Частные IP-адреса, серые IP-адреса, публичные IP-адреса, белые IP-адреса. Bogon сети и адреса.
Привет, посетитель сайта ZametkiNaPolyah.ru! Продолжаем изучать основы работы компьютерных сетей и протокол сетевого уровня IP, а если быть более точным, то его версию IPv4. В этой теме мы поговорим о специальных IP-адресах и их назначении. Более подробно остановимся на таких понятиях как: частный IP-адрес, серый IP-адрес, белый IP-адрес и публичный IP-адрес. Также мы немного разберемся с вопросом: откуда берутся IP-адреса и кто их выдает, но разговор будет поверхностным, так как юридические и формальные вопросы — это не совсем наша тема.
Если тема компьютерных сетей вам интересна, то можете ознакомиться с другими записями курса.
Оглавление первой части: «Основы взаимодействия в компьютерных сетях».
Оглавление четвертой части: «Сетевой уровень: протокол IP и его версия IPv4».
4.7.1 Введение
Содержание статьи:
- 4.7.1 Введение
- 4. 7.2 Частные и серые IP-адреса, адреса, не маршрутизируемые в Интернете
- 4.7.3 Публичные IP-адреса
- 4.7.4 Серые и белые IP-адреса
- 4.7.5 Примерная схема получения IP-адреса. PI и PA IP-адреса
- 4.7.6 Специальные IP-адреса
- 4.7.7 Выводы
Еще одна скучная тема, в которой придется что-то запоминать или делать шпаргалку, но разобраться с диапазонами частных и публичных IP-адресов следует, как минимум для того, чтобы знать где, что и когда следует использовать. Также стоит заметить, что помимо частных и публичных IP-адресов в протоколе IPv4 существует еще несколько специальных подсетей, адреса которых следует использовать только таким образом, как это сказано в специальных RFC, сейчас мы их только коротко опишем, а если будут темы, в которых мы будем использовать эти адреса, то разберемся более детально на практике.
Также вам нужно понимать, что IP-адреса не берутся из ниоткуда и не пропадают в никуда, за ними постоянно бдят и стригут бабло с компаний по всему миру специально обученные дяденьки и тетеньки, об этом мы тоже немного поговорим, а еще затронем тему серых и белых IP-адресов.
4.7.2 Частные и серые IP-адреса, адреса, не маршрутизируемые в Интернете
Начнем мы разговор с частных IP-адресов, которые кто угодно и когда угодно может использовать в своих сетях для своих целей. Если сильно не умничать, то можно сказать, что частные IP-адреса – это такие адреса, которые не уникальны в пределах всего мира, но они должны быть уникальны в пределах локальной сети. Вообще, ниже мы перечислим все специальные IP-адреса, но сейчас стоит заметить, что специальные IP-адреса и их назначение описано в документе RFC 6890, а для частных адресов есть отдельный документ RFC 1918.
Зачастую вы можете встретить словосочетание bogon-адреса, можете воспринимать его как частные IP-адреса. Пожалуй, всё понятно, осталось только перечислить подсети серых IP-адресов, которые вы можете использовать в своих локальных сетях абсолютно бесплатно.
Сеть | Пояснение |
10. | Почти 17 млн. IP-адресов, которые можно использовать в своей локальной сети. Никаких особых рекомендаций для этой подсети нет. |
100.64.0.0/10 | Сеть на 4.194 млн. адресов, RFC 6598 рекомендует использовать эту сеть провайдерам, которые выпускают нас в Интернет. Если вы получаете от провайдера серый IP-адрес, то, скорее всего, он будет в этом диапазоне: от 100.64.0.1 до 100.127.255.254. |
172.16.0.0/12 | Немногим больше 1 млн. IP-адресов. Никаких особых рекомендаций для этой подсети нет. |
192.168.0.0/16 | Частная подсеть на 65 534 IP-адреса, без особых рекомендаций. |
Собственно, это все адреса, которые вы можете использовать для одноадресной передачи в своих локальных сетях, кажется, что это очень много, но крупным компаниям со своими дата-центрами этого может и не хватить.
4.7.3 Публичные IP-адреса
Публичные IP-адреса, это те адреса, которые уникальны в пределах всего мира, иногда их еще называют белыми адресами. Можно было бы сказать, что публичные адреса – это все те адреса, которые не обозначены, как частные, но это далеком не так, поскольку в протоколе IP есть еще целый ряд сетей, у которых особое назначение, и большая часть из них не находится в Интернете Для примера возьмем адрес Google 8.8.8.8, это публичный IP, про который все знают, что он принадлежит Google. Все об этом знают, потому что Google заплатил за него деньги и этот адрес занесен в специальную базу данных, в которой так и написано, что он принадлежит Google. Поддержкой этой базы данных занимается специальная организация.
Также для примера вы можете в своей локальной сети использовать любой адрес, который является публичным, от этих действий никто в мире не пострадает, кроме вас или организации, которую вы обслуживаете. Диапазон публичных IP-адресов станет понятен, когда мы разберем специальные IP-адреса, за которыми закреплено какое-то назначение. Тут стоит добавить пару слов о bogon-адресах. На данный момент практически все публичные IP-адреса кому-нибудь да принадлежат, но все-таки еще не все, иногда такие бесхозные адреса, которые никому не принадлежат, называют bogon-адресами, а частные называют просто частными.
4.7.4 Серые и белые IP-адреса
До этого я старался как мог не использовать слов белый IP-адрес и серый IP-адрес, дело всё в том, что зачастую серый IP-адрес используют как аналог частному IP-адресу, а белый IP-адрес используют как аналог публичному IP-адресу и, на мой взгляд, это недалеко от истины, но все-таки не совсем так. Я попытаюсь объяснить почему так считаю, а вы уже можете соглашаться или не соглашаться со мной.
Есть такой замечательный протокол NAT, который позволяет нескольким машинам из одной подсети выходить в какую-то внешнюю сеть из-под одного IP-адреса. Те IP-адреса, которые заданы машинам в их подсети будут называться серыми IP-адресами, поскольку машины из внешней подсети их не видят. А вот этот один общий IP-адрес, из-под которого наши машины выходят в сеть, называется белым, так как именно его знают все во внешнем мире.
Рисунок 4.7.1 Схема, поясняющая про серые и белые IP-адреса
На нашем маршрутизаторе работает NAT, компьютеры на схеме – это наша маленькая сеть. Облако — это какая-то внешняя сеть, в которую компьютеры выходят через роутер, на котором работает NAT, то есть когда компьютер 192.168.1.2/24 отправляет пакет во внешнюю сеть, он отправляет его роутеру, роутер видит, что пакет пришел из-под IP-адреса 192.168.1.2 и что этот пакет нужно направить во внешнюю сеть, а значит ему нужно «перебить» этот адрес, на тот, который будет удобен устройствам во внешней сети, в данном случае это 192.168.8.1.
То есть в нашем случае серые IP-адреса – это подсеть 192.168.1.0/24, а белым IP-адресом является 192.168.8.1. Но постой, скажете вы, ведь 192.168.8.1 – это IP-адрес из частного диапазона, почему ты его называешь белым? Вот в этом и суть, NAT используется не только в тех случаях, когда вам нужно «перебить» IP-адреса из частного диапазона в публичный, другими словами «выйти» в Интернет, но и в ряде других ситуаций, в которых «белым» IP-адресом зачастую является частный адрес. Поэтому не совсем верно будет говорить, что белый IP-адрес – это публичный адрес, а серый IP – это частный адрес.
Схема реализована в Cisco Packet Tracer, о том как установить и запустить Packet Tracer в Ubuntu, о том как установить Packet Tracer на Windows 10 и о том, как пользоваться Cisco Packet Tracer. Если непонятны условные обозначения на схеме, то в теме условные обозначения компьютерной сети, вы сможете найти описание.
4.7.5 Примерная схема получения IP-адреса. PI и PA IP-адреса
Для начала разберемся с вопросом: что такое PI и PA адреса? PI-адрес очень похож по написанию на IP-адрес, более того, PI адрес является публичным IP-адресом, но все дело в том, что это не просто IP-адрес, а провайдеронезависимый IP-адрес (PI – Provider Independed). Есть еще PA-адреса, сокращение от Provider Aggregatable, это публичные IP-адреса, которые вы можете получать от провайдеров и которые принадлежат провайдерам, если вы отключитесь от провайдера, то он у вас такой адрес заберет.
Если же у вас много денег и вы можете позволить себе купить PI-адрес, причем просто один IP-адрес вы не купите, вам придется покупать целую подсеть, размером где-то /23 (если вам непонятны слова подсеть и эта запись, то сперва рекомендую ознакомиться с публикациями классовые IP сети, а затем прочитать про CIDR, VLSM и маску подсети переменной длины), то эти PI-адреса будут всегда с вами, и никакой провайдер забрать у вас их не сможет, поэтому вы всегда сможете сменить провайдера, в довесок к PI-адресам вам выдадут номер автономной системы (ASN) и с этим все добром вам придется жить. Если вы захотите использовать PI-адреса, то уже не получится купить у провайдера «обычный интернет на скорости 100 Мбит/c», придется договариваться о BGP соединение, в этом случае ваш провайдер будет рассказывать всем остальным в мире, что он знает вашу сеть.
Далее для общего развитие будет информация про организации, которые следят за базой данных публичных IP-адресов и решают кому и сколько выдавать.
Будем двигаться от самой большой к самым маленьким.- Во главе всей этой схемы стоит организация, называемая ICANN (Internet Corporation for Assigned Names and Numbers) или корпорация по управлению доменными именами и IP-адресами, говорят, что она некоммерческая, но создана при участии правительства США, как понятно из названия, для поддержания порядка в хаосе Интернет-адресов, из названия также понятно, что у нее два основных направления, в которых можно вести некоммерческую деятельность.
- IANA (администрация адресного пространства Интернета), эта структура подчиняется непосредственно ICANN и занимается контролем IP-адресов во всем мире. В ее задачи входит распределять IP-адреса и номера AS между регионами планеты Земля. Но распределяет она не абы кому, а только конкретным организациям, которые являются главными в своем регионе, их называют RIR.
- RIR (региональная регистратура Интернета)
- LIR или локальный регистратор, к которому можно подкатить на хромой кобыле и купить несколько сотен PI-адресов. LIRом может стать любой желающий, платите только деньги, раньше чтобы стать LIR, нужно было взять 4096 IP-адресов. LIRы делятся на пять категорий, в зависимости от количества IP-адресов, которые у них есть: Extra Large, Large, Medium, Small и Extra Small. Категорию присваивает RIR.
- NIR есть только в некоторых странах, например, в Китае, N – национальный.
На Рисунке 4.7.2 показаны сферы влияния различных RIR.
Рисунок 4. 7.2 Региональные интернет регистраторы
Стоит сказать, что если вы не провайдеры или не крупный дата-центр, то за PI-адресами вам придется бежать в LIR или самому становится LIR, но если вы не провайдер и не дата-центр, то, вероятно, вам это не нужно.
4.7.6 Специальные IP-адреса
Нам осталось рассмотреть IP-адреса, для которых в спецификациях и стандартах прописано специальное назначение. Для наглядности приведу все эти IP-адреса в виде таблицы, в этой таблице не будет частных IP-адресов, так как мы их уже рассмотрели. Те адреса, которых нет ни в этой, ни в предыдущей таблице являются публичными.
Сеть | Краткое описание |
0.0.0.0/8 | Вы не можете нигде (за редким исключением) использовать IP-адреса, первый октет которых 0. Все эти адреса можно смело называть не маршрутизируемыми (от слова совсем) мета-адресами. Адреса из этой подсети используется для обозначения недопустимой, недостижимой цели (такой адрес вы можете увидеть в IP-пакете в поле IP-адрес назначения в том случае, когда узел сформировал пакет, но не знает куда конкретного его направить). Когда мы будем говорить о маршрутах и маршрутизации, мы увидим, что этот IP используется для задания маршрута по умолчанию. |
0.0.0.0/32 | Такую подсеть может использовать узел в качестве IP-адреса источника, когда делает запрос к DHCP-серверу. |
127.0.0.0/8 | Одна из самых бесполезных специальных IP подсетей, так как для задачи, которую она решает, было бы достаточно одного IP-адреса с маской /32. Любой адрес из этой сети является циклическим, иногда такой адрес называют локальным хостом или localhost. Если вам нужно реализовать схему взаимодействия клиент-сервер на одном компьютере в одной операционной системе без виртуализации, то, вероятно, вам придется использовать IP-адрес из этой подсети. Когда машина делает запрос к адресу из этой подсети, она делает запрос сама к себе, при этом физическая сетевая карта не используется. Если вам нужно проверить работу сетевых библиотек своего компьютера, то используйте адрес из данной подсети. Часто адрес из подсети 127.0.0.0/8 называют loopback-адресом, он есть, он всегда доступен, но ни один физический интерфейс за ним не закреплен. |
169.254.0.0/16 | Адреса из этого диапазона иногда называют канальными адресами, хотя это не совсем правильно переведено, оригинал раскрывает суть: Link-Local Address. В протоколе IPv6 с Link-Local Address придется работать часто, в IPv4 не очень. Сеть 169.254.0.0/16 используется в тех случаях, когда компьютер настроен на получение IP-адреса от DHCP-сервера, но по каким-то причинам не может его получить, в этом случае узел сам себе назначает IP из этой подсети, в надежде, что какой-нибудь узел из этой подсети тоже назначит себе такой адрес. Механизм работы узлов в такой ситуации описан в RFC 3927. |
192.0.0.0/24 | IETF просто взял и забрал у нас эту подсеть, в RFC 6890 об этом сказано |
192.0.0.0/29 | Dual-Stack Lite (DS-Lite). Описано в RFC 6333. Когда мы будем говорить про IPv6 разберемся с этой подсетью. |
192.0.0.170/32 | Используется для NAT из IPv6 в IPv4 и обратно. |
192.0.0.171/32 | DNS64, опять же тема из IPv6 и мы ее не касаемся сейчас. |
192.0.2.0/24 и 198.51.100.0/24 | Можно использовать только для примеров в документации. |
192.88.99.1/32 | Этот IP-адрес может использовать кто и угодно. На него узлы отправляют пакеты, когда хотят попасть из сети IPv4 в сеть IPv6. |
192.88.99.0/24 | В IPv6 очень хорошо реализован механизм распространения пакетов anycast, а вот эта сеть является костыликом IPv4, позволяющим эмитировать этот самый anycast. |
198.18.0.0/15 | Можно использовать только для тестов на производительность каналов связи и компьютерной сети. |
224.0.0.0/4 | Эта сеть используется для многоадресной рассылки (multicast), при этом стоит учесть, что глобально маршрутизируемыми являются подсети 233.0.0.0/8 и 234.0.0.0/8, а часть блоков из общей подсети являются зарезервированными, если интересно, то RFC 5771. |
240.0.0.0/4 | Это примерно 1/16 IP-адресов из всего пула IPv4, которые никому и никогда не давали и, наверное, не дадут, так как эти адреса зарезервированы для экспериментов. |
255.255.255.255/32 | Этот адрес часто используют узлы настроенные по DHCP, когда делают запрос к DHCP серверу, указывая его в поле IP-адрес назначения IP пакета. |
4.7.7 Выводы
Мы рассмотрели все возможные виды IP-адресов, которые есть в протоколе IPv4. Самое важное сейчас для нас сделать вывод о том, что есть пространство частных IP-адресов, которое можно свободно использовать в своих личных целях абсолютно бесплатно, а есть публичные IP-адреса, которые достаются за деньги и они уникальны во всем Интернете.
Почти 17 млн. IP-адресов, которые можно использовать в своей локальной сети. Никаких особых рекомендаций для этой подсети нет. | ||||
Сеть на 4.194 млн. адресов, RFC 6598 рекомендует использовать эту сеть провайдерам, которые выпускают нас в Интернет. Если вы получаете от провайдера серый IP-адрес, то, скорее всего, он будет в этом диапазоне: от 100.64.0.1 до 100.127.255.254. | ||||
Немногим больше 1 млн. IP-адресов. Никаких особых рекомендаций для этой подсети нет. | ||||
Частная подсеть на 65 534 IP-адреса, без особых рекомендаций. | Вы не можете нигде (за редким исключением) использовать IP-адреса, первый октет которых 0. Все эти адреса можно смело называть не маршрутизируемыми (от слова совсем) мета-адресами. Адреса из этой подсети используется для обозначения недопустимой, недостижимой цели (такой адрес вы можете увидеть в IP-пакете в поле IP-адрес назначения в том случае, когда узел сформировал пакет, но не знает куда конкретного его направить). Когда мы будем говорить о маршрутах и маршрутизации, мы увидим, что этот IP используется для задания маршрута по умолчанию. | |||
Такую подсеть может использовать узел в качестве IP-адреса источника, когда делает запрос к DHCP-серверу. | ||||
Одна из самых бесполезных специальных IP подсетей, так как для задачи, которую она решает, было бы достаточно одного IP-адреса с маской /32. Любой адрес из этой сети является циклическим, иногда такой адрес называют локальным хостом или localhost. Если вам нужно реализовать схему взаимодействия клиент-сервер на одном компьютере в одной операционной системе без виртуализации, то, вероятно, вам придется использовать IP-адрес из этой подсети. Когда машина делает запрос к адресу из этой подсети, она делает запрос сама к себе, при этом физическая сетевая карта не используется. Если вам нужно проверить работу сетевых библиотек своего компьютера, то используйте адрес из данной подсети. Часто адрес из подсети 127.0.0.0/8 называют loopback-адресом, он есть, он всегда доступен, но ни один физический интерфейс за ним не закреплен. | ||||
Адреса из этого диапазона иногда называют канальными адресами, хотя это не совсем правильно переведено, оригинал раскрывает суть: Link-Local Address. В протоколе IPv6 с Link-Local Address придется работать часто, в IPv4 не очень. Сеть 169.254.0.0/16 используется в тех случаях, когда компьютер настроен на получение IP-адреса от DHCP-сервера, но по каким-то причинам не может его получить, в этом случае узел сам себе назначает IP из этой подсети, в надежде, что какой-нибудь узел из этой подсети тоже назначит себе такой адрес. Механизм работы узлов в такой ситуации описан в RFC 3927. | ||||
IETF просто взял и забрал у нас эту подсеть, в RFC 6890 об этом сказано | ||||
Dual-Stack Lite (DS-Lite). Описано в RFC 6333. Когда мы будем говорить про IPv6 разберемся с этой подсетью. | ||||
Используется для NAT из IPv6 в IPv4 и обратно. | ||||
DNS64, опять же тема из IPv6 и мы ее не касаемся сейчас. | ||||
Можно использовать только для примеров в документации. | ||||
Этот IP-адрес может использовать кто и угодно. На него узлы отправляют пакеты, когда хотят попасть из сети IPv4 в сеть IPv6. | ||||
В IPv6 очень хорошо реализован механизм распространения пакетов anycast, а вот эта сеть является костыликом IPv4, позволяющим эмитировать этот самый anycast. | ||||
Можно использовать только для тестов на производительность каналов связи и компьютерной сети. | ||||
Эта сеть используется для многоадресной рассылки (multicast), при этом стоит учесть, что глобально маршрутизируемыми являются подсети 233.0.0.0/8 и 234.0.0.0/8, а часть блоков из общей подсети являются зарезервированными, если интересно, то RFC 5771. | ||||
Это примерно 1/16 IP-адресов из всего пула IPv4, которые никому и никогда не давали и, наверное, не дадут, так как эти адреса зарезервированы для экспериментов. | ||||
Этот адрес часто используют узлы настроенные по DHCP, когда делают запрос к DHCP серверу, указывая его в поле IP-адрес назначения IP пакета. |
Класс сети | С IP-адреса | До IP-адреса | Всего адресовв диапазоне | Маска сети |
A | 10.0.0.0 | 10.255.255.255 | 16777216 | 255.0.0.0 |
B | 172.16.0.0 | 172. 31.255.255 | 65536 | 255.255.0.0 |
C |
192.168.255.0
192.168.255.255
255.255.255.0
Для создания небольшой сети очень удобен вариант сети класса С, например сеть с адресами компьютеров от 192.168.1.1 до 192.168.1.254 и маской 255.255.255.0. В такой сети может быть максимально до 254 компьютеров или других сетевых устройств. Для домашней сети этого более чем достаточно!
Итак, созданная частная сеть является изолированной от Интернета. Однако если выход в Интернет происходит через промежуточное устройство, например маршрутизатор, то в таком случае возможна замена (трансляция) адреса компьютера пользователя другим адресом. В связи с этим при описании устройства и его возможностей упоминается NAT (Network Address Translation). При трансляции адресов может использоваться один IP-адрес Интернета для всех компьютеров частной сети. Таким способом достигается «экономия» легальных адресов. Многие провайдеры поступают именно так, выделяя для своих пользователей адреса из диапазонов частных сетей. Только при выходе в Интернет их адреса заменяются легальными адресами.
Частные IP-адреса: все, что вам нужно знать
Частный IP-адрес — это IP-адрес, который зарезервирован для внутреннего использования за маршрутизатором или другим устройством преобразования сетевых адресов ( NAT ), кроме общего доступа. Частные IP-адреса отличаются от общедоступных IP-адресов , которые являются общедоступными и не могут использоваться в домашней или деловой сети . Иногда частный IP-адрес также называют локальным IP-адресом.
Lifewire / Jie En LeeКакие IP-адреса являются частными?
Управление по присвоению номеров в Интернете (IANA) резервирует следующие блоки IP-адресов для использования в качестве частных IP-адресов:
- С 10.0.0.0 по 10.255.255.255
- 172.16.0.0 до 172.31.255.255
- С 192.168.0.0 по 192.168.255.255
Первый набор IP-адресов допускает более 16 миллионов адресов, второй — более 1 миллиона и более 65 000 — для последнего диапазона.
Другой диапазон частных IP-адресов — от 169.254.0.0 до 169.254.255.255, но они предназначены только для использования автоматической частной IP-адресации (APIPA).
В 2012 году IANA выделила 4 миллиона адресов 100.64.0.0/10 для использования в средах NAT операторского уровня .
Почему используются частные IP-адреса
Вместо того, чтобы устройства внутри домашней или бизнес-сети использовали общедоступный IP-адрес, доступ к которому ограничен, частные IP-адреса предоставляют совершенно отдельный набор адресов, которые обеспечивают доступ в сети, но не занимают пространство общедоступных IP-адресов.
Например, большинство маршрутизаторов в домах и на предприятиях по всему миру имеют IP-адрес 192.168.1.1 и назначают 192.168.1.2 , 192.168.1.3 , … различным подключенным к нему устройствам (используя DHCP ).
Не имеет значения, сколько маршрутизаторов используют адрес 192.168.1.1 или сколько десятков или сотен устройств в этой сети делят IP-адреса с пользователями других сетей, потому что они не общаются друг с другом напрямую. Вместо этого устройства в сети используют маршрутизатор для преобразования запросов через общедоступный IP-адрес, который может связываться с другими общедоступными IP-адресами и, в конечном итоге, с другими локальными сетями.
Аппаратное обеспечение в пределах конкретной сети , которая с помощью частного IP — адрес может взаимодействовать со всеми другими аппаратными средствами в пределах этой сети , но требует маршрутизатора для связи с устройствами вне сети, после чего IP адрес общественности используются для связи.
Например, перед тем как попасть на эту страницу, ваше устройство (например, компьютер, телефон или планшет), которое использует частный IP-адрес, запросило эту страницу через маршрутизатор, который имеет публичный IP-адрес. После того, как был сделан запрос, и Lifewire ответил, что доставил страницу, он был загружен на ваше устройство через публичный IP-адрес до того, как он достиг вашего маршрутизатора, после чего он был передан на ваш частный / локальный адрес для доступа к вашему устройству.
Все устройства (ноутбуки, настольные компьютеры, телефоны, планшеты и другие), которые содержатся в частных сетях по всему миру, могут использовать частный IP-адрес практически без ограничений, чего нельзя сказать о публичных IP-адресах.
Частные IP-адреса также дают возможность устройствам, которым не требуется подключение к Интернету, таким как файловые серверы и принтеры, обмениваться данными с другими устройствами в сети, не подвергаясь непосредственному воздействию общественности.
Как скрыть свой IP-адрес
Зарезервированные IP-адреса
Другой набор IP-адресов, которые еще более ограничены, называются зарезервированными IP-адресами. Они похожи на частные IP-адреса в том смысле, что их нельзя использовать для общения в Интернете, но они еще более ограничительны, чем это.
Самый известный зарезервированный IP-адрес — 127.0.0.1 . Этот адрес называется адресом обратной связи и используется для проверки сетевого адаптера или встроенного чипа. Трафик, адресованный 127. 0.0.1, не передается по локальной сети или общедоступному Интернету.
Технически весь диапазон от 127.0.0.0 до 127.255.255.255 зарезервирован для целей обратной связи, но вы почти никогда не увидите ничего, кроме 127.0.0.1, используемого в реальном мире.
Адреса в диапазоне от 0.0.0.0 до 0.255.255.255 также зарезервированы, но вообще ничего не делают. Если вы даже можете назначить устройству IP-адрес в этом диапазоне, оно не будет работать должным образом, независимо от того, где в сети оно установлено.
Как найти свой частный IP-адрес
Знание вашего частного IP-адреса полезно только в определенных и для большинства людей редких ситуациях.
Если вы хотите подключить один компьютер к другому в вашей сети, например подключенный сетевой диск , вы можете сделать это через его локальный IP-адрес. Вы также можете использовать локальный IP-адрес с программным обеспечением удаленного рабочего стола для управления компьютером издалека. Частный IP-адрес также необходим для направления конкретного сетевого порта от маршрутизатора к конкретному компьютеру в той же сети, процесс, называемый переадресацией портов .
Самый простой способ найти ваш частный IP-адрес в Windows — использовать командную строку с командой ipconfig .
Не знаете, какой частный IP-адрес вашего маршрутизатора или другого шлюза по умолчанию? См. Как мне найти мой IP-адрес шлюза по умолчанию? ,
Дополнительная информация о частных IP-адресах
Когда подключено такое устройство, как маршрутизатор, оно получает публичный IP-адрес от интернет-провайдера . Это устройства, которые подключаются к маршрутизатору, которые получают частные IP-адреса.
Частные IP-адреса не могут напрямую связываться с публичным IP-адресом. Это означает, что если устройство с частным IP-адресом подключено напрямую к Интернету и, следовательно, становится не маршрутизируемым, у устройства не будет сетевого подключения до тех пор, пока адрес не будет преобразован в рабочий адрес через NAT или пока он не запросит его. отправка отправляется через устройство с действительным общедоступным IP-адресом.
Весь трафик из интернета может взаимодействовать с роутером. Это верно для всего, от обычного HTTP- трафика до FTP и RDP. Однако, поскольку частные IP-адреса скрыты за маршрутизатором, маршрутизатор должен знать, на какой IP-адрес ему следует пересылать информацию, если вы хотите, чтобы FTP-сервер был настроен в домашней сети. Для правильной работы частных IP-адресов необходимо настроить переадресацию портов.
Переадресация одного или нескольких портов на определенный частный IP-адрес включает вход в маршрутизатор для доступа к его настройкам, а затем выбор портов для переадресации и куда они должны идти.
Настройка частной сети — База знаний
(Сеть вашего сервера не реализует свой потенциал? Закажите у нас сервер с промокодом ПАКЕТЫ на скидку 15% на первый счет)
В архитектуре интернет-адреса частная сеть — это группа взаимосвязанных систем, которые используют пространство частных IP-адресов в соответствии со стандартами, установленными RFC 1918 для Интернет-протокола версии 4 (IPv4) и RFC 4193 для Интернет-протокола версии 6 (IPv6). Это сети, которые строго локальны для организации и имеют трафик, который не маршрутизируется через глобальный Интернет. Обычно вам необходимо настроить частную сеть, когда у вас есть несколько серверов, размещенных у одного и того же провайдера, которым необходимо взаимодействовать друг с другом, например, при резервном копировании или при кластеризации серверов.
Мы также имеем в виду интерконнект, когда говорим о частных сетях. Межсоединение — это выделенная частная сеть между узлами или серверами в одном широковещательном домене Ethernet (VLAN).
По умолчанию серверы могут связываться друг с другом через Интернет. Однако это может ограничить производительность сети с точки зрения объема и скорости во время пикового трафика, что, в свою очередь, может повлиять на затраты. Безопасность также является постоянной причиной для беспокойства при маршрутизации трафика, который может содержать конфиденциальные данные, через общедоступное пространство внешних IP-адресов.
Использование частной сети обеспечивает более высокую производительность, поскольку ограничения внешнего трафика не применяются к серверам в частных сетях. Данные также становятся более безопасными, когда они передаются через частную сеть, поскольку они недоступны из безликой толпы в Интернете.
Что нужно для начала
Чтобы создать межсоединение, убедитесь, что все соответствующие серверы находятся в одном широковещательном домене Ethernet (VLAN). Если у вас есть только два сервера, вы можете подключить их напрямую, хотя это может ограничить масштабируемость в будущем.
Вам потребуется блок частных IP-адресов для вашей сети. Управление по присвоению номеров в Интернете (IANA) зарезервировало следующие три блока адресного пространства IPv4 для частных сетей:
10.0.0.0 — 10.255.255.255 или 10.0.0.0/8
172.16.0.0 — 172.31.255.255 или 172.16. 0.0/12
192.168.0.0 — 192.168.255.255 или 192.168.0.0/16
IANA также присвоила частным IPv6-адресам префикс «FC00::/7», называемый Unique Local Unicast.
При принятии решения об использовании частных адресов проконсультируйтесь со своим интернет-провайдером или центром обработки данных о подсетях, которые вы можете использовать.
Конфигурации
* Информация, описанная ниже, относится к CentOS 6.
Чтобы определить, будут ли ваши команды выполняться на внешнем или внутреннем интерфейсе, вы можете использовать следующую команду:
# ifconfig ethX
# route -n ИЛИ # netstat -rn
ПРИМЕЧАНИЕ. ethX — это имя Ethernet-устройства, с которым нужно работать.
Внутренний интерфейс будет использовать частное адресное пространство, а внешний или общедоступный интерфейс будет находиться в той же подсети, что и шлюз по умолчанию.
Вы можете использовать приведенную ниже команду, чтобы проверить, работает ли ссылка, и проверить скорость сетевого порта:
# ethtool ethX
Каждый установленный сетевой адаптер имеет соответствующий ifcfg-* файл в /etc/sysconfig/network-scripts . Чтобы настроить конфигурацию вашей частной сети, используйте текстовый редактор для редактирования или создания файлов следующим образом:
ifcfg-ethX ИЛИ используйте текстовый графический интерфейс командной строки, чтобы перейти к system-config-network
# vi /etc/sysconfig/network-scripts/ifcfg-ethX
- Первый файл конфигурации карты Ethernet, который часто используется для публичного интерфейса: /etc/sysconfig/network-scripts/ifcfg-eth0
- Файл конфигурации второй карты Ethernet, которую вы планируете использовать для своей частной сети: /etc/sysconfig/network-scripts/ifcfg-eth2
Примечание. Большинство ядер Linux помечают устройства Ethernet как ethX, где «X» — это номер физического интерфейса Ethernet, который начинается с 0. Однако порядок может зависеть от того, как ОС видит сетевую карту, т. е. как она физически подключен и настроен (например, первое устройство Ethernet может быть «eth2», а второе — «eth0»).
Для редактирования или изменения статической конфигурации IP:
/etc/sysconfig/network-scripts/ifcfg-eth2
9002 Устройство = ETH2Bootproto = static
Bootproto = static
.
HWADDR = 00: 30: 48: 56: A6: 2E
IPADDR = 192.168.100,5
Netmak = 255.255.255.0
ONBOUT = 255.255.255.0
ONBOUT = 255.255.055.0
NATEBOOT = 255.25555.0
. обязательно укажите имя вашего вторичного (частного) интерфейса как «DEVICE = директива».
Сохраните и закройте файл. Наконец, используйте следующую команду для перезапуска сетевой службы:
# /sbin/service network restart
Есть несколько способов проверить подключение и связь в вашей частной сети:
- Чтобы убедиться, что все хосты находятся в частной сети, пропингуйте их между собой по их частным IP-адресам
# ping <ЧАСТНЫЙ-IP-адрес>
- Используйте команду arping, чтобы найти соседние узлы вашей частной сети
# arping -I ethX
- Используйте команду traceroute от одного узла к другому, используя настроенные частные IP-адреса, чтобы убедиться, что маршрутизатор в середине не отображается
# traceroute
Если ваш хост поставляется с брандмауэром на основе хоста под названием iptables/netfilter , вам нужно настроить его так, чтобы он разрешал частную сеть и некоторые необходимые службы:
# iptables -A INPUT -i eth2 -p icmp —icmp-type echo-request -j ACCEPT
Необязательно: Вы можете отказаться от частных сетевых адресов на общедоступном интерфейсе:
# iptables -A INPUT -i eth0 -s 192. 168.0.0/24 -j DROP
# iptables -A INPUT -i eth0 — с 10.0.0.0/8 -j DROP
Наконец, сохраните свои правила, чтобы они автоматически перезагружались при следующей перезагрузке:
# /sbin/service iptables save
Убедитесь, что общедоступные службы, такие как DNS, SMTP и SSH, прослушивают общедоступные IP-адреса или
«.0.0.0» для всех адресов в системе. С другой стороны, частные службы, такие как NFS и PostgreSQL, должны прослушивать только частные IP-адреса. Используйте следующую команду, чтобы узнать, какие службы прослушивают адресов:
# netstat -nap -A inet -A inet6
Настройка NFS в частной сети
Мы будем использовать сценарий в качестве примера, чтобы продемонстрировать, как настроить NFS в частной сети. В этом примере планируется экспортировать файловую систему с хоста с IP-адресом 10.1.1.50 (сервер NFS), а затем смонтировать ее на хост с IP-адресом 10. 1.1.55 (клиент NFS). И сервер NFS, и клиент работают под управлением Ubuntu Linux.
Чтобы настроить сервер NFS, вы можете использовать один из перечисленных ниже вариантов:
/дом/нфс/ 10.1.1.55(право, синхронизация)
| экспорт /home/nfs каталога на хост (IP-адрес 10.1.1.55) с разрешениями на чтение-запись и в синхронизированном режиме
|
/home/nfs/ 10.1.1.55(rw,sync,no_root_squash) | экспортировать /home/nfs каталог на хост (IP-адрес 10.1.1.55) с разрешениями на чтение и запись в синхронном режиме, а удаленный пользователь root имеет привилегии root для изменения любого файла и каталога |
/home/nfs/ *(ro,sync) | экспорт /home/nfs каталог для любого хоста с правами только на чтение и в синхронизированном режиме |
После настройки NFS-сервера сделайте запись в /etc/exports и перезапустите службы, чтобы каталог был доступен в сети:
# vi /etc/exports
/home/nfs/ *(ro,sync)
В приведенном выше примере каталог /home/nfs доступен любому хосту с правами только на чтение и в синхронизированном режиме.
Чтобы настроить клиент NFS, смонтируйте общие каталоги на клиенте NFS:
# mkdir /home/nfs_local
# mount -t nfs 10.1.1.50:/home/nfs /home/nfs04local # Чтобы проверить, работает ли установка NFS: На сервере NFS # touch/home/nfs/nfs-test-file на клиенте NFS # LS/Home/NFS_LOCAL/ NFS-Test-File
NFS-Test-File
NFS-Test-File
9000 2 NFS-тестирование Удаленный доступ к серверу БД PostgreSQL
По умолчанию удаленный доступ к серверу БД PostgreSQL отключен из соображений безопасности. Однако могут быть случаи, когда вам потребуется удаленный доступ к серверу базы данных с компьютера в частной сети или с веб-сервера.
Отредактируйте файл # vi /var/lib/pgsql/data/pg_hba.conf , добавив следующую строку, чтобы предоставить доступ к сети «10.10. 29.0/24»:
host all all 10.10.29.0 /24 trust
Примечание. Замените «10.10.29.0/24» фактическим диапазоном сетевых IP-адресов клиентских систем в вашей собственной сети
Сохраните и закройте этот файл.
Чтобы включить сеть для PostgreSQL:
# vi /var/lib/pgsql/data/postgresql.conf
listen_addresses=’private-ip-address’
# /etc/init.d/postgresql restart
скрипты iptables или в файл /etc/sysconfig/iptables .
Использование частного (RFC1918) адресного пространства во внутренней сети UCL | Отдел информационных услуг
Версия: 1.1
Date: 04/07/07
Author: Bob Lawrence
Document details: N/A
*Last Updated:*21/02/13
Date Версия Автор Цель | |||
4 июля 2007 г. | 1,0 | Боб Лоуренс | . Начальная версия | .0409 Corrected erroneous network masks for prefixes in 192.168.0.0/16 |
14th March 2008 | 1.0 | Bob Lawrence | Amended footnote, page (6) |
21st Feb 2013 | 1.1 | Guy Morrell | Загружено на вики с незначительными исправлениями формата |
Использование частного адресного пространства во внутренней сети UCL
Введение
В этом примечании описывается концепция «частных» IP-адресов и их использование во внутренней сети UCL.
Всем сетевым администраторам UCL, рассматривающим возможность использования частной интернет-адресации, настоятельно рекомендуется прочитать этот документ, чтобы понять, как такие адреса используются в сети колледжа, а также во избежание дублирования такой адресации и возможных коммуникационных ловушек. Администратора также предупреждают об уместности такого выбора. Если есть какие-либо среднесрочные или долгосрочные потребности в доступе в Интернет для устройств, использующих частную адресацию, например. для обновлений программного обеспечения или для сторонней поддержки использование частной IP-адресации может оказаться нецелесообразным.
RFC 1918 и частная IP-адресация
RFC 1918 описывает использование пространства IP-адресов, которое IANA, Администрация адресного пространства Интернета, считает частным (подробности см., например, в RFC1918 — Распределение адресов для частных интернетов). Частное адресное пространство доступно для использования любой организацией и гарантированно не маршрутизируется в общедоступной сети Интернет. На практике это означает, что любой хост-компьютер, которому назначен частный адрес, определенный в RFC 1918, не может быть доступен «напрямую» с любого другого компьютера, не входящего в локальную сеть хост-организации. Частные адреса могут использоваться по ряду причин, некоторые из которых включают:
- Те случаи, когда хост должен быть гарантированно изолирован от общедоступного Интернета по какой-либо причине.
- Для устранения нехватки пространства общедоступных IP-адресов. По мере того, как все больше и больше машин подключаются к Интернету, доступность общедоступных IP-адресов становится все более и более ограниченной. Если организация не может увеличить пространство общедоступных адресов, которым она владеет, одним из методов, используемых для смягчения последствий, является внутреннее выделение частных IP-адресов и использование метода, называемого NAT (преобразование сетевых адресов), чтобы позволить машине с частным адресом обмениваться данными. с системами, находящимися вне юрисдикции организации. Что делает NAT, так это преобразовывает исходный IP-адрес в исходящих пакетах в легитимный общедоступный адрес (или диапазон адресов) и управляет обслуживанием, чтобы возвращаемые пакеты соответствующим образом преобразовывались обратно в правильные внутренние адреса. Этот метод обеспечивает процесс «многие к одному», в котором несколько внутренних адресов могут быть преобразованы в гораздо меньший блок общедоступных адресов, тем самым сохраняя ценные ресурсы общедоступной адресации PAT или преобразование адресов портов — это родственный метод, используемый в основном для тех же целей. , т.е. скрытие и сохранение адресов. Помимо указания на то, что PAT может использоваться там, где упоминается NAT, нет необходимости рассматривать его далее в этом примечании.
- Вариант предыдущего случая, в котором, хотя у организации может быть достаточно общедоступных адресов, она, тем не менее, решает использовать методологию, изложенную выше, для повышения уровня общественной безопасности по отношению к общедоступной сети. В этом случае защищенные системы обычно подключаются за корпоративным брандмауэром, который выполняет функцию NAT от имени внутренних систем.
RFC 1918 определяет следующие диапазоны адресов как частные,
- 10.0.0.0/8 (адреса с 10.0.0.0 по 10.255.255.255 Информация)
- 172.16.0.0/12 (адреса 172.16.0.0 по 172,31.255.255 включено)
- 192.168.0.0/1655.255. 192.168.255.255 включительно) Адреса в этих диапазонах не маршрутизируются в Интернете и могут свободно использоваться любой организацией только для локальных целей.
Обратите внимание, что диапазоны адресов представлены в нотации бесклассовой IP-адресации. Описание этого обозначения см., например:
- CIDR: Бесклассовая междоменная маршрутизация.
Использование частной IP-адресации в сети UCL
Маршрутизаторы UCL MAN, т.е. те, которые соединяют учреждение с лондонской сетью MAN, настроены на отбрасывание любого полученного ими пакета, в котором адрес RFC 1918 указан либо как источник, либо как пункт назначения. Однако в UCL есть некоторые требования по внутренней маршрутизации частных адресов, т.е. между разными подсетями UCL, выделенными частными адресами, или между общедоступным адресом UCL и частным внутренним адресом. Там, где это требование присутствует, используется частная адресация должен быть назначен сетевой группой IS, чтобы гарантировать как маршрутизацию, так и уникальность адресации. Выделение адресов — это одна из функций, выполняемых ролью hostadmin .
Следующие адреса выделяются сетевой группой IS (через ее роль hostadmin ). Их следует использовать только после официального выделения hostadmin . Эти адреса предназначены для использования администраторами узлов, которым требуется подключение между системами, настроенными с использованием частных IP-адресов, и другими системами (частными или иными), подключенными к сети колледжа. Маршрутизация гарантируется для этих диапазонов адресов в пределах базовой сети.
- 10.0.0.0/9 (address 10.0.0.0 through 10.127.255.255 inclusive)
- 172.16.0.0/13 (addresses 172.16.0.0 through 172.23.255.255 inclusive)
- 192.168.0.0/17 (addresses 192.168.0.0 through 192.168.127.255 включительно)
На практике адреса в 192.168.0.0/21 (т.е. с 192.168.0.0 по 192.168.7.255 включительно) никогда не выделяются. В ряде готовых системных конфигураций используются адреса 192.168.0.0/24 или 192.168.1.0/24. Благоразумие диктует, что следует избегать публичного выделения этих адресов.
Примечание: есть исключение. Фармацевтическая школа использовала 192.168.6.0/23, поэтому этот префикс теперь маршрутизируется по магистрали.
Обратите внимание, что каждый префикс представляет собой младшую половину исходного префикса, из которого он получен, например. 10.0.0.0/9 — это нижняя половина диапазона, представленного 10.0.0.0/8. Следующие диапазоны адресов гарантированно будут действительно частными при использовании в сети колледжа, потому что инфраструктура маршрутизации UCL будет отбрасывать пакеты, содержащие любой адрес в этих пределах. диапазоны. Эти адреса могут использоваться любым администратором, но при строгом понимании того, что они никогда не станут маршрутизируемыми в сети UCL.
- 10.128.0.0/9 (адреса 10.128.0.0 по 10.255.255.255 включительно)
- 172.24.0.0/13 (адреса 172.24.0.0 по 172.31.255.25555555555555 г.. 192.12.028.17.02.17.02.17. 192.168.255.255 включительно)
Обратите внимание, что каждый префикс представляет собой верхнюю половину исходного префикса, из которого он получен, например. 10.128.0.0/9 — это верхняя половина диапазона, представленного 10.0.0.0/8. Заявки на выделение частных IP-адресов для использования во внутренней сети UCL и общие вопросы по RFC 1918, следует направлять по адресу: hostadmin.
Частный IP-адрес — что такое частный IP-адрес?
Частный IP-адрес — это немаршрутизируемый адрес вашего устройства, назначенный сетевым маршрутизатором. Каждое устройство, подключенное к одной и той же сети, имеет частный IP-адрес или сетевой адрес. IP-адрес позволяет устройствам, подключенным к одной сети, обмениваться данными.
Что такое частный IP-адрес?
Частные IP-адреса позволяют подключенному устройству обмениваться данными без подключения к Интернету.
IP-адрес с указанными немаршрутизируемыми диапазонами является частным IP-адресом. Корпорации и предприятия используют частные IP-адреса для повышения безопасности в сети и предотвращения установления соединения внешними пользователями или хостами. Например, вы можете подключить свой принтер к беспроводному соединению и печатать документы, но ваш сосед не может отправлять команды на ваш принтер.
Узнайте больше о частном IP-адресе в этой статье.
Что такое частный IP-адрес?
Частные IP-адреса используются для установления сетевого соединения на предприятиях, в офисах или у жителей. Все устройства, такие как смартфоны, принтеры, компьютеры или планшеты, подключенные к сети Интернет, имеют частный IP-адрес.
Частный IP-адрес помогает маршрутизаторам и устройствам идентифицировать друг друга, а идентификация маршрутизатора является одной из основных причин создания частных IP-адресов.
Что такое частные IP-адреса?
Частные IP-адреса состоят из адресов IPv6 и IPv4.
Следующие конфигурации классифицируют частные IPv4-адреса:
Класс A
Конфигурации класса A находятся в диапазоне от 10.0.0.0 до 10.255.255.255. Класс A используется большими сетевыми соединениями до 24 бит для хоста и 8 бит для сети.
Класс B
Конфигурации класса B варьируются от 172.16.0.0 до 172.31.255.255. Класс B используется для сетей среднего масштаба с 16 битами для хоста и сети.
Класс C
Конфигурации класса C варьируются от 19с 2.168.0.0 по 192.168.255.255. В небольших сетях используется класс C с 8 битами для хоста и 24 битами для сети.
Частные IP-адреса класса A могут иметь до 16 миллионов адресов, тогда как класс B допускает 1 миллион адресов, а класс C допускает до 65 000 адресов. Диапазоны частных IP-адресов ограничены, поскольку они повторно обрабатываются в различных частных сетях. Это не относится к общедоступным IP-адресам, поскольку они идентифицируемы.
Зачем нужны частные IP-адреса?
Корпоративные сети и жилые районы используют частные IP-адреса, чтобы предотвратить доступ посторонних к сети. Ваш местный интернет-провайдер может использовать один IPv4-адрес для клиентов в одном регионе. Адрес порта используется для преобразования IP-адреса в разные адреса и позволяет нескольким устройствам иметь один назначенный адрес. Таким образом, использование преобразователя адреса сети или порта позволяет пользователям подключаться к различным хостам.
Компании используют частные IP-адреса для усиления своей безопасности и ограничения использования Интернета внутренними пользователями.
Конфиденциальность и защита
Защита данных — одно из ключевых преимуществ частных IP-адресов. Устройства с частным IP-адресом не подключены к общедоступному Интернету, что ограничивает вход и выход данных за пределы сети. Для компаний конфиденциальные данные защищены и доступны только для подключенных устройств.
Безопасность
Частный IP-адрес защищен от вирусов и вредоносных программ, поскольку он ограничивает общий доступ. Таким образом, по сравнению с общедоступными IP-адресами, частные IP-адреса с меньшей вероятностью будут атакованы вредоносными программами и утечками данных.
Все устройства, такие как телефоны, планшеты или компьютеры в частной сети, могут использовать частный IP-адрес без ограничений. Однако это не относится к общедоступным IP-адресам.
Кроме того, частный IP-адрес обеспечивает связь между устройствами, которым не требуется подключение к Интернету, такими как принтеры, сканеры или файловые серверы.
Как использовать частный IP-адрес?
Если у вас есть частный IP-адрес, вы не можете напрямую получать трафик из Интернета. Вместо этого вам нужно использовать преобразование сетевых адресов (NAT), чтобы использовать один и тот же общедоступный IP-адрес для нескольких устройств для доступа в Интернет.
Например, если ваш интернет-сервис предоставляет вам IP-адрес в диапазоне 10.10.10.10, он будет представлен в Интернете как общедоступный адрес 122.122.122.122. Это называется преобразованием сетевых адресов (NAT). Поэтому интернет-провайдер должен предоставить вам общедоступный IP-адрес для доступа к устройствам вашей компании или домашней сети из Интернета.
Но как определить, какой IP-адрес связан с каким IP-адресом, если у нас есть тысячи частных IP-адресов и только один публичный адрес? Для решения этой проблемы мы используем преобразование адресов портов (PAT), которое выполняет сопоставление портов для поддержки таблиц маршрутизаторов.
Еще один часто задаваемый вопрос — как узнать свой IP-адрес. Знание вашего частного IP-адреса полезно в редких случаях. Например, если вы хотите соединить две системы в сети, вы можете использовать частный IP-адрес. Или при установке удаленного рабочего стола для управления компьютером издалека знание вашего IP-адреса пригодится.
Вы можете использовать VPN для маскировки вашего IP-адреса с помощью виртуального местоположения, если вы скрываете свой IP-адрес. VPN шифрует ваши данные и личную информацию. Пользователи также могут скрыть свой IP-адрес с помощью веб-прокси, чтобы создать неидентифицируемый анонимный IP-адрес.
Как насчет корпоративного использования частных IP-адресов?
Почему предприятию следует выбирать частный IP-адрес? Для обеспечения безопасности. В то время как общедоступные IP-адреса более удобны и просты в использовании, частные IP-адреса более безопасны. Думайте о частном адресе как об изолированном пространстве без связи с внешним миром.