IP : IP 组播

专用 Internet 地址分配

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文根据RFC 1597leavingcisco.com ,并且将帮助您通过不分配全局唯一IP地址保存IP地址空间到在您的网络的专用主机。您能仍然允许全双工网络层连接在网络的所有主机之间和所有公共主机之间在互联网里。

使用IP的主机归入三个类别:

  • 不在其他企业或的互联网方面需要对主机的访问的主机。这些主机使用在他们的网络内是唯一的IP地址,但是可能不是唯一在外部网络中。

  • 例如需要对可以由应用层网关处理。的有限的一套外部服务的访问的主机(电子邮件, FTP,新闻网,远程登录)许多这些主机可能不需要或想要不受限制外部访问(提供通过IP连通性),保密性或安全原因的。类似在第一个类别的主机,他们能使用是唯一在他们的网络内,但是不在外部网络中的IP地址。

  • 需要网络层访问企业的外部的主机通过IP连通性提供了。仅这些主机需要全局唯一的IP地址。

许多应用程序要求仅连接在一网络之内并且没有均等多数内部主机的需要外部连接。在大型网络中,当他们不需要网络层连接网络的外部时,主机经常使用TCP/IP。这是一些示例外部连接也许不要求的地方:

  • 有其到达和离开的一大机场通过TCP/IP单个显示可寻址。是不太可能这些显示需要是直接可访问的从其他网络。

  • 大组织类似使用TCP/IP他们的内部通信的内存段和零售连锁店。很大数量的本地工作站类似收款机、金钱机器和设备在职员位置很少需要外部连接。

  • 使用应用层网关的网络(防火墙)连接到互联网。内部网络通常没有直接访问到互联网,那么仅一个或更多防火墙主机从互联网是可视。在这种情况下,内部网络能使用非固有的IP编号。

  • 在他们自己的专用链路通信的两网络。通常仅有限的主机在此链路是互相可达到的。仅那些主机需要全局唯一IP编号。

  • 路由器接口内部网络的。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

专用地址空间

互联网分配号码授权中心(IANA)保留IP地址空间以下三块私有网络的:

  • 10.0.0.0 - 10.255.255.255

  • 172.16.0.0 - 172.31.255.255

  • 192.168.0.0 - 192.168.255.255

第一块是一A类网络号,第二块是一套16个相邻的B类网络编号,并且第三块是一套255个相邻的C类网络编号。

如果决定使用专用地址空间,您不需要协调与IANA或互联网注册。在此专用地址空间内的地址只在您的网络内将是唯一。请切记,如果需要全球唯一地址空间,您必须从互联网注册得到地址。

为了使用专用地址空间,请确定哪些主机不需要有网络层连接到外部。这些主机是专用主机,并且使用专用地址空间。专用主机能用在网络内的其他主机通信,公共和私有,但是他们不能有IP连通性到任何外部主机。专用主机能通过应用层中继仍然访问外部服务。

其他主机公共并且使用互联网注册分配的全球唯一地址空间。公共主机用在网络内的其他主机通信,并且能有IP连通性到外部公共主机。公共主机没有连接到其他网络专用主机。

由于专用地址没有全局含义,关于私有网络的路由信息在外部链路没有被传播,并且不应该在这样链路间转发数据包和私有来源或目的地址一起。不使用专用地址空间,特别是那些网络服务提供商的网络的路由器,应该配置拒绝(过滤)关于私有网络的路由信息。此拒绝不应该对待路由协议错误。

应该在网络内包含对这样地址的间接参考(类似DNS资源记录)。网络服务提供商应该采取措施防止这样损失。

使用专用地址空间的优点和缺点

使用专用地址空间明显的优势的互联网是保存全球唯一地址空间。使用专用地址空间也提供您在网络设计的较大适应性,因为您比您可能从全局唯一池将有更多地址空间联机获得。

使用专用地址空间主要的缺点是您必须重数您的IP地址,如果要连接到互联网。

设计注意事项

您应该首先设计您的网络的专用部分和使用专用地址空间所有内部链路。然后请计划公共子网并且设计外部连接。

如果可以设计和您的设备支持一个适当的子网化机制,请使用专用地址空间24位块并且做一寻址计划用一个好发展路径。如果分支子网是问题,您能使用16位C类块。

更改从私有的一台主机到公共要求更改其地址,并且,在大多数情况下,其物理连通性。在这样更改可以预见的位置(计算机房间,等等)您也许要配置公共和专用子网的独立的物理媒介,使这些更改更加容易。

连接对外部网络的路由器应该设置适当的数据包和路由选择过滤器在链路的两端为了防止损失。您应该也过滤从入站路由信息的所有私有网络为了防止能发生的模棱两可的路由情况,如果对专用地址空间的路由网络的外部指向。

预见对相互通信的需要组织的组必须设计一普通的寻址计划。使用外部的服务提供商,如果两个站点需要连接,他们能考虑使用IP隧道防止数据包泄漏私有网络。

一种方式避免漏DNS RR将运行两名称服务器、一个外部服务器负责对企业的所有全局唯一IP地址和一个内部服务器负责对所有IP地址,公共和私有。为了保证一致性这两个服务器应该接收同一个数据,外部名称服务器只使用一个已过滤版本。

在所有内部主机的解析程序,公共和私有,查询仅内部名称服务器。外部服务器解决从外部解析程序的查询和连接到全局DNS。内部服务器转送所有查询对于信息企业的外部到外部名称服务器,因此所有内部主机能访问全局DNS。这样,关于专用主机的信息不到达外部解析程序和名称服务器。

安全考虑

当曾经专用地址空间能改进安全,它不是专用的安全措施的时一种替代品。

结论

使用此方案许多大型网络只需要从全局唯一IP地址空间的一相对小地址块。大好处的互联网通过全球唯一地址空间的保存和网络受益于一个相对大专用地址空间提供的增强的灵活性。


相关信息


Document ID: 13789