora da rede.

Grupos de organizações que estejam prevendo uma necessidade de comunicação mútua devem criar um plano comum de endereçamento. Se dois locais precisam estar conectados usando um provedor de serviços externo, eles podem considerar a possibilidade de usar um túnel de IP para impedir escapes de pacote da rede privada.

Uma maneira de evitar o vazamento de RRs DNS é executar dois servidores de nome, um servidor externo responsável por todos os endereços IP globalmente exclusivos da empresa e um servidor interno responsável por todos os endereços IP, tanto públicos quanto privados. A fim assegurar a consistência ambos estes server deve receber os mesmos dados, de que o Nome do servidor externo usa somente uma versão filtrada.

Os resolvedores de todos os hosts internos, tanto públicos como privados, questionam somente o servidor de nome interno. O servidor externo resolve consultas dos resolvedores externos e está vinculado ao DNS global. O servidor interno para a frente todas as perguntas para a informação fora da empresa a Nome do servidor externo, assim que a todos os host internos pode alcançar o DNS global. Assim, as informações relacionadas aos hosts privativos não atingem os solucionadores externos e os servidores de nomes.

Considerações sobre segurança

Embora usar o espaço de endereço privado possa melhorar a segurança, ele não substitui medidas de segurança dedicadas.

Conclusão

Com esse esquema, muitas redes extensas precisam apenas de um bloco de endereços relativamente pequeno do espaço exclusivo de endereço IP mundialmente. A Internet se beneficia muito da conservação do espaço de endereço globalmente exclusivo e as redes se beneficiam do aumento da flexibilidade fornecida por um espaço de endereço privativo relativamente grande.


Informações Relacionadas


Document ID: 13789